近日,百度SDK被报存在WormHole虫洞漏洞,该漏洞从理论上说可以远程执行任意代码,攻击者可以窃取大量用户安卓手机数据。本文对该漏洞进行了分析及验证方法,并给出防护方案。
本文作者 黄灿、曲文集、曾海涛
- 10月14日,有人提交了百度SDK漏洞的报告, 报告中将该漏洞称为WormHole虫洞漏洞;
- 11月1日,某国外安全厂商在其官方博客上,对该漏洞进行了深入分析;
- 11月3日,百度声称,”关于x厂商最新报告的可能存在问题的其余代码,在我们的修复之后已成为无用代码,不会产生影响。”
- 11月4日,绿盟科技安全服务部门对相关漏洞进行分析及验证。
绿盟科技威胁响应中心持续关注百度SDK虫洞漏洞事件的进展,如果您需要了解更多信息,请联系:
- 绿盟科技博客
- https://blog.nsfocus.net/
- 绿盟科技威胁响应中心微博
- http://weibo.com/threatresponse
- 绿盟科技微信号
- 搜索公众号 绿盟科技
百度SDK漏洞
在产品开发过程中,软件厂商常常对外提供整合的开发环境,便于用户在此基础上快速开发自己的应用程序,在此平台上开发完成的程序,都会自动集成一些模块。所以,一旦开发平台出现问题,它所带来的危害是极为广泛的,这一点绿盟科技博客在之前的《XcodeGhost分析及在线检测》已经分析过。这方面有更为底层和经典的案例,是Ken Thompson在Unix的C编译器中植入的代码漏洞。
此次百度SDK虫洞漏洞相关的核心代码存在于SDK的com.baidu.hello.moplus中,所有使用该SDK开发的APP,均会开放40310端口响应数据请求。虽然请求限制在本地进行,但攻击者仍然很容易绕过,这可能导致用户数据的大量泄漏。
在2015年7月28日,曾经有人提交过类似的漏洞,当时漏洞存在于com.baidu.frontia.module.depplink中,可以通过向7777端口请求数据获取手机的IMEI值等信息。
漏洞从何而来
目前不知道百度SDK虫洞漏洞从何而来,是业务设计中存在逻辑错误,还是其他问题。但从下面的分析可以看出一些信息
-
XcodeGhost,SDK中存在存在远程服务器地址,根据ip地址就可以追踪;
-
7月SDK漏洞,手机安装相关APP后将开放7777端口,所有人均可以连接;
-
11月SDK虫洞漏洞,增加了40310端口,通过构造特殊的数据包仍旧很容易绕过限制,进而连接获取数据;
-
在此次测试的百度地图APP中,7777端口仍旧在监听,不过其核心逻辑已经做出了修改
可能的影响
• 80多个生活娱乐相关的APP受到影响,而且在一些机型出厂时,这些APP可能被预装;
• 7月SDK漏洞中存在的7777端口,目前许多APP中仍旧存在,仍旧存在被利用的可能;
• 此次漏洞的POC已经开始在网络流传,大量用户信息可能遭到泄露;
• 受此影响的安卓至少版本包括 4.x -5.x
漏洞分析
漏洞具体分析的条目及内容比较多,下面绿盟科技安全工程师简化了一些分析步骤,以便于安全行业从业人员也可以模拟重现这个分析过程。
测试用例
由于在受影响的APP中,有相当多的APP会使用百度地图,故将其作为测试样例,并进行安装。
分析目标:使用百度存在WormHole漏洞版本的SDK开发的APK应用。实际测试中被测样本超过10个。
分析环境:Andorid 4.x/5.x
动态分析
启动百度地图后,通过netstat指令查看监听接口,发现应用会启动7777和40310两个端口进行监听。
查看应用的AndroidManifest.xml文件,发现应用会开启一个名为com.baidu.hello.MoPlusService的服务。
经测试,目前该漏洞已经修复,虽然仍然会开启7777端口进行监听,但是漏洞核心逻辑已进行修改。本次SDK漏洞的核心代码存在于com.baidu.hello.moplus中。
静态分析
通过分析代码可知,应用会开启一个轻量级的HTTP服务器NanoHTTPD,通过内嵌入JAVA的方式处理GET和POST等一系列请求。(com.baidu.hello.patch.moplus.nebula.b.a)
应用在绑定好地址等信息后,会启一个新线程去处理来自远端的请求,类v中的run()函数写明了此线程是如何工作的。(com.baidu.hello.patch.moplus.nebula.b.v)。在新线程中应用会实现一个socket去进行数据交互。由while (a.a(this.a).isClosed())可知,只要服务未关闭,每当接收到InputStream时,就会实例化一个l类的对象去处理接收到的数据流。因此我们只要随着代码逻辑进入到类l中就会进一步得知应用处理数据流的逻辑。
进入com.baidu.hello.patch.moplus.nebula.b.l分析代码发现对于数据包的具体解析在类g中。
再继续进入类g(com.baidu.hello.patch.moplus.nebula.b.g)中,分析得知应用是通过实现抽象类的方式处理Session的,具体代码在com.baidu.hello.patch.moplus.nebula.b.w中。
攻击者最后结合应用中可解析的命令和解析逻辑构造出PoC
漏洞验证
如果您使用安卓手机查看本页面,可以直接点击如下按钮进行验证。点击该按钮,你的浏览器将打开你手机的本地地址http://127.0.0.1:40310/getcuid?mcmdf=inapp_
如果您在点击按钮后,出现如下画面,则说明存在相应的漏洞
可能的攻击形式
攻击者如果想要远程访问,需要在构造请求包的时候添加一个名为”remote-addr“的字段,并将这个字段的值置为127.0.0.1,因为应用会在解析geolocation、getcuid等指令前判断请求是否是本地请求。
防护方案
对于个人用户来说,请关注对应APP的升级信息,当然建议尽可能从其官方站点下载升级版本,避免遭遇二次伤害。对于企业用户来说,可以使用扫描器,扫描网络中接入的移动终端设备,检查是否存在WormHole漏洞,并通过设置放火墙规则来阻断相应端口的通信。对于企业而言,这种通过扫描器进行远程检测,也是目前更为经济、影响更小、使用更便捷的方式。
以绿盟远程安全评估系统(NSFOCUS Remote Security Assessment System 简称:NSFOCUS RSAS)为例,在企业环境中,对业务系统部署RSAS,可以实时扫描及检测百度SDK漏洞。目前RSAS V6版本已经推出相应的插件升级包,请所有使用绿盟产品的用户尽快升级产品规则。
产品防护
如同木桶效应一般,业务环境的加固只是依赖于漏洞加固是不够的,整体安全等级的提升以及应对未来的攻击,安全产品是必不可少的一环。在企业环境中,部署绿盟网络入侵防护系统(Network Intrusion Prevention System,简称NIPS)为例,对业务系统部署NIPS,可以防护百度SDK漏洞可能带来的攻击。 目前NIPS已经推出 567、568、569各版本的规则升级包,请所有使用绿盟产品的用户尽快升级产品规则。
升级办法
绿盟科技已在软件升级公告中提供规则升级包,规则可以通过产品界面的在线升级进行。如果您的业务系统暂时还无法升级规则包,那么可以在软件升级页面中,找到对应的产品,通过下载升级包,以离线方式进行升级。
相关升级信息请访问:
威胁情报
威胁情报的获取及响应都体现了防御能力的建设程度,威胁情报服务体系至少包含了威胁监测及响应、数据分析及整理、业务情报及交付、风险评估及咨询、安全托管及应用等各个方面,涉及研究、产品、服务、运营及营销的各个环节,绿盟科技通过研究、云端、产品、服务等立体的应急响应体系,向企业和组织及时提供威胁情报,并持续对对匿名者攻击事件进行关注,保障客户业务的顺畅运行。
如果您对我们提供的内容有任何疑问,或者需要了解更多的信息,可以随时通过在微博、微信中搜索绿盟科技联系我们,欢迎您的垂询!
关于绿盟科技
北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。
北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。