Monthly Archives: 五月 2018

ZipperDown漏洞,炒作还是一触即发?

一、概述

  近期,ZipperDown漏洞被披露,该漏洞影响Android和iOS两大平台,其中iOS应用市场多达10%的应用存在该漏洞,且不乏多款热门应用,引发业界强烈反响。安天移动安全第一时间启动对该漏洞的应急响应,希望客观公正地反映其对支付行业的影响。调查研究发现,该漏洞是由于开发人员未对压缩包中的解压路径进行校验,导致攻击者可通过构建恶意压缩包进行路径穿越攻击,且行业中有超过3成的应用存在该漏洞。然而该漏洞的真实影响还需具体结合应用业务进行排查,不应过分夸大,更不应忽视,安天移动安全将免费提供技术支持携手相关各方联手进行安全排查,将风险降至最低。

二、漏洞预警说明

  Zip压缩包路径穿越简述

  Zip压缩包是一中常见的压缩文件格式,Zip压缩包支持打包文件中的文件名包含上级路径。如下图所示,压缩包update.zip中包含了一个文件libpay.so,但是该文件的路径为“……\”,当该文件被解压时,如果没有进行相应处理,那么该文件将会被解压到相应的上级目录中,实现了路径穿越,即真实解压后,其路径为[预期解压位置]……\libpay.so,穿越了当前预期解压位置,到达了攻击者想要构造的任意路径。

  “ZipperDown”漏洞描述

  当前大量应用均会读取zip压缩包进行相关业务,最常见的场景就是从服务器下载压缩包,进行资源、代码热更新。通过Zip压缩包路径穿越描述可知,如果攻击者通过技术手段,如远程劫持或本地替换等方式将应用加载的zip压缩包替换成存在路径穿越的恶意压缩包,而应用又未对解压文件进行路径判断,攻击者便可以对应用资源、代码进行任意篡改、替换,从而实现远程代码劫持等高危操作,危害应用业务场景。

  分析发现,“ZipperDown”漏洞是一个应用层面的漏洞,应用如果没有对解压文件进行路径穿越问题的防护,就存在“ZipperDown”漏洞。

  “ZipperDown”漏洞对支付行业的影响

  本次ZipperDown漏洞事件发生后,安天移动安全第一时间启动该漏洞的应急响应流程,同时对支付行业应用进行了初步的安全检测,希望客观公正地反映漏洞对支付行业的实际影响。

  目前,在智能POS支付类应用、非支付类应用以及手机相关支付类应用中,均发现部分应用存在ZipperDown漏洞,虽然智能POS应用较之手机应用业务场景相对简单,但是结果显示仍有近3成的智能POS应用存在相应安全隐患。

  安天移动安全经研究深度分析后认为,该漏洞的真实影响还需结合应用自身业务场景进一步排查,不能简单粗暴判定该漏洞是否一定会真实危及业务场景。同时,有部分应用是由于采用第三方库而引入该漏洞,其风险也需要进一步评估后跟第三方库开发者沟通。

三、漏洞原理分析

  下图为存在“ZipperDown”漏洞的一个应用代码示例。

  可以发现,当在尝试解压的时候,对于zip包中的文件,其路径名可能存在路径穿越问题。当应用加载存在路径穿越的恶意压缩包时,由于缺少对路径的校验,使得恶意压缩包中的内容通过路径穿越,覆盖原应用文件。以libpay.so为例,攻击者构建的update.zip中存在路径穿越的恶意运行库libpay.so,解压后替换本地原来的库文件,就成功的在当前程序中插入了恶意运行库,进而实施信息窃取、业务劫持等操作。

四、修复建议

  针对“ZipperDown”安卓高危漏洞的威胁态势,安天移动安全建议从排查和修复两方面入手,先对市场运营方所有应用进行漏洞检测和分析,随后结合业务场景进一步明确漏洞危害以及制定相应修复建议。具体策略建议如下:

  step1:针对应用市场已上架和将上架的应用,需要进行应用“ZipperDown”漏洞专项检测,确定其是否存在 “ZipperDown”漏洞,保证源头安全。安天移动安全可免费提供检测工具和技术支持。

  step2:针对存在“ZipperDown”漏洞的应用,需要结合业务场景进一步分析,从而明确漏洞危害,并且制定相应修复建议。参考修复建议如下,开发者可以根据自身业务场景需求,选择最适合自身业务的策略。

  ·应用在加载外部zip压缩包时,需要对压缩包中解压路径进行校验。

  ·应用在加载外部zip包,可以采用校验机制,确保加载的zip包确实为合法zip,没有被替换。      ·应用下载zip包的通信信道,采用安全通信通道确保不存在被篡改、劫持、替换的可能。

  此外,针对由第三方库引入而导致的风险,需要开发者协同第三方库开发者沟通共同制定修复方案。安天移动安全可免费提供咨询服务和技术支持,携手市场运营方、开发者以及第三方库开发者共同解决“ZipperDown”漏洞安全隐患。

五、总结

  zip文件路径穿越并不是一个新问题,早已被安全分析人员披露,但是一直未引起行业广泛重视。本次ZipperDown漏洞爆出,披露的相关数据说明“安全无小事”,即使很小的一个安全隐患,如果没有严肃认真对待,也可能引发严重的安全后果。同时第三方库导致ZipperDown漏洞的引入,也说明如今安全已不单单是一个单点问题,它需要生态的参与各方一同携手联动,共同构建安全生态,避免风险的引入。

  网络安全和信息化是相辅相成的,安全是发展的前提,发展是安全的保障,安全和发展要同步推进。智能商业终端作为金融领域中的关键信息基础设施,无疑是是网络安全的重中之重,因而产业的参与各方应当携手多方联动,切实做好国家关键信息基础设施安全防护。

  近年,安天移动安全积极涉足智能POS防护领域,以多年的移动安全技术与经验为基础,通过与多家知名智能POS厂商和大型支付机构的合作,针对智能POS提出了一套完整的安全解决方案,在威胁的事前、事中和事后阶段形成全生命周期的安全防护,为智能POS终端厂商及支付机构提供高效的移动安全产品与服务,为个人消费者提供全方位的支付安全防护。

  更多信息详见公司官网:http://www.avlsec.com   

  转载请注明来源:http://blog.avlsec.com/?p=5234

更多技术文章,请关注安天移动安全官方微信号

不仅仅是利比亚天蝎

前言

  2016年9月,安全厂商Cyberkov发布了名为利比亚天蝎的安全报告[1],报告中指出,一批恶意软件通过社交程序Telegram广泛传播,主要针对有影响力的社会名流和政治人士。当时,安天移动安全和猎豹移动进行了持续跟进,并发现该恶意软件进行了持续的更新和改进,攻击的目标国家也从利比亚转移到了其他国家和地区。该系列恶意软件根据不同的攻击目标进行精心的伪装,充分了解攻击目标的风俗文化和手机使用习惯,诱导目标群体安装,获取大量的隐私信息,具有很高的组织性和隐蔽性,以下我们将对该攻击进行详细的说明,以期能够对事件尽可能的勾勒。

1.简要分析

  安天移动安全与猎豹移动联合发现的这批恶意软件,皆为商业RAT软件,主要分类有JSocket RAT ,Droidjack RAT ,Alienspy RAT,该组织通过这些商业RAT软件攻击目标用户,实施隐私窃取。其仿冒对象有系统应用、工具应用、生活应用、新闻应用、宗教应用、社交应用等,并对攻击目标有着深入的了解,具体如下表所示。

  通过捕获的样本可以发现该系列病毒除了攻击利比亚地区,还活跃在伊拉克、巴基斯坦、印度、土耳其等国家和地区。可见,该组织有着广泛的利益诉求,对热点地区有着深入的关注。

2.攻击事件轴

  该组织的主要活动时间为2015-2016年,在对利比亚目标进行攻击的同时,也进行着其他地区的情报窃取,是一起有着广泛传播的事件。同时我们也观察到,在沉寂一段时间之后,该组织下的恶意软件又开始活跃。

3.恶意代码原理分析

  MD5:D555FB8B02D7CC7D810F7D65EFE909A0

  恶意模块包结构:

  通过MainActivity加载Controller类:

  Controller这个类为主要恶意类,用于解密出C&C地址和初始化并加载隐私窃取的恶意子模块:

  私自摄像:

  子模块包括窃取用户短信、联系人、通话记录、地理位置、浏览器历史记录、手机基本信息、WhatsApp软件信息记录,私自录音、监听通话、驻留手机系统等行为。

  JSocket RAT 原理分析

  MD5:3FDCB70A70571A5745F4EE803443FEBC

  该应用一般会在AM文件设置一个广播和服务用于启动恶意模块:

  恶意模块包结构:

  通过MainService开启主要攻击线程:

  从C&C接收远控指令,解析指令执行相应恶意行为:

  指令包括窃取短信、联系人信息、通话记录、浏览器书签、GPS地理位置信息、wifi信息、手机设备基本信息、社交应用信息,私自录音、录像、拍照、下载其他软件、发送短信等行为。

4.总结

  近几年,移动端的定向攻击越来越多,商业间谍软件的低门槛化也使得攻击门槛有了大幅的降低。获取高价值的具有个人身份属性的信息,成为恶意攻击中的重要一环;与此同时,由于移动设备的边界属性和高社会、高隐私属性,一旦攻击成功,极有可能导致攻击结果出现雪崩效应,损失不断扩大。

  而针对高价值用户进行的定向攻击往往是移动威胁对抗中的经典长尾问题,尾部安全事件由于其受众明确、攻击意图直接、涉及用户重度隐私的特点,往往给目标受害群体带来了不可估量的损失。对此安全厂商更需要密切关注并持续提升长尾威胁的对抗能力,真正为用户侧的移动安全保驾护航。

  参考资料:[1] https://cyberkov.com/wp-content/uploads/2016/09/Hunting-Libyan-Scorpions-EN.pdf

  更多信息详见公司官网:http://www.avlsec.com   

  转载请注明来源:http://blog.avlsec.com/?p=5216

更多技术文章,请关注安天移动安全官方微信号