电商APP后门风波：你的隐私安全吗？丨大东话安

　　大东：没错，互联网和数字货币让我们能够足不出户地了解世界，也能够足不出户地买到我们想要的东西。

　　小白：没有啊，但是我手机里有这个软件，有一段时间没用了。东哥，为什么突然这么问？

　　大东：你不知道吗？最近有一个安全研究团队发表了一篇报告，说这个APP疑似能提权控制手机，从而绕过隐私合规监管，收集用户的各种信息。

　　大东：报告里说，其收集的用户隐私信息包括但不限于社交媒体账户资料、位置信息、WiFi信息、基站信息甚至是路由器信息等等。

　　小白：天哪，那不是相当于把我的所有网络活动都暴露给他们了吗？他们要这些信息干什么？

　　大东：可能是为了隐蔽安装，提升装机量，并使用户无法卸载程序。也可能是为了攻击竞争对手、窃取用户隐私数据，反正肯定不是什么好事。

　　大东：这个事情警示我们作为普通用户，在享受网络便利的同时也要提高自己的安全意识和防范能力。毕竟，在互联网上没有绝对的隐私和安全。

　　大东：这个要追溯到2022 年，Google 的 Project Zero 发布了一个在野漏洞利用的分析，警告攻击者已经瞄准各手机厂商的 OEM 代码部分，挖掘出其中的脆弱点和漏洞，组合出了一套完整的提权攻击 Exploit。

　　大东：没错，Project Zero 分析的漏洞利用链包含四个部分，完全由公司代码中的漏洞组成。

　　大东：第二步，攻击者参考了 TTS 漏洞研究成果，利用 TTS 中从自身配置文件加载任意动态链接库的能力，将第一个漏洞转化为了一个 system_app 提权漏洞。

　　大东：没错，而在攻击者获取了 system_app 权限的代码执行能力后，攻击者执行最后两步，向内核进发。

　　大东：首先，攻击者将手机设备中未更新的 Mali GPU 驱动内核信息泄露漏洞 (CVE-2021-25369) ，和手机自己的 kmsg 泄露“特性”组合利用，最终获得内存基址和 addr_limit 地址。

　　小白：简直防不胜防啊，谁能想到这一步攻击者居然还利用到了手机系统的特性呢。

　　小白：这可太精妙了，一环扣一环啊，东哥，这些漏洞现在已经修复了吗？我有点慌。

　　小白：东哥，我不太明白，这个跟我们前面说的APP提权非法获取隐私数据有什么关系？

　　大东：其实OEM 漏洞攻击是一个很典型的案例，从这个案例可以看出，与 AOSP 、上游 Kernel 的漏洞挖掘难度相比，手机厂商 OEM 代码部分的漏洞挖掘难度要低很多，且利用通常也相当稳定。所以我们经常可以看到，各种间谍软件的作者会频繁利用手机 OEM 代码漏洞作恶。

　　小白：明白了。那我们继续前面的话题吧，难道这次APP提权攻击也是利用的OEM代码漏洞吗？

　　大东：该厂商持续挖掘新的安卓 OEM 相关漏洞，在其公开发布的 App 中实现对目前市场主流手机系统的漏洞攻击。

　　小白：太黑暗了，身为服务公众的厂商，居然做这种攻击行为。这个厂商是利用什么方法进行提权的呢？

　　大东：该互联网厂使用的第一个黑客技术手段，是利用一个近年来看似默默无闻、但实际攻击效果非常好的 Bundle 风水 - Android Parcel 序列化与反序列化不匹配系列漏洞，实现 0day/Nday 攻击，从而绕过系统校验，获取系统级 StartAnyWhere 能力。

　　小白：这个序列化与反序列化不匹配系列漏洞出现是因为接口函数的实现有缺陷吗？

　　大东：没错，理论上来讲，匹配序列化和反序列化函数应当是自反等效的，但系统 ROM 的开发者在编程过程中可能会出现不匹配的情况，例如写入的时候使用了 writeLong，读取的时候却使用了 readint。

　　大东：这类问题在运行过程中一般不会引起注意，也不会导致崩溃或错误，但在攻击者精心布局下，却可最终利用 Settings 和 system_server 进程，将这个微小的错误转化为 StartAnyWhere 提权。

　　大东：Android 近年来累计已修复上百个这类漏洞，并在 Android 13 中对 Parcel 机制做了改革，杜绝了大部分此类攻击面。

　　但对绝大部分未升级到 Android 13 的设备和用户来说，他们仍处于危险之中。

　　小白：还好我的设备升级到了Android 13。东哥，利用反序列化漏洞提权后攻击者接下来可以做什么？

　　大东：下图介绍了其漏洞利用链中的核心环节 ，在完成提权后，该 App 事实上已经完成了反客为主，通过 App 控制了用户的整个手机系统。

　　大东：该 App使用的另一个手段是利用手机厂商 OEM 代码中导出的 root-path FileContentProvider， 进行 System App 和敏感系统应用文件读写；进而突破沙箱机制、绕开权限系统改写系统关键配置文件为自身保活，修改用户桌面（Launcher）配置隐藏自身或欺骗用户实现防卸载。

　　大东：还有更厉害的呢。它还可以通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码，进行更加隐蔽的长期驻留；甚至还实现了和间谍软件一样的遥控机制，通过远端“云控开关”控制非法行为的启动与暂停，来躲避检测。

　　大东：总结一下就是该互联网厂商通过上述一系列隐蔽的黑客技术手段，在其合法 App 的背后，达到了：隐蔽安装，提升装机量；伪造提升 DAU/MAU；用户无法卸载；攻击竞争对手 App；窃取用户隐私数据；逃避隐私合规监管等各种涉嫌违规违法目的。

　　大东：目前，已有大量终端用户在多个社交平台上投诉反馈：该 App 存在莫名安装、泄漏隐私、无法卸载等问题。

　　小白：唉，这种非法行为直接让本该守护安全的白帽，被滥用成侵害用户的黑帽！太可恶了。

　　大东：在手机设备复杂的供应链中，发现漏洞、修复漏洞、防范漏洞本就不易。若还有不法者利用漏洞牟利，将白帽变成黑帽，更会让用户和行业受伤。

　　大东：也可以这么理解，这次的事件可以当成供应链程序源头污染，不过他跟2022年发生的NODE-IPC供应链投毒事件不同的是，他没有在程序中故意引入漏洞，而是在程序中植入漏洞利用代码。

　　大东：首先肯定是手机厂商需要更重视自研代码的安全，削减不必要的、可能被攻击者利用的攻击面；然后监管机构需要针对此类行为进行治理，根据现有法律法规严格执法、监管，严肃问责，以构建一个更安全的数字环境。

　　小白：嗯嗯，个别公司的错误不该连带整个行业背负骂名，更不该由我们用户承担后果。

　　现在有公司打破底线，将白帽黑客作为武器，利用他们掌握的黑客技术寻找并利用漏洞，为自身牟取非法利益。