即使當(dāng)所有信息都被披露，安卓Root應(yīng)用開(kāi)發(fā)商還是存在不為人知的一面。

ROOT也為漏洞利用打開(kāi)方便之門(mén)

最新研究發(fā)現(xiàn)，通過(guò)推廣強(qiáng)大的Root利用程序，為數(shù)不多的應(yīng)用程序經(jīng)銷(xiāo)商正在將數(shù)以百萬(wàn)計(jì)的安卓用戶置于十分危險(xiǎn)的境地。Root程序會(huì)很容易被逆向工程，讓惡意軟件利用漏洞利用工具繞過(guò)安卓的重要安全檢測(cè)。

[[152573]]

周四，來(lái)自加州河濱分校的研究人員在ACM計(jì)算機(jī)與通信安全會(huì)議上發(fā)表了題為《安卓Root及其供應(yīng)商：一把雙刃劍》的報(bào)告，他們花了一個(gè)月的空閑時(shí)間逆向工程了一個(gè)Root工具包含的167個(gè)漏洞。最終研究者得出結(jié)論，root供應(yīng)商通過(guò)提供了大量種類繁多、高度定制的漏洞利用很容易導(dǎo)致逆向工程，并難以檢測(cè)，這提升了所有安卓用戶的安全風(fēng)險(xiǎn)。

而在中國(guó)，安卓Root非常流行，主流開(kāi)發(fā)商都參與到了Root工具開(kāi)發(fā)，比如Root精靈、IRoot、360的一鍵Root以及Kingroot等等，這些Root程序幫助安卓用戶不受手機(jī)運(yùn)營(yíng)商或者制造商的限制。為此，Root供應(yīng)商們針對(duì)運(yùn)行特定版本安卓系統(tǒng)的特定硬件設(shè)備收集大量的漏洞利用。

手機(jī)殺毒軟件檢測(cè)結(jié)果

供應(yīng)商的代碼通常包括已知的最先進(jìn)的漏洞利用，例如TowelRoot(又稱futex)、Pingpong Root和Gingerbreak。這些漏洞利用正常情況下都會(huì)被安卓殺毒應(yīng)用程序封鎖。但是由于Root供應(yīng)商進(jìn)行了改進(jìn)，這些專業(yè)開(kāi)發(fā)的漏洞利用便不容易被檢測(cè)到。而更糟的情況是，許多現(xiàn)成的漏洞利用被直接用于攻擊未公開(kāi)的安卓安全缺陷。

ROOT：一把雙刃劍

來(lái)自加州大學(xué)河濱分校的研究者在論文中提出：

“我們發(fā)現(xiàn)他們不僅僅努力融入和整合已知漏洞利用，為保持競(jìng)爭(zhēng)力同時(shí)還開(kāi)發(fā)新的利用。然而，這些精致的漏洞利用并沒(méi)有得到很好的保護(hù)，一旦落入錯(cuò)誤的人手中將會(huì)造成極其危險(xiǎn)的影響。”

研究者將相同的167個(gè)漏洞利用捆綁放進(jìn)一個(gè)自主研發(fā)的應(yīng)用程序當(dāng)中，檢測(cè)安卓殺毒程序(AV)是否能夠檢測(cè)到。每個(gè)利用以三種不同方式暴露于殺毒程序面前——從root供應(yīng)商網(wǎng)站下載的原始exp，一個(gè)直接暴露于AV引擎的脫殼exp，以及惡意軟件經(jīng)常使用的加殼exp。檢測(cè)結(jié)果顯示，四款A(yù)V產(chǎn)品只有來(lái)自趨勢(shì)科技的一個(gè)程序檢測(cè)到了exp，其測(cè)試結(jié)果為167中的13個(gè)exp，并且都是脫殼當(dāng)中。

·N：沒(méi)有檢測(cè)出威脅 ·檢測(cè)中的所有反病毒軟件都是最新版本

研究人員在報(bào)告中寫(xiě)道：

“這些反病毒軟件沒(méi)有檢測(cè)出任何加殼exp的結(jié)果真令人失望。這可能是由于供應(yīng)商自定義模糊程序，exp沒(méi)有被識(shí)別出。然而，即使是脫殼exp，只有趨勢(shì)科技從167個(gè)當(dāng)中識(shí)別出13個(gè)文件標(biāo)記為惡意。值得一提的是，高度危險(xiǎn)的futex利用與PingPong root利用都沒(méi)有被任何反病毒軟件抓到。”

其他的AV程序分別來(lái)自于Lookout、AVG和賽門(mén)鐵克。需要說(shuō)明一點(diǎn)，這份報(bào)告寫(xiě)于今年5月，測(cè)試中的這些產(chǎn)品可能在這之后進(jìn)行了更新，或許已經(jīng)可以檢測(cè)出全部、或一部分的利用。

即使我們的樂(lè)觀推測(cè)為真，報(bào)告中仍然非常強(qiáng)調(diào)root應(yīng)用供應(yīng)商本應(yīng)該充分保護(hù)其包含的可利用漏洞，但在實(shí)際中這些漏洞可以被惡意程序作者輕而易舉的拿來(lái)用。