劉春玲 井靖 戚旭衍

（信息工程大學網(wǎng)絡空間安全學院 河南省鄭州市 450000）

1 引言

近年來，Android 應用安全漏洞頻發(fā)[4]，存在暴露用戶敏感信息、銀行財產(chǎn)信息、監(jiān)聽、欺詐用戶輸入等威脅。Janus 漏洞是Android平臺爆出的核彈級漏洞，惡意攻擊者利用該漏洞，可以任意地修改APK 中的代碼，卻不需要對APK 進行重新簽名。目前有大量的Android 漏洞原理及修復的研究[1-3]，但鮮有還原入侵過程及惡意入侵對用戶信息竊取情況展示，本文提出一種在Android 系統(tǒng)上利用漏洞實現(xiàn)隱蔽入侵并進行數(shù)據(jù)回傳的方法，從Android 簽名機制上入手，實現(xiàn)在不修改原裝APK 驗證簽名的情況下，對APK 進行修改并植入可持續(xù)存活的后門。通過隱蔽的傳播方式，偽裝成正版升級程序，保持原有功能不變，隱蔽繼承原APK 已經(jīng)擁有的權限，甚至替換原裝應用，實現(xiàn)后門的不可刪除性。最終實現(xiàn)在目標不知情下，實現(xiàn)錄音、拍照、讀取文件等數(shù)據(jù)回傳和隱秘竊聽的功能。

2 Janus漏洞原理分析

2.1 Janus漏洞原因

Android 系統(tǒng)具有自己一套獨特的簽名機制。開發(fā)者在發(fā)行應用的時候，需要先使用自己獨特的私鑰對應用簽名，如果試圖對這個應用的某一個文件進行修改，就會破壞APK 原來的簽名，這時就必須重新給APK 簽名，否則無法通過Android 的安裝檢測。安卓在4.4 中引入了新的執(zhí)行虛擬機ART，可以直接運行優(yōu)化后的dex 文件。當art 虛擬機解析一個APK 文件時，先解析頭部的magic 字節(jié)來判斷文件類型，如果是代表dex 文件的字節(jié)頭，就會將該文件加載成dex。如果不是，就會將該文件以包含dex 文件的Zip 文件來解析。ZIP 文件的讀取方式是通過在文件末尾定位central directory，然后通過里面的索引定位到各個Zip entry，每個entry 解壓之后都對應一個文件。Janus 漏洞構造一個APK，從其頭部看是一個Dex 文件，從其尾部看，是一個APK 文件，Android V1 簽名使用的是傳統(tǒng)JAR 簽名方式，建立在對Zip 文件內的所有entry 進行校驗，防止APK 內部的entry 被篡改，但是無法校驗整個Zip 文件是否被篡改。因此可以突破Android 簽名的防篡改作用，實施攻擊。

2.2 Janus漏洞利用過程

本文具體的漏洞利用分為3 步：

（1）從設備上提取目標應用的APK 文件，并在該提取出來的APK 文件中，添加后門。從修改后的APK 文件中提取出dex 文件。將惡意攻擊DEX 文件放在前，原始APK 文件放在后，直接拼接成新的APK 文件。

（2）修復新的APK 的ZIP 格式部分和DEX 格式部分中的偏移值和文件長度字段。安卓系統(tǒng)在安裝時用ZIP 的讀取機制從末尾開始進行文件的讀取，讀取到了原始的APK 內容，并且以V1 的方式進行校驗，認為這個文件是正常的，沒有篡改，APK 安裝成功。

（3）修復后重新修改為APK 文件。為了更加隱蔽的進行攻擊，先在原有APK 上添加后門，然后打包編譯后，將其中的classes.dex文件提取出來，再拼接上原始的APK。在運行時，Android 的ART虛擬機從文件頭開始讀取，發(fā)現(xiàn)是一個DEX 文件，直接執(zhí)行，這樣就可以在原始APK 簽名的情況下，同時滿足原始APK 所具有的功能，隱蔽地附帶執(zhí)行我們所添加地后門程序，在用戶不知情地情況下，執(zhí)行攻擊文件進行入侵。

3 基于Janus的連續(xù)隱蔽攻擊方法

本文通過手工注入的持續(xù)連接攻擊、利用快傳軟件隱蔽攻擊、基于中間人攻擊的隱蔽攻擊三種方式實施基于Janus 的連續(xù)隱蔽攻擊。

3.1 基于手工注入的持續(xù)連接攻擊方法

為實現(xiàn)隱蔽的在目標設備中植入木馬，本文通過手工分析注入的方式在目標APK 中注入后門，在保持原來應用功能不變的情況下實現(xiàn)在后臺隱秘運行木馬程序

本文通過修改修改metasploit 框架下的payload 源碼，添加保持持久化連接的功能。主要通過以下兩部分實現(xiàn)：

（1）在Service 銷毀時自動重啟。

（2）添加AlarmManager 使Payload.start( )定時執(zhí)行。

在ondestory 方法中添加服務銷毀重啟的指令，可以實現(xiàn)在用戶將APP 關閉，導致連接斷開、服務關閉時，馬上重新啟動服務并重新建立會話連接。缺陷是服務不會重新運行，會話無法重新連接。解決思路是通過定時提醒的方法來重復執(zhí)行service，從而在重啟service 的過程中不斷建立新的會話從而保持連接持續(xù)。

實驗驗證無論APP 是否開啟，只要用戶開機并保持網(wǎng)絡連接就可以實現(xiàn)通信會話始終連接。

具體流程先通過Metasploit 框架生成使用tcp 通訊方式的木馬APK，其次使用反編譯工具APKtool 對目標文件以及payload.APK文件進行反編譯提取木馬APK 中核心的代碼文件，并組合到目標APK 中，然后將木馬APK 中核心代碼文件結合到目標APK 反編譯后的smali 源碼文件中。最后在目標APK 的啟動源碼中注入hook并增加調動木馬相關服務的smali 指令，通過AndroidManifest.xml找到相關的啟動指令位置，并同時在其中增加應用程序權限。最后對反編譯后的APK 源碼文件進行重新編譯。即可生成帶后門的APK 文件。

3.2 基于快傳軟件的隱蔽傳輸

Android 系統(tǒng)會備份安裝在本機的APK 文件，其中系統(tǒng)APK安裝在/system/APP 目錄下，用戶APP 安裝在/data/APP 目錄下。而快牙之類的快傳軟件正是將這部分備份后的APK 提取出來，然后通過網(wǎng)絡進行傳輸。當一臺手機上已經(jīng)安裝有修改后的APK 時，系統(tǒng)也會將此修改后的APK 完整備份在系統(tǒng)中，當使用快牙軟件進行手機間互傳時，就會將修改后帶有后門的APK 傳輸至對方手機。

3.3 基于中間人攻擊的隱蔽攻擊方法

中間人攻擊指在內網(wǎng)范圍內，攻擊主機通過ARP 欺騙的方式，欺騙局域網(wǎng)內其余主機，冒充網(wǎng)關，截獲局域網(wǎng)內的數(shù)據(jù)，從而將其余用戶訪問的下載鏈接地址重定向為攻擊主機的http 服務器地址。如果在攻擊主機的http 服務器上放置下載APK 的鏈接，當用戶訪問指定網(wǎng)頁時就重定向到用戶的APK 上，從而實現(xiàn)APK 劫持下載。

用戶下載軟件分成直接下載和間接下載兩種方式，針對兩種不同的下載方式，可以采用不同的劫持手段。通常在手機端下載APK 時，網(wǎng)站出于安全考慮并不會直接給出直接下載地址，而是采用間接下載的方式，針對這種下載的方式，我們可以通過替換302 Moved Temporarily 數(shù)據(jù)包中的Location 屬性的下載程序地址，從而完成下載劫持。而采用直接下載方式的網(wǎng)站，需要先將200 ok 的響應數(shù)據(jù)包，修改成302 Moved Temporarily 數(shù)據(jù)包，并添加location 屬性，同時定向到目標地址，從而實現(xiàn)劫持。

4 測試與驗證

4.1 測試環(huán)境及步驟

本文采用v1 簽名機制的Android 5 和Android 6 為目標Android系統(tǒng)測試用例，實現(xiàn)在不改變v1 簽名的情況下對Android 目標手機的惡意軟件傳播，實現(xiàn)獲取系統(tǒng)信息、隱蔽拍照、隱蔽錄像、隱蔽錄音、系統(tǒng)截圖、獲取手機聯(lián)系人、獲取手機通訊錄、獲取手機短信、發(fā)送短信等數(shù)據(jù)回傳等隱蔽攻擊。

4.1.1 制作惡意軟件

選用受眾較多的uc 瀏覽器APK 為測試用例，將正版的uc 瀏覽器手動注入后門后，使用自動化腳本進行注入，注入成功后生成目標為uc1 的APK。通過getmorepackinfo.jar 分析這兩個包簽名，可以發(fā)現(xiàn)這兩個包文件的簽名仍然相同，成功實現(xiàn)在不修改文件簽名的情況下修改APK。

4.1.2 惡意軟件隱蔽傳播測試

使用小米note 和Oppo R7 測試惡意軟件的快牙傳播（操作系統(tǒng)分別為Android6.0 和Android5.1.1），在小米上安裝原版uc APP，oppo 手機上安裝注入后門的uc1 APP，然后把oppo 手機中的uc1 瀏覽器安裝包傳送給小米，小米收到后進行升級安裝并顯示安裝成功。

4.1.3 中間人攻擊測試

將APK 放置在https 服務器上地址即為本機IP 地址，訪問IP地址時即可下載APK，修改etter.dns 文件將www.baidu.com 的映射替換成本機地址，這樣目標主機訪問百度時就會變成訪問本機地址，從而能夠彈出下載APK 的提示，然后使用ettercap 軟件進行dns 欺騙，設置目標主機為目標1，網(wǎng)關為目標2，開啟dns_spoof 功能進行欺騙。

4.1.4 惡意文件替換測試

（1）替換多權限軟件。大多數(shù)用戶常用的軟件，為了能夠實現(xiàn)更多的功能，都會被用戶賦予大量敏感權限，針對這部分APP的攻擊，替換的APP 會繼承被替換的APP 所擁有的權限，隱蔽獲取用戶敏感權限。

（2）替換系統(tǒng)APP。系統(tǒng)APP 在常規(guī)情況下無法修改，但可以更新系統(tǒng)APP，利用Janus 漏洞制作帶后門的系統(tǒng)APP 就可以對系統(tǒng)APP 進行更改，從而將后門植入系統(tǒng)APP 中，同時受到系統(tǒng)的保護，具備無法刪除的特性。

4.2 測試結果與分析

植入用戶系統(tǒng)的APK，在保持原有功能的情況下，可以實現(xiàn)獲取系統(tǒng)信息、隱蔽拍照、隱蔽錄像、隱蔽錄音、系統(tǒng)截圖、獲取手機聯(lián)系人、獲取手機通訊錄、獲取手機短信、發(fā)送短信等數(shù)據(jù)回傳功能。以上構成一整套完整的漏洞利用體系，可以實現(xiàn)在用戶升級應用的時，隱蔽地在目標設備上植入木馬并實現(xiàn)信息竊取。

5 總結

針對安卓系統(tǒng)簽名驗證機制和應用編譯模式特性造成的Janus漏洞，本文提供了一整套的漏洞利用流程。

首先是針對Janus 漏洞的原理和構成條件，將惡意dex 文件和目標APK 進行結合，從而在不修改簽名的情況下修改APK 程序。其次利用手工為APK 程序增添后門的方法，在保持原有APK 功能的情況下，注入具有數(shù)據(jù)回傳功能的payload。最后針對measploit框架木馬容易掉線的問題，提出了改善木馬的存活能力的辦法，在應用關閉或服務關閉的情況下能夠迅速重啟建立連接。然后通過快傳軟件或者中間人攻擊的手段進行傳播，并通過替換高權限APK，實現(xiàn)在用戶不知情的情況下繼承原APK 所擁有的敏感權限，或替換系統(tǒng)APK 享受系統(tǒng)軟件防用戶刪除的特性。最終植入用戶系統(tǒng)的APK，在保持原有功能的情況下，可以實現(xiàn)獲取系統(tǒng)信息、隱蔽拍照、隱蔽錄像、隱蔽錄音、系統(tǒng)截圖、獲取手機聯(lián)系人、獲取手機通訊錄、獲取手機短信、發(fā)送短信等數(shù)據(jù)回傳功能。以上構成一整套完整的漏洞利用體系，可以實現(xiàn)在用戶升級應用的時，隱蔽地在目標設備上植入木馬并實現(xiàn)信息竊取。