360躺枪：又一虫洞漏洞“DimensionDoor”曝光

360手机助手安全团队关于本文的回应：

1、文中分析的3.1.55是360手机助手2014年的老版本，目前官方正式版和beta版均不存在远程端口安全风险。
2、360手机助手的APK下载会弹出助手下载页面，是具有界面交互的正常功能，整个过程用户有明确感知，与百度系产品被利用静默无提示安装任意应用的虫洞漏洞有本质区别。本文演示视频也证明了这一点，“dimensiondoor”的定义不妥。
3、文中提到打开任意网页的问题实际是不存在的。360手机助手对打开的url有着严格限制，只能打开360域名的网页。文中根据逆向分析猜测，与真实的产品功能逻辑相差甚远。

事实上在百度虫洞漏洞爆发前，360手机助手对此类安全风险已经有着严格的防护措施，包括对下载地址、应用安全性都会进行云安全检测，只允许安全可信应用的下载安装，同时会对用户进行明确的界面提示，防止产品被恶意利用。

两周之前，此虫洞漏洞赫然出现并影响到了全球超过1亿名Android用户。正如大家可能已经了解到的，该虫洞漏洞由负责实现跨应用通信的一项定制化HTTP服务所触发，允许远程攻击者绕过安全检查并实施一系列远程指令，包括安装任意APK。

就在百度公司对该虫洞漏洞加以修复的不到两周之后，另一起事件又发生在360手机助手应用当中——这是一款在Android平台上极具人气的APP。Trustlook研究团队发现该应用当中存在着类似的问题，而这一几乎可能导致相同远程代码执行的漏洞被称为“DimensionDoor”。

此次受到影响的软件包在中国市场上的名称为“com.qihoo.appstore”，而在Google Play官方应用市场上的名称则为“com.qihoo.secstore”。该应用拥有多个可控版本选项，不过全部采用同样的实现方式。我们选择了3.1.55中文版作为示例。当该应用启动之后，一项名为“SimpleWebServer”的服务将同时进入运行并负责通过远程连接监听TCP 0.0.0.0：38517。

尽管该应用程序的代码受到ProGuard的保护，但仍然具备可读性。通过其代码，我们发现其中存在着三项功能，分别为打开URL、下载/安装APK以及开始执行。

上述命令能够通过向http://[client_ip]:38517/[API name]?[param]发送HTTP请求实现远程执行，而这将触发相应的逻辑。不过我们可以利用安全检查来预防这项服务遭受滥用。举例来讲，我们可以利用域白名单对其远程URL进行过滤（只允许访问由供应商所持有的域）：

我们进一步查看了其验证逻辑，并发现了其它一些有趣的现象。举例来说，360应用的云存储服务使用“yunpan.360.cn”域。任何人都可以向其中上传APK文件，并通过该“360.cn”域获取下载URL。另一种方法则是使用该供应商的CDN域“shouji.360tpcdn.com”。

下面是一段POC验证视频：

11月17日，360手机助手应用已经从Google Play应用程序商店中下架。