一、漏洞介绍

二、原理解析

客户端不验证服务器是否可信，即checkServerTrusted()方法为空

不检查站点域名与站点证书的域名是否匹配

接收任意域名

二、实验准备

三、实验步骤

1. http明文传输升级劫持——以酷我音乐为例（CNVD-2021-45684）

（1）Fiddler环境配置

​ 参考链接：Fiddler环境配置

（2）安装酷我音乐，并抓取响应请求

然后，我们可以发现程序下载完成后，显示正常的升级界面

我们进一步分析报文的详细信息：

我们可以知道这条请求就是程序的下载请求，对应的就是下载的apk，我们尝试劫持这条请求，将apk替换成我们的恶意锁机程序

（3）劫持攻击

​ 1）下劫持响应请求断点，可以让我们在劫持特定的请求响应

​ 2）通过HFS文件管理服务器，来模拟请求的服务器

注意路径应与apk下载请求url保持一致，域名设置为我们本机的ip地址

​ 3）重新安装，开始升级

此时，我们将下载请求给劫持下来了，我们只需要更改域名为我们ip地址，再响应就可以下载我们的锁机程序了

此时我们发现我们的锁机样本被用户成功的下载，用户在未知情况下打开，便被锁机了

2. http+hash验证升级劫持——以酷狗音乐为例（CVND-2021-46587）

(1) 安装酷狗音乐，抓取响应请求

（2）劫持升级

我们用文件服务器模拟该url：

我们将主机的域名解析更改为我们本地的ip：

我们查取我们恶意程序的hash值：

我们劫持更新响应的url：

开始升级替换：

我们成功替换hash值，并点击升级：

3. https+hash验证升级劫持——以学而思网课为例（CVND-2021-169938）

（1）配置stunnel，实现https下载

stunnel配置：详细见stunnel配置

（2）我们劫持请求报文

我们将响应的报文保存下来，并修改其对应的MD5值

（3） 我们用HFS模拟下载的URL链接

（4） 由于是采用https传输，我们需要借助工具stunnel，才能实现https传输

我们配置好后，就可以https访问了

（5）我们进行截获

​ 重新启动，我们发现可以升级截获成功

四、实验总结

我们总结了当下APP升级劫持攻击的常见形式，并分别对三种不同形式的升级劫持攻击做了一个具体的案例描述，可以发现都是通过抓包劫持替换实现的，恶意攻击者可以在用户手机中安装证书，就可以使用http/https中间人攻击，来劫持升级报文。我们可以发现当下大部分主流的APP都存在这种漏洞，并以此对提交的三个漏洞做了一个讲解，对于一些其他的APP，通常采用加密算法加密，这样获取报文的情况较难。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工 作，每周日13:00-18:00直播授课