WooYun.org

此分析基于360手机浏览器的最新版：

MD5= 675d2679790bf16476840f61314bd3cb
Package Name: com.qihoo.browser
点开运行后发现静默监听端口6587，且远程可连，也没有对连接来源做任何限制：

从/proc/net/tcp可以看出app uid是10092，且从netstat的返回结果看，是进程8235在监听该端口，通过ps可以找到该进程及其命令：

找到该文件（um.3）发现，这是个ELF文件。通过逆向证实它的确打开了6587端口并监听。
进一步的检查发现，它通过http request接收两个参数，t和u。t的取值可以是0或1。
当t为0时，功能为查询app版本信息，如下图所示（**.**.**.**为受害者IP，下文同）：

当t为1时，功能为打开u参数所指定的任意URL，如下图所示：

进一步逆向发现打开URL对应如下代码：

可以看出实际上是调用com.google.android.apps.chrome.Main这个activity来打开URL ，并且会尝试用root权限打开。虽然最新版里并不存在这个activity，所以不能完成打开URL操作，其他渠道发布的版本以及历史版本中是否有该acitivity仍待确认。
这里要强调的是，不管360手机浏览器的各个版本是否实现了com.google.android.apps.chrome.Main来打开URL，这部分逻辑是可以被任意来源的攻击者远程exploit执行任意命令的。原因是该逻辑并没有对http request来的内容做任何检查就送进了system()执行，攻击者可以将那条am start命令截断（例如用分号）然后插入自己想执行的命令。以360强大的安全能力，我们不多加猜测他们这个用法是漏洞还是后门。例如，攻击者可以调用:

curl -X GET 'http://**.**.**.**:6587/t=1&u=**.**.**.**;echo haha > /sdcard/xixi;'

执行该命令后可以看到sdcard里出现了xixi文件，内容是haha。
所以，攻击者能 用360手机浏览器的权限大规模控制受害者手机。360手机助手的部分权限列举如下：
android.permission.ACCESS_FINE_LOCATION
android.permission.CAMERA
android.permission.RECORD_AUDIO
android.permission.GET_ACCOUNTS
android.permission.MANAGE_ACCOUNTS
android.permission.USE_CREDENTIALS
android.permission.SEND_SMS
android.permission.RECEIVE_SMS
android.permission.WRITE_SETTINGS
com.android.browser.permission.READ_HISTORY_BOOKMARKS
com.android.launcher.permission.WRITE_SETTINGS
基本上控制受害者手机录像、拍照、录音、窃取隐私、发起高级钓鱼攻击等都不成问题。而如果360手机浏览器拥有root权限，情况将会更严重。