2017 年上半年,在美洲發(fā)生的所有網(wǎng)絡(luò)攻擊中,移動(dòng)攻擊占比近 20%,用戶經(jīng)常接到警告,讓他們小心那些會(huì)影響其數(shù)據(jù)和隱私的安全風(fēng)險(xiǎn),并安裝安全軟件來(lái)保護(hù)其設(shè)備。但如果防病毒解決方案并不可信,而且實(shí)際還會(huì)侵害用戶隱私,又會(huì)是何種局面?
Check Point 移動(dòng)威脅研究人員最近發(fā)現(xiàn),一款免費(fèi)移動(dòng)防病毒應(yīng)用程序會(huì)在未經(jīng)設(shè)備所有者同意的情況下收集用戶數(shù)據(jù),該應(yīng)用是由 Android 應(yīng)用程序開發(fā)者 DU 所開發(fā)。根據(jù) Google Play 數(shù)據(jù),該應(yīng)用名為 DU Antivirus Security,通過(guò) Google 官方應(yīng)用商店 Google Play 發(fā)布,并擁有 1000 萬(wàn) 到 5000 萬(wàn) 次的下載量。
據(jù) Check Point 研究發(fā)現(xiàn),DU Antivirus Security 應(yīng)用在首次運(yùn)行時(shí)會(huì)從設(shè)備收集信息,例如唯一標(biāo)識(shí)符、聯(lián)系人列表、通話記錄,而且還可能收集設(shè)備位置。該應(yīng)用會(huì)對(duì)信息加密并發(fā)送到遠(yuǎn)程服務(wù)器。隨后,DU 集團(tuán)另一款名為"Caller ID & Call Block - DU Caller"的應(yīng)用程序?qū)⒗迷摽蛻粜畔,為用戶提供?lái)電信息。
用戶相信 DU Antivirus Security 能夠保護(hù)私人信息,事實(shí)卻完全相反。其未經(jīng)許可擅自收集用戶的個(gè)人信息,并將該私人信息用于商業(yè)目的。這款應(yīng)用會(huì)記錄您的私人電話、通話對(duì)象和時(shí)長(zhǎng)等信息,以備日后使用。
圖 1:Google Play 上的 DU Antivirus Security 應(yīng)用
2017 年 8 月 21 日,Check Point 向 Google 報(bào)告了該應(yīng)用程序非法使用用戶的私人信息,2017 年 8 月 24 日,該應(yīng)用從 Google Play 移除。2017 年 8 月 28 日,不包含有害代碼的新版本重新上傳到 Play 商店。最新一版包含隱私泄露代碼的 DU Antivirus Security 版本號(hào)為 3.1.5,但舊版本可能仍包含此代碼。
除 DU Antivirus Security 之外,Check Point 研究人員在其他 30 個(gè)應(yīng)用中也檢測(cè)到相同代碼,其中 12 個(gè)出現(xiàn)在 Google Play 上,隨后也已移除。這些應(yīng)用程序可能會(huì)以外部庫(kù)的形式實(shí)施代碼,并將盜用數(shù)據(jù)傳輸至 DU Caller 所用的同一遠(yuǎn)程服務(wù)器?偠灾鶕(jù) Google Play 數(shù)據(jù),安裝這些應(yīng)用后感染該非法代碼的用戶人數(shù)高達(dá) 240 萬(wàn)至 890 萬(wàn)。
用戶如果安裝 DU Antivirus Security 或任何其他有害應(yīng)用,應(yīng)確保升級(jí)至不含此代碼的最新版本。
由于防病毒應(yīng)用有正當(dāng)理由請(qǐng)求異常廣泛的權(quán)限,因此在企圖濫用這些權(quán)限的詐騙者眼中,防病毒應(yīng)用就是他們最好的掩護(hù)。在某些情況下,移動(dòng)防病毒應(yīng)用甚至被用作傳播惡意軟件的誘餌。用戶應(yīng)該留意這些可疑的防病毒解決方案,并且在使用移動(dòng)威脅防護(hù)機(jī)制時(shí),僅選擇信譽(yù)良好且確實(shí)能夠保護(hù)移動(dòng)設(shè)備及其中所存儲(chǔ)數(shù)據(jù)的供應(yīng)商。
技術(shù)細(xì)節(jié):
DU Antivirus Security 應(yīng)用程序在第一次運(yùn)行時(shí)會(huì)從用戶設(shè)備上竊取信息。之后將失竊信息發(fā)送到名為 caller.work 的服務(wù)器,該服務(wù)器并未在 DU 應(yīng)用程序中注冊(cè)。但是,該域有兩個(gè)子域,表明它確實(shí)連接到 DU Caller 應(yīng)用程序。首先,子域 http://reg.caller.work/ 是個(gè) PHP 網(wǎng)頁(yè),指定的主機(jī)名為:us02-Du_caller02.usaws02,其中包含 DU Caller 應(yīng)用程序的名稱。
有關(guān)完整的技術(shù)報(bào)告,請(qǐng)參閱 Check Point Research。
另外,子域 vfun.caller.work 的主機(jī)使用 IP 47.88.174.218,這是個(gè)私人服務(wù)器,也是域 dailypush.news 的主機(jī)服務(wù)器。該域注冊(cè)在 zhanliangliu@gmail.com 名下,這是一名百度員工,其曾使用相同的郵件地址發(fā)布過(guò)有關(guān)解析電話號(hào)碼的帖子 (http://zliu.org/post/python-libphonenumber/)。由于 DU 應(yīng)用程序?qū)儆诎俣裙,并且該帖子涉及與 Caller 應(yīng)用程序相關(guān)的功能,因此很顯然失竊信息和這款應(yīng)用之間存在關(guān)聯(lián)。
圖 2:DU Antivirus Security 應(yīng)用和 Caller 應(yīng)用之間的聯(lián)系
DU Caller 應(yīng)用的隱私政策在不同頁(yè)面上顯示不同的條款,而且無(wú)論用戶同意與否,都會(huì)執(zhí)行其活動(dòng),因此早已因?yàn)殡[私政策模糊不清而為人詬病。去年,獵豹移動(dòng) (Cheetah Mobile) 的防病毒應(yīng)用 (Anti-Virus) 曾因提供可能違反隱私規(guī)定的服務(wù)而面臨類似指控。
Check Point以色列捷邦安全軟件科技有限公司
Check Point以色列捷邦安全軟件科技有限公司(www.checkpoint.com.cn)是全球最大的專注于安全的解決方案提供商,為各界客戶提供業(yè)界領(lǐng)先的解決方案抵御惡意軟件和各種威脅。Check Point提供全方位的安全解決方案包括從企業(yè)網(wǎng)絡(luò)到移動(dòng)設(shè)備的安全保護(hù),以及最全面和可視化的安全管理方案。Check Point現(xiàn)為十多萬(wàn)不同規(guī)模的組織提供安全保護(hù)。