2017 年上半年,在美洲發(fā)生的所有網(wǎng)絡(luò )攻擊中,移動(dòng)攻擊占比近 20%,用戶(hù)經(jīng)常接到警告,讓他們小心那些會(huì )影響其數據和隱私的安全風(fēng)險,并安裝安全軟件來(lái)保護其設備。但如果防病毒解決方案并不可信,而且實(shí)際還會(huì )侵害用戶(hù)隱私,又會(huì )是何種局面?
Check Point 移動(dòng)威脅研究人員最近發(fā)現,一款免費移動(dòng)防病毒應用程序會(huì )在未經(jīng)設備所有者同意的情況下收集用戶(hù)數據,該應用是由 Android 應用程序開(kāi)發(fā)者 DU 所開(kāi)發(fā)。根據 Google Play 數據,該應用名為 DU Antivirus Security,通過(guò) Google 官方應用商店 Google Play 發(fā)布,并擁有 1000 萬(wàn) 到 5000 萬(wàn) 次的下載量。
據 Check Point 研究發(fā)現,DU Antivirus Security 應用在首次運行時(shí)會(huì )從設備收集信息,例如唯一標識符、聯(lián)系人列表、通話(huà)記錄,而且還可能收集設備位置。該應用會(huì )對信息加密并發(fā)送到遠程服務(wù)器。隨后,DU 集團另一款名為"Caller ID & Call Block - DU Caller"的應用程序將利用該客戶(hù)信息,為用戶(hù)提供來(lái)電信息。
用戶(hù)相信 DU Antivirus Security 能夠保護私人信息,事實(shí)卻完全相反。其未經(jīng)許可擅自收集用戶(hù)的個(gè)人信息,并將該私人信息用于商業(yè)目的。這款應用會(huì )記錄您的私人電話(huà)、通話(huà)對象和時(shí)長(cháng)等信息,以備日后使用。
圖 1:Google Play 上的 DU Antivirus Security 應用
2017 年 8 月 21 日,Check Point 向 Google 報告了該應用程序非法使用用戶(hù)的私人信息,2017 年 8 月 24 日,該應用從 Google Play 移除。2017 年 8 月 28 日,不包含有害代碼的新版本重新上傳到 Play 商店。最新一版包含隱私泄露代碼的 DU Antivirus Security 版本號為 3.1.5,但舊版本可能仍包含此代碼。
除 DU Antivirus Security 之外,Check Point 研究人員在其他 30 個(gè)應用中也檢測到相同代碼,其中 12 個(gè)出現在 Google Play 上,隨后也已移除。這些應用程序可能會(huì )以外部庫的形式實(shí)施代碼,并將盜用數據傳輸至 DU Caller 所用的同一遠程服務(wù)器。總而言之,根據 Google Play 數據,安裝這些應用后感染該非法代碼的用戶(hù)人數高達 240 萬(wàn)至 890 萬(wàn)。
用戶(hù)如果安裝 DU Antivirus Security 或任何其他有害應用,應確保升級至不含此代碼的最新版本。
由于防病毒應用有正當理由請求異常廣泛的權限,因此在企圖濫用這些權限的詐騙者眼中,防病毒應用就是他們最好的掩護。在某些情況下,移動(dòng)防病毒應用甚至被用作傳播惡意軟件的誘餌。用戶(hù)應該留意這些可疑的防病毒解決方案,并且在使用移動(dòng)威脅防護機制時(shí),僅選擇信譽(yù)良好且確實(shí)能夠保護移動(dòng)設備及其中所存儲數據的供應商。
技術(shù)細節:
DU Antivirus Security 應用程序在第一次運行時(shí)會(huì )從用戶(hù)設備上竊取信息。之后將失竊信息發(fā)送到名為 caller.work 的服務(wù)器,該服務(wù)器并未在 DU 應用程序中注冊。但是,該域有兩個(gè)子域,表明它確實(shí)連接到 DU Caller 應用程序。首先,子域 http://reg.caller.work/ 是個(gè) PHP 網(wǎng)頁(yè),指定的主機名為:us02-Du_caller02.usaws02,其中包含 DU Caller 應用程序的名稱(chēng)。
有關(guān)完整的技術(shù)報告,請參閱 Check Point Research。
另外,子域 vfun.caller.work 的主機使用 IP 47.88.174.218,這是個(gè)私人服務(wù)器,也是域 dailypush.news 的主機服務(wù)器。該域注冊在 zhanliangliu@gmail.com 名下,這是一名百度員工,其曾使用相同的郵件地址發(fā)布過(guò)有關(guān)解析電話(huà)號碼的帖子 (http://zliu.org/post/python-libphonenumber/)。由于 DU 應用程序屬于百度公司,并且該帖子涉及與 Caller 應用程序相關(guān)的功能,因此很顯然失竊信息和這款應用之間存在關(guān)聯(lián)。
圖 2:DU Antivirus Security 應用和 Caller 應用之間的聯(lián)系
DU Caller 應用的隱私政策在不同頁(yè)面上顯示不同的條款,而且無(wú)論用戶(hù)同意與否,都會(huì )執行其活動(dòng),因此早已因為隱私政策模糊不清而為人詬病。去年,獵豹移動(dòng) (Cheetah Mobile) 的防病毒應用 (Anti-Virus) 曾因提供可能違反隱私規定的服務(wù)而面臨類(lèi)似指控。
Check Point以色列捷邦安全軟件科技有限公司
Check Point以色列捷邦安全軟件科技有限公司(www.checkpoint.com.cn)是全球最大的專(zhuān)注于安全的解決方案提供商,為各界客戶(hù)提供業(yè)界領(lǐng)先的解決方案抵御惡意軟件和各種威脅。Check Point提供全方位的安全解決方案包括從企業(yè)網(wǎng)絡(luò )到移動(dòng)設備的安全保護,以及最全面和可視化的安全管理方案。Check Point現為十多萬(wàn)不同規模的組織提供安全保護。
