保護你還是kill你?殺毒軟體(DU Antivirus Security)竊取用戶數據背後的真相
在美國,僅2017年上半年針對移動設備的攻擊就已經佔據所有網路攻擊的近20%,因此,用戶也經常會收到警告,讓其意識到可能會影響其數據和隱私的安全風險,並建議其安裝安全軟體來保護設備。但是,如果殺毒軟體也無法信任,那接下來會發生什麼?它會損害用戶的隱私嗎?
保護你還是感染你?
近日,Check Point移動威脅研究人員發現了一款免費的移動設備殺毒應用程序,該應用程序是由Android應用開發者DU開發的,據悉,它們會在未經用戶授權許可的情況下收集用戶數據。
據研究人員介紹稱,這款應用程序被命名為「DU Antivirus Security」,目前已經通過Google官方應用商店Google Play發布,據Google Play數據統計顯示,該應用程序已經被下載了1000萬-5000萬次。
Check Point的調查結果顯示,當應用程序首次運行時,DU Antivirus Security應用程序會從設備中收集信息,例如唯一標識符、聯繫人列表、通話記錄以及設備的位置等。然後將這些信息加密並發送到遠程伺服器中。用戶的信息隨後會被應用開發者DU提供另一個命為「Caller ID & Call Block – DU Caller」的應用程序使用,該應用程序主要用於向用戶提供有關呼入電話的信息。
雖然用戶信任DU Antivirus Security是用來保護個人信息的,但事實上卻恰恰相反。它會在未經許可的情況下收集用戶的個人信息,並將這些私人信息用於商業目的。關於你的個人電話,你和誰通話以及通話時長等信息都被記錄下來,並用於隨後的各種商業目的(電話營銷/騷擾等)中。
Check Point早在2017年8月21日就已經對該研究結果進行了通報,Google隨後也在2017年8月24日將該應用程序從Google Play中移除。但是,一個不包含有害代碼的新版本於2017年8月28日再次上傳到了Google Play中。版本號3.1.5的DU Antivirus Security是被發現包含該隱私泄漏代碼的最新版本,但其他更舊的版本可能仍存在該安全問題。
除了DU Antivirus Security應用程序外,Check Point研究人員還在其他30個應用程序中檢測到了相同的代碼,其中12個是在Google Play中發現,隨後已被移除。這些應用程序可能將代碼作為外部庫實現,並將被竊數據傳輸到DU Caller使用的同一個遠程伺服器中。根據Google Play的統計數據顯示,總體而言,安裝這些包含有非法代碼的應用程序的用戶在2400萬-8900萬之間。
研究人員警告稱,已經安裝了DU Antivirus Security或任何其他應用程序的用戶應該驗證自己的應用程序是否已經升級到了不包含該惡意代碼的最新版本。
由於殺毒應用程序有正當的理由向用戶請求較高的許可權,因此它們也成為渴望濫用這些許可權的攻擊者的理想選擇。在某些情況下,移動防病毒應用程序甚至可以用作傳遞惡意軟體的誘餌。用戶應該能夠識別這些可疑的防病毒應用程序,並且始終選擇信譽度高的供應商提供的移動威脅防護產品,如此才能確保,它們是在保護設備而不是感染設備。
技術細節
當DU Antivirus Security應用程序首次運行時,它會竊取用戶設備上的信息。隨後,這些被盜信息會被發送到一個名為「caller.work」的伺服器中。但是,該域名有兩個子域名,表示它確實是連接到DU caller應用程序。首先,子域名http://reg.caller.work/是一個PHP網頁,指定其主機名:us02-Du_caller02.usaws02,並包含DU caller應用程序的名稱。
此外,子域名vfun.caller.work是託管在IP 47.88.174.218上,它是一個私有伺服器,同時還承載域名dailypush.news。該域名的註冊郵箱是zhanliangliu@gmail.com,據悉,百度員工曾用過相同的電子郵件地址發布過有關「解析電話號碼」的文章(http://zliu.org/post/python-libphonenumber/)。由於DU應用程序是百度旗下的產品,並且該帖子涉及與DU caller應用程序相關的功能,這表明被盜信息和DU caller應用程序間存在聯繫。
【DU AV應用和Caller應用之間的聯繫】
其實,就在今年5月,香港媒體FactWire也曾報道稱,百度開發的來電攔截應用程序DU Caller中所設的搜索功能,可搜索到不少香港特區政府官員的通訊信息。其中包括香港保安局局長黎棟國、警務處處長盧偉聰,甚至是中聯辦及外交部等中央政府駐港官員的手機號碼。
如此看來,DU caller似乎已經陷入了一個模糊不清的隱私政策,它會在不同的頁面上顯示不同的條款,並在未經用戶許可的條件下執行活動。值得注意的是,在DU Caller的軟體介紹一欄,對其在線搜索功能有著這樣的描述,「DU Caller擁有超過十億的在線號碼庫。查找任何號碼,即可得知來電號碼詳細信息!」但是百度方面並沒有具體介紹所指的「詳細信息」主要包括哪些內容。
附錄
1. Google Play上含有有害代碼的應用程序清單
2. 應用程序的SHA256哈希
24b1d9bb36e0015a56fadb59051b410181b0f05bbdbcd66 4f2b6cb234b7beccc
3. Google Play外包含有害代碼的其他應用程序
本文翻譯自:https://research.checkpoint.com/mobile-anti-virus-app-protect-infect-truth-behind-du-antivirus-security/如若轉載,請註明來源於嘶吼: http://www.4hou.com/info/news/7764.html 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※如何看待餘額寶於2014年2月再次爆出漏洞的情況?
※wpa2破解代碼思路(教你寫poc)
※獨立觀點:小米科技物流訂單數據」泄露」究竟誰之過
※疑似俄羅斯APT黑客組織「蜻蜓」入侵美國電網
※青春期少年竟是美國政府信息泄露懸案的真兇
TAG:信息安全 |