2017 年上半年,在美洲發(fā)生的所有網(wǎng)絡攻擊中,移動攻擊占比近 20%,用戶經(jīng)常接到警告,讓他們小心那些會影響其數(shù)據(jù)和隱私的安全風險,并安裝安全軟件來保護其設備。但如果防病毒解決方案并不可信,而且實際還會侵害用戶隱私,又會是何種局面?
Check Point 移動威脅研究人員最近發(fā)現(xiàn),一款免費移動防病毒應用程序會在未經(jīng)設備所有者同意的情況下收集用戶數(shù)據(jù),該應用是由 Android 應用程序開發(fā)者 DU 所開發(fā)。根據(jù) Google Play 數(shù)據(jù),該應用名為 DU Antivirus Security,通過 Google 官方應用商店 Google Play 發(fā)布,并擁有 1000 萬 到 5000 萬 次的下載量。
據(jù) Check Point 研究發(fā)現(xiàn),DU Antivirus Security 應用在首次運行時會從設備收集信息,例如唯一標識符、聯(lián)系人列表、通話記錄,而且還可能收集設備位置。該應用會對信息加密并發(fā)送到遠程服務器。隨后,DU 集團另一款名為"Caller ID & Call Block - DU Caller"的應用程序將利用該客戶信息,為用戶提供來電信息。
用戶相信 DU Antivirus Security 能夠保護私人信息,事實卻完全相反。其未經(jīng)許可擅自收集用戶的個人信息,并將該私人信息用于商業(yè)目的。這款應用會記錄您的私人電話、通話對象和時長等信息,以備日后使用。
圖 1:Google Play 上的 DU Antivirus Security 應用
2017 年 8 月 21 日,Check Point 向 Google 報告了該應用程序非法使用用戶的私人信息,2017 年 8 月 24 日,該應用從 Google Play 移除。2017 年 8 月 28 日,不包含有害代碼的新版本重新上傳到 Play 商店。最新一版包含隱私泄露代碼的 DU Antivirus Security 版本號為 3.1.5,但舊版本可能仍包含此代碼。
除 DU Antivirus Security 之外,Check Point 研究人員在其他 30 個應用中也檢測到相同代碼,其中 12 個出現(xiàn)在 Google Play 上,隨后也已移除。這些應用程序可能會以外部庫的形式實施代碼,并將盜用數(shù)據(jù)傳輸至 DU Caller 所用的同一遠程服務器?偠灾鶕(jù) Google Play 數(shù)據(jù),安裝這些應用后感染該非法代碼的用戶人數(shù)高達 240 萬至 890 萬。
用戶如果安裝 DU Antivirus Security 或任何其他有害應用,應確保升級至不含此代碼的最新版本。
由于防病毒應用有正當理由請求異常廣泛的權限,因此在企圖濫用這些權限的詐騙者眼中,防病毒應用就是他們最好的掩護。在某些情況下,移動防病毒應用甚至被用作傳播惡意軟件的誘餌。用戶應該留意這些可疑的防病毒解決方案,并且在使用移動威脅防護機制時,僅選擇信譽良好且確實能夠保護移動設備及其中所存儲數(shù)據(jù)的供應商。
技術細節(jié):
DU Antivirus Security 應用程序在第一次運行時會從用戶設備上竊取信息。之后將失竊信息發(fā)送到名為 caller.work 的服務器,該服務器并未在 DU 應用程序中注冊。但是,該域有兩個子域,表明它確實連接到 DU Caller 應用程序。首先,子域 http://reg.caller.work/ 是個 PHP 網(wǎng)頁,指定的主機名為:us02-Du_caller02.usaws02,其中包含 DU Caller 應用程序的名稱。
有關完整的技術報告,請參閱 Check Point Research。
另外,子域 vfun.caller.work 的主機使用 IP 47.88.174.218,這是個私人服務器,也是域 dailypush.news 的主機服務器。該域注冊在 zhanliangliu@gmail.com 名下,這是一名百度員工,其曾使用相同的郵件地址發(fā)布過有關解析電話號碼的帖子 (http://zliu.org/post/python-libphonenumber/)。由于 DU 應用程序屬于百度公司,并且該帖子涉及與 Caller 應用程序相關的功能,因此很顯然失竊信息和這款應用之間存在關聯(lián)。
圖 2:DU Antivirus Security 應用和 Caller 應用之間的聯(lián)系
DU Caller 應用的隱私政策在不同頁面上顯示不同的條款,而且無論用戶同意與否,都會執(zhí)行其活動,因此早已因為隱私政策模糊不清而為人詬病。去年,獵豹移動 (Cheetah Mobile) 的防病毒應用 (Anti-Virus) 曾因提供可能違反隱私規(guī)定的服務而面臨類似指控。
Check Point以色列捷邦安全軟件科技有限公司
Check Point以色列捷邦安全軟件科技有限公司(www.checkpoint.com.cn)是全球最大的專注于安全的解決方案提供商,為各界客戶提供業(yè)界領先的解決方案抵御惡意軟件和各種威脅。Check Point提供全方位的安全解決方案包括從企業(yè)網(wǎng)絡到移動設備的安全保護,以及最全面和可視化的安全管理方案。Check Point現(xiàn)為十多萬不同規(guī)模的組織提供安全保護。
