移动互联网时代,有一种行为没法忍:那就是私自收集和使用用户个人信息。要是放在欧盟或美国,这些公司早被重罚警告或者吃官司了。现在APP流行,遇到"流氓"应用软件,不是收集你的个人信息,就是捆绑不需要的软件或恶意消耗你的流量。因此,值此315之际,不法APP开发商应当被视为"过街老鼠,人人喊打"。
13日,一家外国科技媒体披露了一条信息:杭州顺网科技控制的服务器通过数据窃取组件收集电话联系人列表、地理位置和QQ登录信息。最可怕的是,这个数据收集组件存在于国内主要第三方应用商店提供的多达12个安卓应用程序中。
据悉,窃取用户个人信息的代码隐藏在看似良性应用程序的数据分析软件开发工具包(SDK)中,一旦用户手机重启或受感染的应用程序启动,就能提供详细信息。
研究人员认为,收集最终用户的联系人列表可能会在没有应用程序开发人员了解的情况下发生。
大多数的应用程序都是系统实用程序,可以从国内主流应用商店进行安装,比如腾讯应用宝、豌豆荚、华为应用商店和小米应用商店。据了解,受感染的应用程序已至少下载1.11亿次。一些开发人员似乎与顺网科技有关,因为他们的应用程序仅仅在公司网站上发布。
Check Point的恶意软件分析师兼逆向工程师Feixiang He和Andrey Polkovnichenko自9月中旬以来一直在追踪它。
通过SDK代码,他们注意到美图手机上没有发生数据泄露过程。此外,该操作仅针对运行Android 6及更高的设备,它们占安卓市场份额的70%以上。
所有受影响的应用程序都集成了SWAnalytics SDK,并要求获得比正常运行所需的更多权限。监控"Operation Sheep"时分析的其中一个应用是Network Speed Master,它要求访问位置数据、摄像头和电话联系人,这些数据对网络监控工具毫无用处。
然而,这两位研究者发现了Network Speed Master的清单文件中列出的"CoreReceiver",这是一个监视设备活动的模块,例如应用安装/删除/更新、电话重启和电池充电。
"因为没有明确的顺网使用声明,也没有适当的监管监督,这些数据可能流入地下市场被进一步利用,包括流氓营销、有针对性的电话诈骗,甚至是每年的双十一和12月的在线网购节。"这两名研究人员在最近的一篇博客中警告说。
根据Check Point的研究,SWAnalytics专门针对QQ登录数据,因为它在安卓设备的外部存储中搜索存储QQ登录数据缓存的"tencent/MobileQQ/WebViewCheck"文件夹。
在向顺网服务器发送信息前,SDK应用DES加密两次,使用主密钥在发送前加密数据包,以及用于加密主密钥的硬编码密码。
SWAnalytics可以接收和处理配置文件,从而使其数据收集功能可以自定义。因此,当受感染的应用程序启动或设备重新启动时,它会从顺网服务器检索最新的配置文件"http[:]//mbl[.]shunwang[.]com/cfg/config[.]json"。
两位研究人员看到的最新命令是,要求每五秒收集一次地理定位数据并进行QQ登录。确保数据捕获过程存活的检查间隔设置为15分钟,这也是上传信息的间隔。
两位研究人员在2018年9月中旬发现了第一个恶意样本,并在下面的12个应用程序中跟踪了数据收集操作。并且,他们称在Google Play上没有发现SWAnalytics的迹象。
1. Incoming Call Flashlight
2. Network Speed Master
3. Battery Doctor
4. Wi-Fi Password Key
5. Wi-Fi Signal Amplifier
6. Syoo Video
7. Super Battery Charge
8. Happy Fishing(and 2 variants)
9. 91Y Live
10. 91Y Game
閱讀更多 科技天天侃 的文章
