将“窃取隐私的贼”扼杀在襁褓中
导读:互联网时代,运筹帷幄之中,决胜千里之外不再是奇人所为,大数据的发展更让我们觉得,世界都在关注我。想你之所想,急你之所急,精准的营销和推荐让我们享受着主人公一样的待遇。然而,事物发展的两面性同时带给我们一些防不胜防的问题,层出不穷的隐私安全事件更是与我们的利益息息相关。互联网时代,我们大多数人都在“裸奔”。
窃取隐私的贼
今日,平台监测到一新型病毒,经安全人员研究,发现该病毒的主要行为是在用户不知情的情况下私自获取用户短信信息以及联系人号码信息,私自获取手机号以及IMEI、IMSI等信息,上传到指定服务器,具有隐私窃取属性;该病毒运行后大量上传用户短信等数据造成流量消耗,具有资费消耗行为;该病毒伪造成时下热火的主播旗下的直播间,诱导用户下载,具有诱骗欺诈行为。
在进行溯源追踪时,发现用户信息接收的服务器未进行任何的登录验证和信息加密,可以看到该病毒获取到的所有用户数据以及时间,数据开始与2018年6月11号,已有一百多人次数据信息,为了保护广大网民的隐私,立刻对此病毒和服务器地址进行了上报处理,将这个“窃取隐私的贼”扼杀在襁褓中。
隐私窃取案侦破
病毒在用户不知情的情况下私自获取用户短信信息以及联系人号码信息,私自获取手机号以及IMEI、IMSI等信息,发送到指定url,具有隐私窃取属性。
应用启动后,获取用户短信信息,如图2-1所示:
图2-1 获取用户短信信息
获取用户联系人信息,如图2-2所示:
图2-2 获取用户联系人
获取手机号以及IMEI、IMSI等设备信息,如图2-3所示:
图2-3 获取用户设备信息
启动线程上传到服务器,如图2-4所示:
图2-4 上传用户隐私数据
通过抓取数据包获取窃取用户隐私证据,如图2-5所示:
图2-5 抓取上传数据包
上传数据包中的用户联系人及短信信息,如图2-6所示:
图2-6 上传数据包信息
数据泄露案追踪
我们的隐私信息获取有很多时候被窃取了,我们不知道,第三方也无法获取,只有窃取者掌握,与此病毒的行为对比我们或许还感到一丝安全。此病毒所使用的服务器地址为:http://*****.***/ck1/index.php,对其进行追踪时发现,其获取的用户隐私数据完全曝光在互联网的阳光下。
服务器首页展示用户隐私数据获取日志,如图3-1所示:
图3-1 首页日志
通过追踪获取服务器数据管理地址,进入用户信息管理系统,如图3-2所示:
图3-2 用户管理系统
用户管理系统中,通过分类和用户ID对用户信息进行查看和修改,如图3-3所示:
图3-3 用户信息修改
通过用户ID查看用户详细通讯录,如图3-4所示:
图3-4 用户联系人
通过用户ID查看用户短信信息,如图3-5所示:
图3-5 用户短信信息
逐本溯源
遇见这样的令人发指的隐私窃取的贼我们绝不放过,但是此经过分析此病毒为新型未成型的病毒,追溯到的信息也很少,我们只能对其服务器域名进行溯源,该域名通过第三方注册,并未获得更多注册者信息。
通过域名的whois查询,获取到注册信息,如图4-1所示:
图4-1 域名溯源
安全建议
Ø 建议用户提高警觉性,使用软件请到官网下载。到应用商店进行下载正版软件,避免从论坛等下载软件,可以有效的减少该类病毒的侵害。关注”暗影实验室”公众号,获取最新实时移动安全状态,避免给您造成损失和危害。 Ø 为防止病毒变种,用户发现已经安装此病毒的,可以请专业人员分析此病毒,获取服务器地址,将参数x设置值为4,将特定ID用户数据删除。 Ø 用户发现感染手机病毒软件之后,可以向“12321网络不良与垃圾信息举报受理中心”或“中国反网络病毒联盟”进行举报,使病毒软件能够第一时间被查杀和拦截。
声明
本报告内容不代表任何企业或任何机构的观点,仅是作者及所在团队作为技术爱好者在工作之余做的一些尝试性研究和经验分享。
本报告虽是基于技术团队认为可靠的信息撰写,团队力求但不保证该信息的准确性和完整性,读者也不应该认为该信息是准确和完整的。这是主要是因为如下一些理由(包括但不限于):
第一,互联网的数据无处不在,我们所能接触到的是极为有限的抽样样本,本身不具备完整性。 第二,不同的技术方法获取的数据有一定的局限性。比如,终端agent获取的数据只能涵盖已部署终端的范围;爬虫技术的时效性和完整性受限于爬虫的规模和能力;网络侧探针技术受限部署探针的节点数量并只能对活跃的行为进行感知。 第三,即使已经纳入到分析范围的样本,也会由于技术团队规则和算法的选择造成统计结论偏差。 第四,技术团队所得出的结论仅仅反映其数字本身,进一步主观得出优劣性的、排名性的、结论性的观点是危险的。因为安全事件往往伴随着业务的良性增长,开放程度,法律法规以及黑色产业链的演进等多方面的因素,是一个复杂的生态问题。
此外,团队不保证文中观点或陈述不会发生任何变更,在不同时期,团队可发出与本报告所载资料、意见及推测不一致的报告。团队会适时更新相关的研究,但可能会因某些规定而无法做到。
最后,即使未经作者的书面授权许可,任何人也可以引用、转载以及向第三方传播。但希望同时能附上完整的原文或至少原始出处。这样的考虑在于:第一,避免选择性的部分引用造成的不必要的误解;其次,避免某些内容的错误经原作者发现并及时调整后没有体现在转载的文中。
感谢大家的理解!