将“窃取隐私的贼”扼杀在襁褓中

导读:互联网时代,运筹帷幄之中,决胜千里之外不再是奇人所为,大数据的发展更让我们觉得,世界都在关注我。想你之所想,急你之所急,精准的营销和推荐让我们享受着主人公一样的待遇。然而,事物发展的两面性同时带给我们一些防不胜防的问题,层出不穷的隐私安全事件更是与我们的利益息息相关。互联网时代,我们大多数人都在“裸奔”。

窃取隐私的贼

今日,平台监测到一新型病毒,经安全人员研究,发现该病毒的主要行为是在用户不知情的情况下私自获取用户短信信息以及联系人号码信息,私自获取手机号以及IMEI、IMSI等信息,上传到指定服务器,具有隐私窃取属性;该病毒运行后大量上传用户短信等数据造成流量消耗,具有资费消耗行为;该病毒伪造成时下热火的主播旗下的直播间,诱导用户下载,具有诱骗欺诈行为。

在进行溯源追踪时,发现用户信息接收的服务器未进行任何的登录验证和信息加密,可以看到该病毒获取到的所有用户数据以及时间,数据开始与2018年6月11号,已有一百多人次数据信息,为了保护广大网民的隐私,立刻对此病毒和服务器地址进行了上报处理,将这个“窃取隐私的贼”扼杀在襁褓中。

隐私窃取案侦破

病毒在用户不知情的情况下私自获取用户短信信息以及联系人号码信息,私自获取手机号以及IMEI、IMSI等信息,发送到指定url,具有隐私窃取属性。

应用启动后,获取用户短信信息,如图2-1所示:

图2-1 获取用户短信信息

获取用户联系人信息,如图2-2所示:

图2-2 获取用户联系人

获取手机号以及IMEI、IMSI等设备信息,如图2-3所示:

图2-3 获取用户设备信息

启动线程上传到服务器,如图2-4所示:

图2-4 上传用户隐私数据

通过抓取数据包获取窃取用户隐私证据,如图2-5所示:

图2-5 抓取上传数据包

上传数据包中的用户联系人及短信信息,如图2-6所示:

图2-6 上传数据包信息

数据泄露案追踪

我们的隐私信息获取有很多时候被窃取了,我们不知道,第三方也无法获取,只有窃取者掌握,与此病毒的行为对比我们或许还感到一丝安全。此病毒所使用的服务器地址为:http://*****.***/ck1/index.php,对其进行追踪时发现,其获取的用户隐私数据完全曝光在互联网的阳光下。

服务器首页展示用户隐私数据获取日志,如图3-1所示:

图3-1 首页日志

通过追踪获取服务器数据管理地址,进入用户信息管理系统,如图3-2所示:

图3-2 用户管理系统

用户管理系统中,通过分类和用户ID对用户信息进行查看和修改,如图3-3所示:

图3-3 用户信息修改

通过用户ID查看用户详细通讯录,如图3-4所示:

图3-4 用户联系人

通过用户ID查看用户短信信息,如图3-5所示:

图3-5 用户短信信息

逐本溯源

遇见这样的令人发指的隐私窃取的贼我们绝不放过,但是此经过分析此病毒为新型未成型的病毒,追溯到的信息也很少,我们只能对其服务器域名进行溯源,该域名通过第三方注册,并未获得更多注册者信息。

通过域名的whois查询,获取到注册信息,如图4-1所示:

图4-1 域名溯源

安全建议

Ø  建议用户提高警觉性,使用软件请到官网下载。到应用商店进行下载正版软件,避免从论坛等下载软件,可以有效的减少该类病毒的侵害。关注”暗影实验室”公众号,获取最新实时移动安全状态,避免给您造成损失和危害。 Ø  为防止病毒变种,用户发现已经安装此病毒的,可以请专业人员分析此病毒,获取服务器地址,将参数x设置值为4,将特定ID用户数据删除。 Ø  用户发现感染手机病毒软件之后,可以向“12321网络不良与垃圾信息举报受理中心”或“中国反网络病毒联盟”进行举报,使病毒软件能够第一时间被查杀和拦截。

声明

本报告内容不代表任何企业或任何机构的观点,仅是作者及所在团队作为技术爱好者在工作之余做的一些尝试性研究和经验分享。

本报告虽是基于技术团队认为可靠的信息撰写,团队力求但不保证该信息的准确性和完整性,读者也不应该认为该信息是准确和完整的。这是主要是因为如下一些理由(包括但不限于):

第一,互联网的数据无处不在,我们所能接触到的是极为有限的抽样样本,本身不具备完整性。 第二,不同的技术方法获取的数据有一定的局限性。比如,终端agent获取的数据只能涵盖已部署终端的范围;爬虫技术的时效性和完整性受限于爬虫的规模和能力;网络侧探针技术受限部署探针的节点数量并只能对活跃的行为进行感知。 第三,即使已经纳入到分析范围的样本,也会由于技术团队规则和算法的选择造成统计结论偏差。 第四,技术团队所得出的结论仅仅反映其数字本身,进一步主观得出优劣性的、排名性的、结论性的观点是危险的。因为安全事件往往伴随着业务的良性增长,开放程度,法律法规以及黑色产业链的演进等多方面的因素,是一个复杂的生态问题。

此外,团队不保证文中观点或陈述不会发生任何变更,在不同时期,团队可发出与本报告所载资料、意见及推测不一致的报告。团队会适时更新相关的研究,但可能会因某些规定而无法做到。

最后,即使未经作者的书面授权许可,任何人也可以引用、转载以及向第三方传播。但希望同时能附上完整的原文或至少原始出处。这样的考虑在于:第一,避免选择性的部分引用造成的不必要的误解;其次,避免某些内容的错误经原作者发现并及时调整后没有体现在转载的文中。

感谢大家的理解!

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏非著名程序员

微软收购 GitHub ,GitLab 或成最大赢家?

15730
来自专栏黑白安全

T-Mobile网站的又曝漏洞:任何人只需一个电话号码就可以访问客户信息

T-Mobile客户:您的数据又一次遭到了威胁。这一次的罪魁祸首似乎是一个名为“copypasta”的bug,一位安全研究人员最近在T-Mobile的网站上公开...

10720
来自专栏FreeBuf

对话近期多个DoD漏洞发现者Alyssa Herrera

大家好,我是Alyssa Herrera,现在是一名全职的漏洞挖掘者,我住在美国加利福尼亚。业余时间喜欢玩游戏,和朋友聊天。

11640
来自专栏ThoughtWorks

为低资源地区建造数字化医药库存系统

撒哈拉以南的非洲国家在抗击疾病和延长寿命方面的指标远远低于世界平均标准。医护人力资源的短缺和医疗信息系统的落后是导致人民无法获得医疗保障的两个重要原因。 对于发...

30830
来自专栏云计算D1net

混合云环境中的数据保护

17450
来自专栏FreeBuf

Windows崩溃报告存漏洞,收集的信息或被截获利用

安全研究小组Websense已经发表了其研究的初步结果,强调了Windows"崩溃报告系统"所包含的信息和漏洞,有很大的可能会被黑客截获并利用。Windows会...

217100
来自专栏黑白安全

社会工程学

社交工程是用于通过人类交互完成的广泛恶意活动的术语。它使用心理操纵来诱骗用户犯下安全错误或泄露敏感信息。

79820
来自专栏腾讯云数据库(TencentDB)

TDSQL架构及运营介绍

作者介绍:李瑞,高级DBA,拥有丰富的数据库运维运营经验,现负责腾讯云分布式数据库运营相关工作,对数据库的高一致性、高可靠、分布式架构等有深入理解,擅长MySQ...

1.3K100
来自专栏云计算D1net

微软云计算服务Azure全球大范围宕机

北京时间8月19日消息,据彭博社报道,微软云计算服务Azure的主要组件周一发生全球大范围宕机。 微软表示,Azure服务目前处于中断状态,原因是位于全球多个数...

395100
来自专栏黑白安全

云数据存储:漏洞及避免漏洞方法

大约13年前,我们看到了数据存储市场的又一次革命,出现了针对个人和企业的主要集中式云服务。如今,任何用户都可以轻松地访问任何设备的数据,而企业现在可以节省维护自...

17230

扫码关注云+社区

领取腾讯云代金券