美研究机构发现:某中国厂商仍在手机中植入后门

根据Malwarebytes移动安全研究小组的研究成果,许多Android用户可能仍然在设备上有后门。

又是某升?

事实上,他们的发现与去年的Adups事件有关。Adups(广升公司)已经在FreeBuf出现过多次。2016年11月中旬,多家外媒曾报道多个品牌的Android手机的固件存在后门,每隔72小时会将短信内容、联系人等信息回传至中国,美国网络安全公司Kryptowire表示,一家名为Adups的中国公司创建的固件代码正在收集大量的用户信息,并将其发送到位于中国的服务器,该固件就是由上海广升公司开发。

根据广升官网的宣传,广升提供FOTA技术服务,目前已与700家领先的芯片厂商、方案设计厂商、ODM/OEM厂商、智能硬件品牌厂商达成战略合作伙伴关系。有7亿设备,包括汽车,使用了该公司的软件。当时的事件影响了众多Android手机型号,国外媒体一片哗然。

Kryptowire称,后门代码会收集短信,通话记录,地址簿,应用程序列表,电话硬件标识符,也能安装新的应用程序或更新现有应用。后门隐藏在一个名为com.adups.fota的内置预装的应用程序中,com.adups.fota是负责手机固件无线更新(FOTA)系统的组件。

当时,专家们认为Adups向其他手机厂商提供了组件,最终安装在了7亿多设备中,其中大多数是廉价Android手机,有些则是Android Barnes&Noble NOOK的平板。

事件曝光后,很多厂商不再出售存在漏洞的机型,而广升集团之后也发布了无后门,不收集收集信息的FOTA组件。尽管今年八月Black Hat 2017上研究人员称,有些设备仍然在收集数据。

但根据Malwarebytes最近的一项调查,部分组件中仍然存在漏洞。

后门出自另一款组件如何删除应用程序

唯一能够删除组件的方法是root设备,但是很多手机厂商并不推荐这样的方法,这可能会带来安全问题。

还有一个名为Debloater的Windows应用程序可以移除UpgradeSys组件,但这个软件没有在所有Android设备上测试过,有可能导致意外。

Malwarebytes表示,目前他们还没有发现应用执行的恶意操作,但这并不能保证广升或黑客不会利用它进行攻击。

最常见的解释是广升在去年清理FOTA组件后忘记从UpgradeSys组件中删除干扰代码。

还不清楚有多少手机受到了影响,但是Collier表示,“有报道说这个手机是从英国等国的合法电话运营商购买的。”

* 参考来源:BleepingComputers,作者Sphinx,转载注明来自Freebuf.COM

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20171220B0MXI600?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券