导语:如果杀毒软件无法信任会发生什么?它会损害用户的隐私吗?

在美国,仅2017年上半年针对移动设备的攻击就已经占据所有网络攻击的近20%,因此,用户也经常会收到警告,让其意识到可能会影响其数据和隐私的安全风险,并建议其安装安全软件来保护设备。但是,如果杀毒软件也无法信任,那接下来会发生什么?它会损害用户的隐私吗?

保护你还是感染你?

近日,Check Point移动威胁研究人员发现了一款免费的移动设备杀毒应用程序,该应用程序是由Android应用开发者DU开发的,据悉,它们会在未经用户授权许可的情况下收集用户数据。

据研究人员介绍称,这款应用程序被命名为“DU Antivirus Security”,目前已经通过Google官方应用商店Google Play发布,据Google Play数据统计显示,该应用程序已经被下载了1000万-5000万次。

DU-AV-image-1.png

Check Point的调查结果显示,当应用程序首次运行时,DU Antivirus Security应用程序会从设备中收集信息,例如唯一标识符、联系人列表、通话记录以及设备的位置等。然后将这些信息加密并发送到远程服务器中。用户的信息随后会被应用开发者DU提供另一个命为“Caller ID & Call Block – DU Caller”的应用程序使用,该应用程序主要用于向用户提供有关呼入电话的信息。

虽然用户信任DU Antivirus Security是用来保护个人信息的,但事实上却恰恰相反。它会在未经许可的情况下收集用户的个人信息,并将这些私人信息用于商业目的。关于你的个人电话,你和谁通话以及通话时长等信息都被记录下来,并用于随后的各种商业目的(电话营销/骚扰等)中。

Check Point早在2017年8月21日就已经对该研究结果进行了通报,Google随后也在2017年8月24日将该应用程序从Google Play中移除。但是,一个不包含有害代码的新版本于2017年8月28日再次上传到了Google Play中。版本号3.1.5的DU Antivirus Security是被发现包含该隐私泄漏代码的最新版本,但其他更旧的版本可能仍存在该安全问题。

除了DU Antivirus Security应用程序外,Check Point研究人员还在其他30个应用程序中检测到了相同的代码,其中12个是在Google Play中发现,随后已被移除。这些应用程序可能将代码作为外部库实现,并将被窃数据传输到DU Caller使用的同一个远程服务器中。根据Google Play的统计数据显示,总体而言,安装这些包含有非法代码的应用程序的用户在2400万-8900万之间。

研究人员警告称,已经安装了DU Antivirus Security或任何其他应用程序的用户应该验证自己的应用程序是否已经升级到了不包含该恶意代码的最新版本。

由于杀毒应用程序有正当的理由向用户请求较高的权限,因此它们也成为渴望滥用这些权限的攻击者的理想选择。在某些情况下,移动防病毒应用程序甚至可以用作传递恶意软件的诱饵。用户应该能够识别这些可疑的防病毒应用程序,并且始终选择信誉度高的供应商提供的移动威胁防护产品,如此才能确保,它们是在保护设备而不是感染设备。

技术细节 

当DU Antivirus Security应用程序首次运行时,它会窃取用户设备上的信息。随后,这些被盗信息会被发送到一个名为“caller.work”的服务器中。但是,该域名有两个子域名,表示它确实是连接到DU caller应用程序。首先,子域名http://reg.caller.work/是一个PHP网页,指定其主机名:us02-Du_caller02.usaws02,并包含DU caller应用程序的名称。

此外,子域名vfun.caller.work是托管在IP 47.88.174.218上,它是一个私有服务器,同时还承载域名dailypush.news。该域名的注册邮箱是[email protected],据悉,百度员工曾用过相同的电子邮件地址发布过有关“解析电话号码”的文章(http://zliu.org/post/python-libphonenumber/)。由于DU应用程序是百度旗下的产品,并且该帖子涉及与DU caller应用程序相关的功能,这表明被盗信息和DU caller应用程序间存在联系。 

1505962508941190.png

【DU AV应用和Caller应用之间的联系】

其实,就在今年5月,香港媒体FactWire也曾报道称,百度开发的来电拦截应用程序DU Caller中所设的搜索功能,可搜索到不少香港特区政府官员的通讯信息。其中包括香港保安局局长黎栋国、警务处处长卢伟聪,甚至是中联办及外交部等中央政府驻港官员的手机号码。

如此看来,DU caller似乎已经陷入了一个模糊不清的隐私政策,它会在不同的页面上显示不同的条款,并在未经用户许可的条件下执行活动。值得注意的是,在DU Caller的软件介绍一栏,对其在线搜索功能有着这样的描述,“DU Caller拥有超过十亿的在线号码库。查找任何号码,即可得知来电号码详细信息!”但是百度方面并没有具体介绍所指的“详细信息”主要包括哪些内容。

149482422319225500_a580xH.jpg

附录

1. Google Play上含有有害代码的应用程序清单

table-300x258.png

2. 应用程序的SHA256哈希

24b1d9bb36e0015a56fadb59051b410181b0f05bbdbcd66 4f2b6cb234b7beccc

3. Google Play外包含有害代码的其他应用程序

屏幕快照 2017-09-21 上午10.02.16.png

源链接

Hacking more

...