Malwarebytes:某中国厂商仍在手机中植入..
Malwarebytes:某中国厂商仍在手机中植入..
根据Malwarebytes移动安全研究小组的研究成果,许多Android用户可能仍然在设备上有后门。
又是某升?
事实上,他们的发现与去年的Adups事件有关。Adups(广升公司)已经在FreeBuf出现过多次。2016年11月中旬,多家外媒曾报道多个品牌的Android手机的固件存在后门,每隔72小时会将短信内容、联系人等信息回传至中国,美国网络安全公司Kryptowire表示,一家名为Adups的中国公司创建的固件代码正在收集大量的用户信息,并将其发送到位于中国的服务器,该固件就是由上海广升公司开发。
根据广升官网的宣传,广升提供FOTA技术服务,目前已与700家领先的芯片厂商、方案设计厂商、ODM/OEM厂商、智能硬件品牌厂商达成战略合作伙伴关系。有7亿设备,包括汽车,使用了该公司的软件。当时的事件影响了众多Android手机型号,国外媒体一片哗然。
Kryptowire称,后门代码会收集短信,通话记录,地址簿,应用程序列表,电话硬件标识符,也能安装新的应用程序或更新现有应用。后门隐藏在一个名为com.adups.fota的内置预装的应用程序中,com.adups.fota是负责手机固件无线更新(FOTA)系统的组件。
当时,专家们认为Adups向其他手机厂商提供了组件,最终安装在了7亿多设备中,其中大多数是廉价Android手机,有些则是Android Barnes&Noble NOOK的平板。
事件曝光后,很多厂商不再出售存在漏洞的机型,而广升集团之后也发布了无后门,不收集收集信息的FOTA组件。尽管今年八月Black Hat 2017上研究人员称,有些设备仍然在收集数据。
但根据Malwarebytes最近的一项调查,部分组件中仍然存在漏洞。
后门出自另一款组件
Malwarebytes表示,它发现另一款Adups组件在做坏事。就像之前的Adups后门一样,这个应用程序也是无法移除的,用户也无法禁用。
这个新的组件有两个包名com.adups.fota.sysoper和com.fw.upgrade.sysoper,在手机的应用列表里显示的名称是UpgradeSys (FWUpgradeProvider.apk)。
第二个组件可以在名称为UpgradeSys(FWUpgradeProvider.apk)的名称下找到,例如com.adups.fota.sysoper或com.fw.upgrade.sysoper,它们出现在手机的应用程序列表中。
如何删除应用程序
唯一能够删除组件的方法是root设备,但是很多手机厂商并不推荐这样的方法,这可能会带来安全问题。
还有一个名为Debloater的Windows应用程序可以移除UpgradeSys组件,但这个软件没有在所有Android设备上测试过,有可能导致意外。
Malwarebytes表示,目前他们还没有发现应用执行的恶意操作,但这并不能保证广升或黑客不会利用它进行攻击。
最常见的解释是广升在去年清理FOTA组件后忘记从UpgradeSys组件中删除干扰代码。
还不清楚有多少手机受到了影响,但是Collier表示,“有报道说这个手机是从英国等国的合法电话运营商购买的。”
* 参考来源:BleepingComputers,作者Sphinx,转载注明来自Freebuf.COM 返回搜狐,查看更多
责任编辑: