上周有很多关于Android智能手机安全性的新闻。 许多媒体(例如
ArsTechnica )写道,谷歌“证实”了在“出厂时”预装了后门的智能手机的销售事实。 成为此类头条新闻的原因是Google专家Lukasz Siverski撰写的完全是技术
文章,其中分析了Triada移动恶意软件家族。
自2016年以来,研究人员(当然包括Google团队)就知道Triada。 卡巴斯基实验室专家(
此处和
此处 )首次描述了后门。 这两篇材料详细介绍了将恶意代码引入操作系统(早于Android 4.x),收集和发送用户数据,以及修改了几种浏览器以显示横幅广告。
Android安全团队代表的帖子中真正有趣的是,该恶意软件是如何准确地进入手机固件的。 中国预算设备的开发人员已与承包商联系,以开发其他功能。 通过这样的承包商,后门被内置到系统中。
卡巴斯基实验室(Kaspersky Lab)2016年的一项研究描述了Triada变体,该变体可以预装在中国制造商的手机上,但也能够攻击其他任何智能手机。 Triada利用了当前版本的Android 4.x中的漏洞。 后门的一个独特功能是能够集成到称为Zygote的关键Android进程中。
这种方法为特洛伊木马提供了对设备的几乎完全控制。 Android安全团队的一篇文章详细介绍了一个细节:Triada使用了经过修改的su二进制文件来控制系统进程。 仅当应用程序使用正确的密码发出请求时,他才授予应用程序超级用户特权。
此外,在Lukasz Siverski的帖子中,它还介绍了后门如何跟踪用户打开了哪个应用程序。 如果是浏览器,则会在其顶部显示广告。 如果打开了Google Play商店,则Triada在后台从其自己的命令服务器下载并安装了应用程序。
2017年,Dr.Web在其
研究中列举了受工厂后门感染的智能手机示例:Leagoo M5 Plus,Leagoo M8,Nomu S10和S20。 廉价的设备(约100美元)在中国和西方都有出售,其中一些仍然可以在中国的在线商店中找到。
Google在最近的一篇文章中揭示了一种实现Triada的“工厂”版本的方案(参见上图)。 显然,智能手机提供商转向了第三方公司,以在设备的固件中包括Android Open Source项目中不可用的其他功能。 为此,系统映像已发送给承包商(由Yehuo和Blazefire提及)。 他带着附属物返回-合法的(在拥有者面前解锁)和恶意的。 Google报告说,他们与设备开发人员一起从固件中删除了后门痕迹。
但是,显然只有这个后门。 6月7日,德国信息安全管理局(BSI)的代表报道了有关在四款廉价智能手机中发现Xgen2-CY后门的
消息 。 Doogee BL7000,M-Horse Pure 1,Keecoo P11和VKworld Mix Plus模型收集用户信息并将其发送到命令服务器,它们能够在用户不知情的情况下在浏览器中安装应用程序和打开页面。 仅对于Keecoo P11型号(5.7英寸,4核,2 GB内存,GearBest上的$ 110),可提供不带后门的固件更新版本。 据BSI称,多达2万台设备从德国IP访问攻击者的C&C服务器。
总的来说,这个问题尚未完全解决,对消费者的建议可能是:在购买可疑品牌的廉价智能手机之前,请三思而后行。 去年7月,我们引用了Motherboard的一篇文章,该文章
描述了来自中国的iPhone X精装副本。 设备向左右发送用户信息。 此类工艺品通常不会落在中国境外,但某些“国际”设备也不会更好。 当我们讨论隐私问题和所有市场参与者收集用户数据的做法时,世界各地成千上万的人正成为网络犯罪分子的受害者。
免责声明:本摘要中表达的观点可能并不总是与卡巴斯基实验室的官方立场相符。 亲爱的编辑们通常建议以健康的怀疑态度对待任何观点。