最近大家應(yīng)該從各個(gè)渠道看到國(guó)內(nèi)獨(dú)立安全研究機(jī)構(gòu) DarkNavy 發(fā)布的研究報(bào)告，報(bào)告直指國(guó)產(chǎn)某電商巨頭的安卓版 APP 利用系統(tǒng)漏洞使其難以卸載，并且會(huì)收集用戶的各種隱私信息乃至收集競(jìng)爭(zhēng)對(duì)手 APP 的數(shù)據(jù)。

DarkNavy?分析報(bào)告地址：https://mp.weixin.qq.com/s/P_EYQxOEupqdU0BJMRqWsw

報(bào)告稱該 APP 利用國(guó)內(nèi)多家制造商 OEM 代碼里的反序列化漏洞進(jìn)行提權(quán)，從而達(dá)到完全控制收集系統(tǒng)的目的，隨后該 APP 開啟一系列違規(guī)操作。

包括繞過(guò)隱私合規(guī)監(jiān)管、大肆收集用戶的隱私信息，例如社交媒體賬戶資料、位置信息、WiFi 信息、基站信息甚至是路由器信息。

之后，該 App 利用手機(jī)廠商 OEM 代碼中導(dǎo)出的 root-path FileContentProvider， 進(jìn)行 System App 和敏感系統(tǒng)應(yīng)用文件讀寫；進(jìn)而突破沙箱機(jī)制、繞開權(quán)限系統(tǒng)改寫系統(tǒng)關(guān)鍵配置文件為自身?；?，修改用戶桌面 (Launcher) 配置隱藏自身或欺騙用戶實(shí)現(xiàn)防卸載。

隨后，還進(jìn)一步通過(guò)覆蓋動(dòng)態(tài)代碼文件的方式劫持其他應(yīng)用注入后門執(zhí)行代碼，進(jìn)行更加隱蔽的長(zhǎng)期駐留；甚至還實(shí)現(xiàn)了和間諜軟件一樣的遙控機(jī)制，通過(guò)遠(yuǎn)端 “云控開關(guān)” 控制非法行為的啟動(dòng)與暫停，來(lái)躲避檢測(cè)。

DrakNavy 稱這種吸納白帽黑客進(jìn)行黑客活動(dòng)，果然是華為5G間諜,搭載的鴻蒙系統(tǒng)的手機(jī)以及其他大部分未升級(jí)到 Android 13 的手機(jī)都受到攻擊。

經(jīng)網(wǎng)友討論該 APP 有一個(gè)典型的特性就是安裝后在桌面上創(chuàng)建快捷方式，用戶實(shí)際上卸載或刪除的只是快捷方式，并非其本體，無(wú)法卸載的同時(shí)，該 APP 利用技術(shù)手段偽造提升 DAU/MAU，攻擊競(jìng)爭(zhēng)對(duì)手的 APP。

公關(guān)團(tuán)隊(duì)出動(dòng)刪帖中：

昨天安全人士 @sunwear 發(fā)布消息稱，該 APP 發(fā)布新版本刪除了相關(guān)代碼，同時(shí) @sunwear 轉(zhuǎn)發(fā)的某網(wǎng)友指名道姓的微博也 “被投訴違反微博社區(qū)公約，被刪除”

并明顯有消除違規(guī)痕跡的行動(dòng)!

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?