国内のセキュリティ研究者であるDarkNavyは、あるインターネット・ベンダーのアプリがアンドロイド・システムの抜け穴を悪用して権限を昇格させ、ユーザーのプライバシーを取得し、アンインストールされないようにしたとする記事を公開サイトに掲載した。
インターネット・ベンダーが自身の一見無害なアプリで使用する最初のハッキング・テクニックは、一見無名だが、実は近年非常に有効な攻撃である「束風水」(Android Parcel serialisation and deserialisation mismatch series of vulnerabilities)を悪用し、0day/Nday攻撃を実現することで、システムのチェックサムをバイパスすることだ!一つ目は、システムレベルのStartAnyWhere機能だ。
携帯電話システムを制御した後、アプリは一連のコンプライアンス違反の操作を開き、プライバシーコンプライアンス規制を回避し、ユーザーの個人情報(ソーシャルメディアアカウント情報、位置情報、Wi-Fi情報、基地局情報、さらにはルーター情報などを含む)を収集する。アプリはさらに別のハッキングテクニックを使用し、携帯電話メーカーのOEMコードからエクスポートされたルートパスのFileContentProviderを使用してシステムアプリと機密システムアプリケーションファイルを読み書きする。携帯電話メーカーの OEM コードから派生した FileContentProvider を使用して、System App および機密性の高いシステム アプリケーション ファイルを読み書きし、サンドボックス機構を突破して権限システムを迂回し、主要なシステム設定ファイルを書き換えて自身を存続させ、ユーザーのデスクトップ (Launcher) 設定を変更して自身を隠したり、ユーザーを欺いてアンインストール防止を実現します。さらに、動的コード ファイルを上書きして他のアプリケーションを乗っ取り、バックドアを挿入します。さらに、動的コードファイルを上書きして他のアプリケーションをハイジャックし、バックドア実行コードを注入することで、より密かに長期滞在します。スパイウェアと同じリモートコントロールのメカニズムも実装しており、リモート「クラウドコントロールスイッチ」を介して違法な動作の開始と一時停止を制御し、検出を回避します。
セキュリティ研究機関が、あるアプリが脆弱性を悪用してユーザーのプライバシーに不正アクセスし、遠隔操作を行っていたことを公表した。
Previous: 臭名昭著的Hive 勒索软件组织被FBI渗透
Next: 巴西政府Webmail Gov.br 数据泄露