Pages

Thursday, 18 December 2014

研究人员发现绝大部分酷派(Coolpad)手机暗藏后门

上个月,有黑客透露酷派手机通过酷云往用户的手机上悄悄推送和安装应用程序。安全公司现在证实这是一个官方植入的后门程序。
酷派是中国第三大智能手机制造商。安全公司 Palo Alto Networks 的研究人员称,这个后门允许酷派未经用户授权下载安装和激活任何应用。它还能发送伪造的 OTA 更新,拨打电话号码,发送短信和彩信,向酷派上传设备和用户使用信息。
安全研究人员称,酷派修改了 Android 系统,使得后门能躲避移动安全软件的检测。后门是深度植入在操作系统中,酷派植入该后门的动机是为了创造收入,但任何后门都可能会被滥用。
Palo Alto Networks 检查了酷派设备的 77 个 ROM,有 64 个含有后门,41 个官方的 ROM 镜像使用酷派的证书签名,后门的指令控制服务器是 coolyun.com51Coolpad.com,全都属于酷派所有。
来自:solidot
研究人员发现绝大部分酷派(Coolpad)手机暗藏后门
网络安全公司Palo Alto披露,酷派安卓设备上存在搜集用户隐私数据的恶意后门程序。酷派是国内知名手机制造商(你常常会在办宽带、话费套餐送手机时遇到它),产品远销国外。研究人员认为,酷派公司在生产设备时故意在其产品中设置了后门。
绝大部分酷派手机存在后门
在移动安卓系统上安装插件是再平常不过的事情了,基本上大部分手机厂商都会在手机中增加一些定制性的应用程序(APP),但是安装用于搜集用户隐私 数据的APP,这似乎就不厚道了——据研究人员分析,恶意后门程序CoolReaper不仅仅是搜集一些基础性数据,它更像是一个真正的恶意后门程序,反 病毒软件也很难检测。
恶意后门程序CoolReaper是由Palo Alto公司的安全研究员Claud Xiao发现的,他已经在24部酷派手机模型上验证了这一后门,这意味着有将近1千万的用户存在安全隐患。
Claud Xiao称:
“作为一个普通的用户,我们允许酷派安装一些功能性的软件并能及时的更新。但是,酷派却超出了我们的想象,它居然在手机里安装了后门程序,更可怕的是它还把这一后门隐藏了起来,反病毒程序都检测不到它的存在。”
恶意程序可能执行的操作
据研究者调查发现,恶意后门程序CoolReaper可以执行以下操作,其中每一项操作都可能泄露用户敏感信息或者酷派的数据:
1.在用户不知情的情况下下载、安装或者激活安卓应用程序(APP)
2.清除用户数据、卸载现有应用程序、禁用系统应用程序
3.给用户发送伪造的更新通知,然后安装一个恶意应用程序
4.向手机发送或者插入任意的短信息
5.拨打任意手机号码
6.向酷派服务器上传用户信息,如地理位置、应用程序用途,历史通话和SMS信息记录
更多技术细节
研究人员之所以会调查酷派手机,是因为他们在网上看了很多中国用户的抱怨。早在11月份的时候酷派的终端控制系统中出现了一个漏洞,也是这次研究人员才知道酷派公司在其软件中安装了后门。
更多技术细节可以访问:
https://www.paloaltonetworks.com/content/dam/paloaltonetworks-com/en_US/assets/pdf/reports/Unit_42/unit42-cool-reaper.pdf
-------------------------------------------------

酷派-一家有志于做“App打包党”的手机厂商

不久之前被发现的恶意软件“WireLurker”一举终结了苹果没有病毒的神话。
这个消息最早来自《纽约时报》的报道,发现WireLurker并为其命名的是一家美国的安全公司,叫Palo Alto Networks。
昨天,Palo Alto又证实,酷派手机上有一个后门程序,它们将这个后门程序命名为“CoolReaper”,这个程序能在用户没有授权的情况下,下载、安装、激活、卸载任何应用,甚至能推送假的OTA升级来安装未知应用。
更可怕的是,这个后门程序是酷派官方植入的。
Palo Alto称,目前仅发现酷派的高端品牌手机“大神”存在CoolReaper后门程序。Palo Alto检查了酷派设备的77个ROM,其中有64个含有后门,41个官方的ROM镜像使用酷派的证书签名,后门的指令控制服务器是 coolyun.com和51Coolpad.com,全都属于酷派所有。
严格说来,这个后门程序不是Palo Alto首次发现的,1个月前,有白帽子黑客在乌云漏洞平台发帖表示,“酷派官方静默安装apk功能后台存在高危漏洞”。
这名白帽子透露,酷派手机的一个在线管理平台专门负责往用户的手机上悄悄推送和安装应用程序。通过这名白帽子发来的截图可以看到,甚至有专门的业务 人员提交申请,在应用程序上插入种种恶意行为,包括推送安装包、激活应用、打开网页链接、拨打电话、伪装插入短信彩信、伪装OTA升级包……
当天,酷派就确认了这个“漏洞”,并把它列为了最高漏洞等级。
但几天后,酷派给出的回应是,酷派遭遇黑客恶意攻击,流氓推广系黑客篡改服务器后台,与酷派无关。
不过,最早报道此事的网站安全牛表示,“(发稿后)自称酷派公关的人员联系到安全牛,声称报道中所使用的恶意推送平台为’内部测试使用’,要求安全牛撤稿。安全牛要求对方出示酷派的正式撤稿函以及声称“报道不实”的相关证据,但到现在为止,安全牛并未收到任何相关证明。”
Palo Alto引用了“内部测试使用”这个说法,酷派随后将ROM从2.x升级到了3.0,不过Palo Alto猜测,酷派只是把后门程序的安装包的名字从CP_DMP.apk改成了GoogleGmsFramework.apk,来蒙蔽已经发现这个程序的用户。
“之前,由用户抱怨被强制安装了未知软件,还有烦人的推送广告,但都被酷派忽略或删除了。”
是不是听起来触目惊心?
更有讽刺意味的是,今年9月份,出于安全考虑,上海的公务员系统开始更换加密手机,最终中标的就是酷派。
酷派集团副总裁曹井升当时接受媒体采访时介绍,目前市面上主流的第三方安全软件,仅仅是纯软件层面上的保护,无法取得用户手机软件驱动层的管理权 限,不能完全杜绝某些恶意软件透过非法途径入侵到软件底层达成非法目的,而“加密手机”则是采用了软件、硬件与系统底层协议结合的安全保护方式。
“为了应对Android本身的安全缺陷问题,’加密手机’重构了Android OS并删除其后门程序,植入酷派底层安全架构,安全防护直接管理到软件驱动层,与硬件平台互动控制。”
看来酷派的技术是十分过硬的。
酷派为什么要这么做?唯一的解释就是牟利。
上周,《第一财经日报》报道了国内的“App打包党de灰色产业链”,所谓的“App打包”,就是将互联网上最热门的App拆包,然后插入一些自己想要分发的东西再重新拼装,最后把这些“二次打包”的软件重新发布,以此牟利。插入的东西,可以是广告,也可以是木马、病毒。
报道称,低门槛、零成本、高收入,使得“二次打包”灰色产业链迅速形成,而一个10人团队一个月可纯赚150万元。
当这个“打包党”是国内第三大、全世界第六大的智能手机厂商,收益简直不知道要高到哪里去了。
对了,酷派还是国内第一大4G手机厂商.