V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
cattrace
V2EX  ›  分享发现

杭州某科技公司利用 sdk 大规模踩集安卓端用户信息

  •  
  •   cattrace · 2019-03-18 09:43:37 +08:00 · 4197 次点击
    这是一个创建于 2085 天前的主题,其中的信息可能已经有所发展或是发生改变。

    受影响应用

    来电闪光灯 com.hd.fly.flashlight 测速大师 com.syezon.lab.networkspeed 电池医生 com.isyezon.kbatterydoctorWiFi 密码神器 com.syezon.wifikey WiFi 信号增强器 com.syezon.wifi 氧秀直播 com.syoogame.yangba 充电加速器 com.hodanet.charge
    等等

    我自己下载了充电加速器想验证一下,不料 ghidra 和常规安卓逆向工具都失败了,这是款通过杀耗电进程来帮助用户提高电池充电速度的软件(听起来很可笑)。

    下图是 checkpoint 工程师分析的收集 qq 登录目录信息的实锤截图:

    https://research.checkpoint.com/wp-content/uploads/2019/02/fig6-2.png

    来源: https://research.checkpoint.com/operation-sheep-pilfer-analytics-sdk-in-action/ 有数据,有分析,checkpoint 的报告我还是信的过的。

    第 1 条附言  ·  2019-03-18 14:47:53 +08:00
    逆向成功了,基本证实该报告。

    首先我在 pc6 上找到了这款软件,去年 12 月的版本,下载地址:
    http://www.pc6.com/az/117391.html

    用 Virtuous Ten Studio 设置成 Advance 模式进行逆向,注意 apktool 要 2.4 版本的,之前失败就是这个版本太低。

    分析完后搜索该公司的 c&c 配置 url (目前无法访问了),果然找到了,和报告中一致

    我逆向的(smail):



    报告中的( java ):



    再找一下搜集 qq 路径的特征,也找到了:


    报告中的:


    结论:可信度 99%,大家可以自己去验证下噢,这家公司最近还辟谣了,是不是谣言,自己可以判断。
    22 条回复    2019-03-20 09:55:45 +08:00
    yksoft1ex
        1
    yksoft1ex  
       2019-03-18 10:10:14 +08:00
    话说为啥他们屏蔽了美图手机?难道他们老板用的是美图。。
    kassadin
        2
    kassadin  
       2019-03-18 10:37:53 +08:00
    baidu 有几条相关新闻,都打不开了
    cattrace
        3
    cattrace  
    OP
       2019-03-18 10:40:44 +08:00
    @kassadin 所以 在这里别提公司名字噢
    restlessdream
        4
    restlessdream  
       2019-03-18 10:51:06 +08:00   ❤️ 1
    这公司什么来头?
    删帖子速度这么快?网上好多帖子都被处理了。
    yghack
        5
    yghack  
       2019-03-18 10:54:11 +08:00
    顺 X 毕竟是上市公司
    公关能力很厉害
    yukiww233
        6
    yukiww233  
       2019-03-18 10:59:40 +08:00
    网吧平台运营商....看来大部分数据来源不是手机 sdk 啊
    cattrace
        7
    cattrace  
    OP
       2019-03-18 11:09:19 +08:00
    消息代码 用法
    1001 设备信息包括地理位置,MAC 地址,已安装的应用程序列表,电话品牌和型号
    1002 用户联系人和 QQ 登录列表
    1003 目前正在运行
    1005 UMENG_KEY (受欢迎的中文广告 SDK Umeng )心跳
    1006 运行进程列表和 PID (进程 ID )
    miyuki
        8
    miyuki  
       2019-03-18 11:14:29 +08:00
    我爱国无罪
    moonsn
        9
    moonsn  
       2019-03-18 11:18:33 +08:00
    等一个大佬的逆向验证~
    CommandZi
        10
    CommandZi  
       2019-03-18 11:36:25 +08:00
    最无辜的是自己苦心孤诣保护自己信息,你的某个朋友轻易就把你信息卖了
    justin2018
        11
    justin2018  
       2019-03-18 11:42:15 +08:00
    ![]( )

    看到结尾 有名词解释 😁
    Jzer0n
        12
    Jzer0n  
       2019-03-18 11:44:29 +08:00
    Google 搜索到网易的新闻回帖有人说这个公司是顺网。

    请自行辨别。
    shenhb
        13
    shenhb  
       2019-03-18 14:38:45 +08:00
    通讯还是要同意权限的吧? 估计是有些应用很容易引导用户同意获取通讯录权限
    cattrace
        14
    cattrace  
    OP
       2019-03-18 14:48:40 +08:00
    自己试了一下,基本证实了,具体见 append
    restlessdream
        15
    restlessdream  
       2019-03-18 16:09:08 +08:00
    查了下,这个顺网是那个什么网维大师的开发商,应该市场占有率很高,去过网吧的多多少少都对这软件有印象。

    怪不得公关这么强大,现在是网吧赚的钱不多了,也开始在移动端做手脚了么。
    natforum
        16
    natforum  
       2019-03-18 16:25:38 +08:00
    中国市场上 95%的网吧无盘系统和群控都是顺网的
    cattrace
        17
    cattrace  
    OP
       2019-03-18 16:35:06 +08:00
    @natforum 很久不去网吧了,记忆还停留在万象 2004
    zea
        18
    zea  
       2019-03-18 17:07:21 +08:00 via Android
    @cattrace 万象 2004,好亲切的名字。那个年代网吧标配 xp 和液晶显示器还是卖点
    sgissb1
        19
    sgissb1  
       2019-03-18 17:37:07 +08:00
    这个公司。。。。。。。
    yksoft1ex
        20
    yksoft1ex  
       2019-03-19 11:49:17 +08:00
    @natforum 话说,现在还有多少有盘的网吧?
    hayanami
        21
    hayanami  
       2019-03-20 09:55:07 +08:00
    我只想知道你们是怎么把放进去的,直接上代码?
    hayanami
        22
    hayanami  
       2019-03-20 09:55:45 +08:00
    我只想知道你们是怎么把图片显示出来的,直接上代码?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2528 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 05:57 · PVG 13:57 · LAX 21:57 · JFK 00:57
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.