Vivo 手机某系统进程开放 55555 端口疑似用作 mCDN
droidmax61 · 2021-05-23 15:27:45 +08:00 via Android · 67720 次点击这是一个创建于 1259 天前的主题,其中的信息可能已经有所发展或是发生改变。
某天晚上在家用电脑看直播时发现画面卡顿,排查发现并非是电脑 /主站网络问题,排查是否有第三方未知设备或服务占用带宽,发现母上大人所使用的 vivo 手机在当时确实存在占用了大量带宽的情况,核查发现,部分在线视频应用确实有在后台运行,但视频在全部缓冲完成之后带宽占用会暂时降低到正常范围,但带宽占用过高的问题仍未彻底解决!
进一步分析,在路由器上针对 vivo 手机的 ip 进行抓包分析,确认该端口确实存在有来自外部 ip 的访问,但对于已关闭 UPnP 功能的局域网环境来说,外部 ip 则无法访问。由于没有 Root 权限,目前仅确认了该端口是由某个系统进程所使用,且根据抓包数据来分析,通信报文使用 HTTP 协议,手动测试请求访问时会回应包含有"Test Intercept"字段数据,据此在全网范围内搜索符合以上条件的主机有将近 7 万台,基本都是国内电信的,相信这些数据只是冰山一角,背后隐藏的秘密尚待深挖…
 |
1
0ZXYDDu796nVCFxq 2021-05-23 15:36:56 +08:00 via Android
如果属实那归刑法管了啊
|
 |
2
droidmax61 OP @gstqc 身边用 vivo 的可以测试一下,连同一个热点,用工具扫一下开放端口有哪些
|
|
3
droidmax61 OP 将近 7 万主机是用的 fofa 扫出来的,应该是国内电信宽带用户且具有公网 ip 的
|
 |
4
wellsc 2021-05-23 15:47:14 +08:00  10
边 缘 计 算
|
|
5
droidmax61 OP 母上用的 vivo y5s 在线下实体店买的,现在用的最新版 FuntouchOS 1.15.1 的 ROM,目前基本可以断定是某个系统进程所为,既然是系统进程所为,那其他使用 FuntouchOS 系统的 vivo 手机要是出现了上述情况也就意料之中了
|
|
6
droidmax61 OP 19 年 8 月份就有人得知这一情况了
|
|
7
0ZXYDDu796nVCFxq 2021-05-23 15:57:40 +08:00
补充一下,即使属实可能也是“合法”的,因为可能首次开机已经“接受”了协议
|
 |
8
leafleave 2021-05-23 16:05:07 +08:00 via Android 9
分 布 式 内 核
|
|
9
droidmax61 OP 快被整疯了,只要我妈在家手机连上热点,用网体验就稀烂,非得暂时把她手机 ip 拉黑
|
 |
10
westoy 2021-05-23 16:26:40 +08:00
扫了下 x21, 最新固件
开了 8192 和 55555 两个端口 |
|
11
westoy 2021-05-23 16:27:40 +08:00
不过我这边 55555 不像 webserver 开的, 反而 8192 会响应 http request........
|
 |
12
patrickyoung 2021-05-23 16:59:56 +08:00
charles proxy, mitm 下看看
|
 |
13
ihipop 2021-05-23 17:02:43 +08:00 via Android
不是关闭了 UPnP,怎么会还能访问。
|
 |
14
Kiriya 2021-05-23 17:21:17 +08:00
路由器限制她手机的上传速度为 5M 下载速度为 20M,不影响使用也不回卡网络
|
|
15
droidmax61 OP 估计也只有国内的手机敢这么做了,不知道开一个端口多一份安全风险么?就不怕有心人用工具 fuzz 测试给挖出漏洞然后批量抓鸡么? fofa 扫出全网 7 万左右的开放端口设备,这还是那些用的公网 IP 的一小部分用户,出了事 vivo 你担得起这个责任么?
|
 |
16
nguoidiqua 2021-05-23 17:32:15 +08:00
鲁迅向来不惮以最坏的恶意来…
用楼上的方法可以避免带宽被占完,另外路由器调度好的话不至于被一个客户抢光带宽。 |
|
18
droidmax61 OP 我路由器用的老毛子,没有流控
|
|
19
droidmax61 OP 5
但这个系统进程开放的端口让我这个信安出身的人看着就觉得不对劲,无形中增加了安全隐患
|
 |
20
cherbim 2021-05-23 17:56:50 +08:00 via Android
这就是边缘计算……还可以这么玩么
|
 |
21
fish3125 2021-05-23 18:28:26 +08:00 via Android
如果用 MIUI 的下载开了迅雷下载
|
|
22
fish3125 2021-05-23 18:30:12 +08:00 via Android
如果用 MIUI 的下载开了迅雷下载,也会长期开两个端口,
|
 |
23
chizuo 2021-05-23 18:31:08 +08:00
开放端口和云通讯也挺正常吧。苹果、华为、小米云服务,难道不用开放端口吗?不用 tcp/udp ?
|
|
24
droidmax61 OP 谁有在用 vivo funtouchos 系统且已 root 过的手机?帮我找一下 55555 端口对应的系统进程是啥?用 adb shell 获取 root 权限后执行 netstat -anlp | grep :55555 这个命令看看
|
 |
25
soulzz 2021-05-23 18:45:28 +08:00
大概是爱奇艺优酷之类的
建议排查 |
|
26
droidmax61 OP 请看标题,谢谢
|
|
27
droidmax61 OP 这个端口对应进程的用户组 id 是 1000,uid 为 1000 对应的是 system 用户组,我在整个 /proc 目录中都排查过了,fd 文件是没有权限访问的,排查其他相关文件只能确定这个 55555 端口是某个系统进程在使用,具体哪个进程必须得要有 root 权限才能查看,用 app 工具也都找过了,连接表中不会显示 root 、system 用户组建立的连接信息的
|
 |
28
MrKrabs 2021-05-23 20:03:20 +08:00
分布式计算
|
 |
29
Jirajine 2021-05-23 20:14:07 +08:00 via Android
adb shell 用户能不能看到?不能的话就别想了,这些系统都不存在 root 的。
|
 |
30
cyspy 2021-05-23 20:50:17 +08:00 1
想起了 zoom 为了做浏览器调起,在后台起个 server
|
 |
31
12101111 2021-05-23 21:17:09 +08:00
@droidmax61 可以试试解包 ota 文件然后在 /system/bin 里用 strings 搜 55555
|
 |
32
wtks1 2021-05-23 21:19:56 +08:00 via Android
前两天的确观测到了这个情况,手机是 neo5 的
|
|
33
wtks1 2021-05-23 21:20:30 +08:00 via Android
根据记录,开的是 udp 端口
|
 |
34
yitingbai 2021-05-23 21:30:14 +08:00 33
@chizuo 我第一次听到使用 tcp/udp 和服务端通信需要在客户端开放端口, 希望你不是做 IT 行业的, 否则真是贵公司的悲哀
|
 |
38
avrillavigne 2021-05-23 22:45:40 +08:00
把 55555 端口出站链接 block 看看呗
|
 |
40
CrazyRundong 2021-05-24 01:48:20 +08:00 via iPhone
确实骇人听闻……配置下 DHCP 给手机分配固定 IP,然后在路由器 iptables 的 nat table 里添加相应 IP & 端口的 DROP 规则?
|
 |
41
40EaE5uJO3Xt1VVa 2021-05-24 06:52:40 +08:00
连个破电视都敢扫局域网设备。会不会手机也会有更深的间谍程序,在某个时刻定时启动扫你的网络?
你的手机使用记录几乎能看出来你的所有习惯。手机厂商会不会收集? |
 |
42
luozic 2021-05-24 07:35:00 +08:00
广告 用户数据收集 ... 难道现在升级到之前电脑上企鹅搞的那一套了?直接 hook 用户网络驱动啥的?
|
 |
43
dsx826 2021-05-24 08:08:31 +08:00 via Android
建議用國際 ROM,小動作藏得比較好。就不會有發現這些的煩惱了。
|
 |
44
weyou 2021-05-24 08:29:50 +08:00 via Android 1
@gstqc 即使用户软件层面合法,电信层面不合法吧,这属于私自架设对外的网页服务器啊。哪天电信封了你们家宽带算谁的
|
 |
45
cwyalpha 2021-05-24 08:53:55 +08:00
还真是。。
port="55555" && body="Test Intercept" 试了几个,exemple 还打错了 |
 |
46
Webpoplayer 2021-05-24 09:05:38 +08:00
厉害了,vivo 。
|
 |
48
RockShake 2021-05-24 09:12:36 +08:00
@droidmax61 vivo 手机没法 root,至少目前没找到方案
|
 |
50
Les1ie 2021-05-24 09:16:09 +08:00 3
|
 |
51
FakNoCNName 2021-05-24 09:18:03 +08:00
认知里面 OPPO 、vivo 这种类型的就是山寨机,出身流氓,起家更流氓,一直高价低配,服务、周边也差劲,到现在能洗白也是奇怪。
|
 |
52
Hconk 2021-05-24 09:23:14 +08:00 3
@chizuo 有些东西是普遍公认的,比如你说的开放端口,正常的开发都会理解成监听本地某个固定端口,等待请求。而不是字面意义上的仅仅打开了一个端口,客户端与服务器端通信时候客户端不需要主动打开一个端口去建立连接,而是通过 connect 由系统来打开一个端口并建立 socket 连接,这个过程我觉得正常的开发人员都不会说开放了端口。
|
 |
53
tankren 2021-05-24 09:24:07 +08:00
热帖 预定
|
 |
54
timethinker 2021-05-24 09:26:09 +08:00
客户端的 TCP/IP 端口一般是系统临时分配的。如果手机系统厂商为了节省带宽费用,在自家的设备系统上开设端口,然后设备之间打洞穿透内网建立连接,搞 P2P 网络的可行性还是存在的。
做得隐秘一点的话,可以是动态的,反正手机与系统厂商之间总会建立一个连接用于服务目的。 |
 |
56
nmap 2021-05-24 09:43:48 +08:00
过虑了,只开个 http 端口有啥问题,要有问题全网都是 80 端口你去攻击试试
|
 |
58
g0thic 2021-05-24 09:50:34 +08:00
留名
|
 |
59
nexo 2021-05-24 10:01:39 +08:00
@FakNoCNName 虽然没用过 不过这两年 ov 的旗舰机型水准创新 个人觉得还不错
|
 |
60
ZeroDu 2021-05-24 10:02:33 +08:00
前有 qq,tim 扫硬盘,后来有电视扫局域网,现在有来个手机....真就水深火热
|
 |
61
SuperMari0 2021-05-24 10:03:18 +08:00
|
|
62
SuperMari0 2021-05-24 10:04:14 +08:00
|
 |
63
Eytoyes 2021-05-24 10:08:53 +08:00
拿用户网络开端口令人匪夷所思,这是薅韭菜薅习惯了么
|
 |
64
presoul 2021-05-24 10:11:11 +08:00
插眼,吃瓜
|
 |
65
xiyuesaves 2021-05-24 10:18:22 +08:00
路由器拉黑链接的那个域名应该能暂时缓解吧?
|
 |
66
xou130 2021-05-24 10:18:47 +08:00
热帖 留名
|
 |
67
cache 2021-05-24 10:31:59 +08:00 4
|
 |
68
hafuhafu 2021-05-24 10:33:17 +08:00
等一个大哥深挖
|
 |
69
Danswerme 2021-05-24 10:43:07 +08:00
vivo-X27-Pro 复现成功
|
 |
70
lshero 2021-05-24 10:55:11 +08:00
这种本地服务一般都是为了跨应用共享数据的吧。
如果是 p2p cdn 的话可以在路由器上看看手机使用的总体流量符不符合正常使用 比较牛逼的是 ipv6 好像也侦听 55555 了,由于只有手机有 ipv6 所以不知道防火墙有没有限制外部链接连入。 不过在本机可以用本机的 ipv6 地址打开。 |
|
71
Les1ie 2021-05-24 10:59:14 +08:00 15
1. 目前能看到系统进程开了个端口,具体作用暂不清楚。开了个端口不代表一定被人发现了漏洞,不代表现在就能被攻击者访问手机内的数据。但是手机开放端口有较大的漏洞风险,因为这个端口是厂商自己的服务,可能没有经过有效的代码审计,一旦出现问题那么后果很严重。
2. 上一个这么干的是 ES 文件浏览器,漏洞编号 CVE-2019-6447 。ES 文件浏览器监听 59777 端口,内网的其他设备无需鉴权即可访问该手机的文件、启动 APP 。漏洞刚出现时在我手机上复现成功,我从我的第一个手机开始到出现这个漏洞时,我的每个手机都安装了 ES 文件浏览器,此漏洞出现后,我再也没用过 ES 文件浏览器了 :( 太令人恐惧了 3. 此次 vivo/iqoo 手机除了监听了端口,还用了 UPNP 协议主动暴露自己到公网,为什么一个手机需要完成服务器的使命,乐观点,这是边缘计算的落地么?如果存在类似于 ES 文件浏览器的问题,那么影响范围相比于 ES 文件浏览器的未授权访问漏洞,将会几何级数的放大。fofa 上能看到有 7 万多台错误的暴露在了公网的手机,而这些手机,本应该隐藏在 Nat 后面的,这些手机用户可能连什么是端口,什么是 IP 地址都不知道,但是他的手机却可能被素不相识的攻击者用批量控制的脚本接管 :( 4. 我上一个回答 #50L 的截图里面的某一个 iqoo 用户,刚刚问我有办法关掉这个端口么。我觉得吧,关不了,我们花钱买的手机,并不是我们的手机,智能电视上的勾正数据也一样,小米的应用启动注入广告也一样,我们花钱买的设备获得了设备的法律上的处分权,但是事实上行使对手机软硬件处分权的,是系统厂商、APP 提供商,我们只是一个用户 :( 5. 厂商不是做慈善的,有利益,厂商才能开发新的应用,完善应用功能,消费者才能在手机上使用各种应用,二者密不可分,共同在法律的框架下行使和享受各自的权力和义务。然而互联网发展太快,隔几个月就会有新的玩法,但法律的制定往往需要数年的时间,因此法律往往滞后于互联网的脚步,而厂商往往利字当头,就会出现各种离谱的利用消费者数据、消费者的设备干的事情。说到底, 我们只是大数据时代的某个数据库里面的某一行记录而已 :) |
 |
72
snw 2021-05-24 11:01:05 +08:00 1
十年前优酷的 iku 爱酷客户端就这么干,直接开放匿名代理端口,导致网上大量 8909 端口的代理。
www.onebug.org/wooyundata/18598.html 可惜乌云没了,类似的漏(mu)洞(ma)很难有多少关注。 |
 |
73
aoizz 2021-05-24 11:02:22 +08:00
菜鸡只能来吃瓜了
|
|
74
patrickyoung 2021-05-24 11:08:03 +08:00
有人能拖出来逆向吗
|
|
75
SuperMari0 2021-05-24 11:10:37 +08:00
@soulzz 还真的是, 路由器的 upnp 上写的备注是 HCDN, 查了下是爱奇艺的边缘流量生态服务, 附上地址 https://open.iqiyi.com/developer/iocp/iocp_hcdninside.html
|
 |
76
Wolframgamma 2021-05-24 11:18:06 +08:00
确定不是有人在手机上挂了甜糖 /视频 APP 在做 PCDN ?
|
|
77
tankren 2021-05-24 11:22:18 +08:00
还好我没有 vivo 路由器的 upnp 也只有白名单客户端可以映射
|
 |
78
fateofheart 2021-05-24 11:26:49 +08:00 2
@nmap 你这洗的也太明显了,主动开放和被动开放的区别不是显然易见么。网页服务器开 http 和普通不知情的用户被动打开 http 能一样么?还是你家路由器能对公网默认开放 80 端口不成?
|
 |
79
zjsxwc 2021-05-24 11:40:31 +08:00 via Android
偏个题,upnp 路由套多层 upnp 路由 还有效果吗?
|
 |
80
zer 2021-05-24 11:42:20 +08:00
openwrt 有什么办法阻止这些未授权的 upnp 么
|
 |
81
xiaodongus 2021-05-24 11:56:36 +08:00
vivo 这操作是作死啊
|
 |
82
32uKHwVJ179qCmPj 2021-05-24 11:58:06 +08:00
坐等吃瓜,有没有哪位能发个固件链接的
|
 |
83
kimgo110 2021-05-24 11:59:02 +08:00 via Android
极为先进
|
 |
84
besscroft 2021-05-24 12:00:20 +08:00
等一个大佬深挖
|
 |
85
Siraner 2021-05-24 12:04:05 +08:00
火钳刘明,是只有 vivo 一家这么干嘛
|
 |
87
Lemeng 2021-05-24 12:18:36 +08:00
看看后续,有些厂商确实够呛
|
 |
88
yanqiyu 2021-05-24 12:37:15 +08:00 via Android
印象中 bilibili 也在我家路由器上开了一堆 UPnP,估计也是当 CDN,于是我关掉了路由器的 UPnP,bittorrent 之类的需求手动映射...
但是 ipv6 普及之后就不好使了,到时候再捣腾防火墙吧 |
|
89
Les1ie 2021-05-24 12:38:49 +08:00
vivo 固件是可以下载的 在 https://www.vivo.com.cn/upgrade/index,但是网页的按钮似乎有点问题,F12 找到链接,还可以下载的
早晨看到 iqoo neo 是有这个问题的,最新版 iqoo neo 固件的地址是 http://sysupwrdl.vivo.com.cn/upgrade/official/officialFiles/PD1914_A_8.6.8-update-full_1616036354.zip ,看最后的时间戳可以推测这是 2021-03-18 的固件,个人推测这个版本的固件监听 55555 的概率较大。 菜鸡只能帮到这里了,有请逆向大佬上 :) |
|
90
cwyalpha 2021-05-24 12:43:28 +08:00 via iPhone
电视上的安卓应用有这种情况吗?顺道求推个便宜方便的软路由
|
 |
91
doresu 2021-05-24 12:51:56 +08:00
看完了觉得还是 AOSP 好
|
 |
92
Jooooooooo 2021-05-24 12:58:10 +08:00
成 p2p 节点了?
|
|
93
droidmax61 OP @Les1ie 好了,现在知道 iqoo 手机也有这玩意儿了,目前可以锁定是 oem 相关的东西在作祟了
|
|
94
droidmax61 OP 好家伙,这不还是 vivo 家的么…
|
 |
95
diguoemo 2021-05-24 13:05:28 +08:00 via Android
安卓看来还得用三棒……没有什么小动作
|
 |
96
iseki 2021-05-24 13:10:54 +08:00
好家伙,牛皮了
|
 |
97
LZSZ 2021-05-24 13:13:02 +08:00
可以抓包
|
|
98
droidmax61 OP @cache 像这种系统进程的怎么破。。
|
|
99
droidmax61 OP @LZSZ 抓包只能辅助分析,并不能直接确认背后具体是哪个系统进程在作祟。。
|
 |
100
suyuyu 2021-05-24 13:37:42 +08:00
菜鸡就只能换手机了...
|
Select Language