研究机构发文披露某国产APP恶意利用漏洞,非法提权获取用户隐私及远程遥控
研究机构发文披露某国产APP恶意利用漏洞,非法提权获取用户隐私及远程遥控微信公众号「DarkNavy」发文,称某互联网厂商App利用Android系统漏洞提升权限,进而获取用户隐私及阻止自身被卸载。该互联网厂商在自家看似无害的App里,使用的第一个黑客技术手段,是利用一个近年来看似默默无闻、但实际攻击效果非常好的Bundle风水-AndroidParcel序列化与反序列化不匹配系列漏洞,实现0day/Nday攻击,从而绕过系统校验,获取系统级StartAnyWhere能力。提权控制手机系统之后,该App即开启了一系列的违规操作,绕过隐私合规监管,大肆收集用户的隐私信息(包括社交媒体账户资料、位置信息、Wi-Fi信息、基站信息甚至路由器信息等)之后,该App进一步使用的另一个黑客技术手段,是利用手机厂商OEM代码中导出的root-pathFileContentProvider,进行SystemApp和敏感系统应用文件读写;进而突破沙箱机制、绕开权限系统改写系统关键配置文件为自身保活,修改用户桌面(Launcher)配置隐藏自身或欺骗用户实现防卸载;随后,还进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码,进行更加隐蔽的长期驻留;甚至还实现了和间谍软件一样的遥控机制,通过远端“云控开关”控制非法行为的启动与暂停,来躲避检测。https://mp.weixin.qq.com/s/P_EYQxOEupqdU0BJMRqWsw投稿:@ZaiHuabot频道:@TestFlightCN