近日,国内安全研究机构DarkNavy发表文章,其披露了国内某互联网巨头APP利用多个厂商 OEM 代码中的反序列化漏洞进行提权。此APP提权控制手机系统后,会立即开启一系列违规操作,比如绕过隐私合规监管,比如大肆收集用户的隐私信息(包括社交媒体账户资料、位置信息、Wi-Fi 信息、基站信息甚至路由器信息等)。
之后,该 App会利用手机厂商OEM代码中导出的 root-path FileContentProvider,进行System App和敏感系统在应用文件上的读写,进而突破沙箱机制,绕开权限系统,改写系统关键配置文件为自身保活,同时修改用户桌面(Launcher)配置,隐藏自身或欺骗用户实现防卸载。
此外,该APP还能进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码,进行更加隐蔽的长期驻留,甚至还能实现和间谍软件一样的遥控机制,通过远端“云控开关”控制非法行为的启动与暂停,以此来躲避检测。
此事虽暂无核实消息,也未见有任何互联网巨头出来回应,但关于它的文章已在微博上掀起了轩然大波,网友纷纷对此评论:
有网友指出,此事若是真的,那就非比寻常了。因为今年数据确权是一件非常重要的事(类似土地确权),原本大家预期两会后会出更加重磅的数据确权和数据隐私保护(两者配合)的政策框架,这不正中下怀嘛!
还有网友顺藤摸瓜找到了怀疑对象,当即就试了能否卸载,结果发现,哪怕是第三方浏览器下载安装完成的APP,长按都是没有卸载按钮的,只能进系统里卸,该名网友怀疑人生,称不知道对方是怎么做到的。另外他还表示,注销账号也没有单独按钮,只能找客服注销。
立时,又有网友随即声明,自己的安卓手机几次卸载过怀疑对象,桌面上虽然啥也没了,但却总是能收到相关内容的推送,之后神奇地发现在其下载软件的列表里,怀疑对象竟又死灰复燃了,是怎么也删不干净啊,有种“野火烧不尽,春风吹又生”的错觉。
当然,不管网友如何猜测,事件的真实情况还有待核实,后续进展安在会持续跟进,希望大家能够保持关注。
原文始发于微信公众号(安在):网曝:国内某APP利用漏洞提权窃取用户数据、逃避监管、无法卸载
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论