互联网时代,运筹帷幄之中,决胜千里之外不再是奇人所为,大数据的发展更让我们觉得,世界都在关注我。想你之所想,急你之所急,精准的营销和推荐让我们享受着主人公一样的待遇。然而,事物发展的两面性同时带给我们一些防不胜防的问题,层出不穷的隐私安全事件更是与我们的利益息息相关。互联网时代,我们大多数人都在“裸奔”。
窃取隐私的贼
今日,平台监测到一新型病毒,经安全人员研究,发现该病毒的主要行为是在用户不知情的情况下私自获取用户短信信息以及联系人号码信息,私自获取手机号以及IMEI、IMSI等信息,上传到指定服务器,具有隐私窃取属性;该病毒运行后大量上传用户短信等数据造成流量消耗,具有资费消耗行为;该病毒伪造成时下热火的主播旗下的直播间,诱导用户下载,具有诱骗欺诈行为。
在进行溯源追踪时,发现用户信息接收的服务器未进行任何的登录验证和信息加密,可以看到该病毒获取到的所有用户数据以及时间,数据开始与2018年6月11号,已有一百多人次数据信息,为了保护广大网民的隐私,立刻对此病毒和服务器地址进行了上报处理,将这个“窃取隐私的贼”扼杀在襁褓中。
隐私窃取案侦破
病毒在用户不知情的情况下私自获取用户短信信息以及联系人号码信息,私自获取手机号以及IMEI、IMSI等信息,发送到指定url,具有隐私窃取属性。
应用启动后,获取用户短信信息,如图2-1所示:
图2-1 获取用户短信信息
获取用户联系人信息,如图2-2所示:
图2-2 获取用户联系人
获取手机号以及IMEI、IMSI等设备信息,如图2-3所示:
图2-3 获取用户设备信息
启动线程上传到服务器,如图2-4所示:
图2-4 上传用户隐私数据
通过抓取数据包获取窃取用户隐私证据,如图2-5所示:
图2-5 抓取上传数据包
上传数据包中的用户联系人及短信信息,如图2-6所示:
图2-6 上传数据包信息
数据泄露案追踪
我们的隐私信息获取有很多时候被窃取了,我们不知道,第三方也无法获取,只有窃取者掌握,与此病毒的行为对比我们或许还感到一丝安全。此病毒所使用的服务器地址为:http://*****.***/ck1/index.php,对其进行追踪时发现,其获取的用户隐私数据完全曝光在互联网的阳光下。
服务器首页展示用户隐私数据获取日志,如图3-1所示:
图3-1 首页日志
通过追踪获取服务器数据管理地址,进入用户信息管理系统,如图3-2所示:
图3-2 用户管理系统
用户管理系统中,通过分类和用户ID对用户信息进行查看和修改,如图3-3所示:
图3-3 用户信息修改
通过用户ID查看用户详细通讯录,如图3-4所示:
图3-4 用户联系人
通过用户ID查看用户短信信息,如图3-5所示:
图3-5 用户短信信息
逐本溯源
遇见这样的令人发指的隐私窃取的贼我们绝不放过,但是此经过分析此病毒为新型未成型的病毒,追溯到的信息也很少,我们只能对其服务器域名进行溯源,该域名通过第三方注册,并未获得更多注册者信息。
通过域名的whois查询,获取到注册信息,如图4-1所示:
图4-1 域名溯源
安全建议
- 建议用户提高警觉性,使用软件请到官网下载。到应用商店进行下载正版软件,避免从论坛等下载软件,可以有效的减少该类病毒的侵害。关注”暗影实验室”公众号,获取最新实时移动安全状态,避免给您造成损失和危害。
- 为防止病毒变种,用户发现已经安装此病毒的,可以请专业人员分析此病毒,获取服务器地址,将参数x设置值为4,将特定ID用户数据删除。
- 用户发现感染手机病毒软件之后,可以向“12321网络不良与垃圾信息举报受理中心”或“中国反网络病毒联盟”进行举报,使病毒软件能够第一时间被查杀和拦截。
