广升之后又有一家公司陷入Android后门事件

此前上海广升在BLU设备中植入后门事件还未消停,另一家上海的公司也被爆出向Android设备植入后门。

上海广升在BLU的固件中植入的程序每隔72小时将短信与联系人等私密信息上传至广升位于中国的服务器。

AnubisNetworks的研究人员在百思买购买的廉价低端Android设备中则是发现了位于OTA升级中的Rootkit。

起先安全研究人员在测试时只是发现了这些设备与锐嘉科集团(Ragentek Group)的服务器进行连接。

这些连接没有进行HTTPS加密,也就是很容易遭到中间人攻击导致黑客将含有恶意软件传送到这些设备上。

广升之后又有一家公司陷入Android后门事件

让人大跌眼镜的是锐嘉科自己开发的代码竟然与两个还未被注册的域名进行明文通信,于是安全研究人员果断注册了这两个域名。

蓝点网进行Whois查询后发现这两个未被注册的域名此前是被注册了,但今年八月份已经过期并未续费。

或许锐嘉科此前注册了这两个域名用于OTA包分发但后续并未使用因此停止了续费等。

进一步研究后发现整个存在问题的OTA升级机制与来自中国上海的锐嘉科集团有关,其中包含了隐藏的二进制文件/system/bin/debugs

这个二进制文件以Root权限运行并与三个主机(包括那两个未被注册的域名)进行未经过加密的明文通信。

研究人员表示这个特权二进制文件不仅仅会将用户信息暴露给MITM(Man-in-the-MiddleAttack,中间人攻击)攻击者,而且的确就是个RootKit。

锐嘉科的固件既没有对接收和发送的信息进行加密通信,而且也没有采用代码签署来确认应用合法性。

就上述内容来看还不足以将这个二进制文件定性为RootKit,然而该文件采用了多种方式来隐藏自己的进程,因此才将它称之为RootKit。

报告中称这个RootKit主要包含在多数与锐嘉科集团有关的设备或者是供应商设备上,而受感染的Android设备则超过了280万台。

研究人员在注册了那两个未被注册的域名并搭建好服务器后迅速有超过百万台设备连接到了测试服务器上。

AnubisNetworks已经将漏洞提交到CERT并已经分配了漏洞编号CVE-2016-6564,BLU在接到报告后已经发布了软件更新来修复这枚漏洞。

研究人员尚未针对BLU发布的补丁进行测试,因此还不清楚该更新是否已经修复了这个漏洞。

(via AnubisNetworks  FreeBuf

本文来源 蓝点网 ,由 山外的鸭子哥 整理编辑,其版权均为 蓝点网 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
已赞1
哇哦恭喜您已成功屏蔽了蓝点网的小广告
   
百度网盘不限速下载器PanDownload v2.1.0版发布 满速下载网盘文件你家的宽带可能已经支持IPv6协议要不要设置试试看如何禁止系统自动更新到Windows 10 Version 1809版[视频]生命在于折腾系列 虚拟机里玩谷歌原生版安卓系统

评论:

5 条评论,访客:3 条,站长:2 条
  1. fr33m4n
    fr33m4n发布于: 
    Google Chrome 54.0.2840.99 Google Chrome 54.0.2840.99 Windows 10 64位版 Windows 10 64位版

    是道德的沦丧,还是人性的扭曲?

  2. 冷然
    冷然发布于: 
    Microsoft Edge 15.14971 Microsoft Edge 15.14971 Windows 10 64位版 Windows 10 64位版

    这个公司的产品有哪些?我们经常用到的那种

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Google Chrome 54.0.2840.99 Google Chrome 54.0.2840.99 Windows 10 64位版 Windows 10 64位版

      你直接百度搜下他们网站就知道了

  3. 578856412
    578856412发布于: 
    Google Chrome 54.0.2840.99 Google Chrome 54.0.2840.99 Windows 10 64位版 Windows 10 64位版

    故意的?

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Google Chrome 54.0.2840.99 Google Chrome 54.0.2840.99 Windows 10 64位版 Windows 10 64位版

      多种方式隐藏自己 这不明显故意的

发表评论