※ 引述《jeff918 (白色巨塔)》之铭言:
: 板上有人买酷派大神吗?刚刚看到这则报导,资安公司那边有报告可以下载。
: 题外话:酷派大神F2的广告虽然有点低俗,但妹蛮正的…
: <酷派手机暗藏后门 伪发、监控等资安浮现>
: 新闻来源:match生活网
: http://m.match.net.tw/pc/news/technology/20141218/2700714
: 陶子中/综合报导
: 素有中国4大手机厂“中华酷联”称号中的酷派手机,近期获得奇虎360投资,还引进酷派
: 大神系列进军台湾。但现在被资安公司Palo Alto Networks踢爆共24款手机暗藏后门程式
: “CoolReaper”,不但会收集使用者敏感资料,还能诱骗并在背景操控你的手机。ꀊ: 酷派发行有后门问题的手机ROM已持续一年。ꀊ: 根据该公司Unit 42研究团队的报告指出,“CoolReaper”可在手机上执行多种任务,包
: 括未经通知或同意,下载、安装或启动应用程式,也能清除使用者资料,解除安装程式或
: 瘫痪系统功能。ꀊ: 更危险的是它能发送伪造的手机更新资讯,并借此诱骗使用者安装应用程式、向手机发送
: 或植入短信、拨打电话号码、将设备资讯、位置通话等隐私纪录传送到酷派服务器。另外
: ,骇客也有可能利用系统漏洞取得得手机权限。ꀊ: 酷派大神F2本月进军台湾销售。
: 资安公司更发现对酷派手机使用者极为不利的情况。在77个官方ROM中,有64个存在“ Co
: olReaper ”后门程式,其中有41个还通过酷派自己的数位签证,并连结到该公司在深圳
: 的服务器。而你也别认为防毒App能发现这些问题,酷派已经在系统中为“ CoolReaper
: ”绕过资安监控机制。
: 而截至12月17日,酷派手机公司对资安公司的私下请求解释毫无回应。有鉴于酷派手机在
: 中国有将近9%市占,台湾也以超高性价比为宣传,在网络及实体通路贩售酷派大神手机。
: 这一切需待该公司做出解释。资料来源:Palo Alto Networks
顺着关键字找一下相关资料,寻到一个有趣资料:
(简体字注意)
http://goo.gl/Dm2ZV7
可以看到一个管理后台,尚且不知是内部员工泄露还是被白帽骇客攻进去
http://i.imgur.com/FqdtbsN.jpg
再看看左边字段内容,超惊悚的,可远端安装/移除apk、打电话、收短信......等等。
更恶劣的还能直接下指令,只是不晓得是adb shell,还是严重到可下Linux指令了。
另外对岸知名白帽交流平台“乌云”,在11月就有相关讯息被揭露
(简体字注意)
http://goo.gl/kaYfrn
个人心得:
看来不管是做手机硬件还是软件,都没有直接承接游戏、应用、广告app开发商的推送业务
来得好赚啊!
这一阵子光点击、安装次数甚至背景偷拨打高话费电话,带来的现金应该颇惊人......