互聯(lián)網(wǎng)時代，運籌帷幄之中，決勝千里之外不再是奇人所為，大數(shù)據(jù)的發(fā)展更讓我們覺得，世界都在關(guān)注我。想你之所想，急你之所急，精準的營銷和推薦讓我們享受著主人公一樣的待遇。然而，事物發(fā)展的兩面性同時帶給我們一些防不勝防的問題，層出不窮的隱私安全事件更是與我們的利益息息相關(guān)?；ヂ?lián)網(wǎng)時代，我們大多數(shù)人都在“裸奔”。

[[233689]]

竊取隱私的賊

今日，平臺監(jiān)測到一新型病毒，經(jīng)安全人員研究，發(fā)現(xiàn)該病毒的主要行為是在用戶不知情的情況下私自獲取用戶短信信息以及聯(lián)系人號碼信息，私自獲取手機號以及IMEI、IMSI等信息，上傳到指定服務(wù)器，具有隱私竊取屬性;該病毒運行后大量上傳用戶短信等數(shù)據(jù)造成流量消耗，具有資費消耗行為;該病毒偽造成時下熱火的主播旗下的直播間，誘導用戶下載，具有誘騙欺詐行為。

在進行溯源追蹤時，發(fā)現(xiàn)用戶信息接收的服務(wù)器未進行任何的登錄驗證和信息加密，可以看到該病毒獲取到的所有用戶數(shù)據(jù)以及時間，數(shù)據(jù)開始與2018年6月11號，已有一百多人次數(shù)據(jù)信息，為了保護廣大網(wǎng)民的隱私，立刻對此病毒和服務(wù)器地址進行了上報處理，將這個“竊取隱私的賊”扼殺在襁褓中。

隱私竊取案偵破

病毒在用戶不知情的情況下私自獲取用戶短信信息以及聯(lián)系人號碼信息，私自獲取手機號以及IMEI、IMSI等信息，發(fā)送到指定url，具有隱私竊取屬性。

應(yīng)用啟動后，獲取用戶短信信息，如圖2-1所示：

圖2-1 獲取用戶短信信息

獲取用戶聯(lián)系人信息，如圖2-2所示：

圖2-2 獲取用戶聯(lián)系人

獲取手機號以及IMEI、IMSI等設(shè)備信息，如圖2-3所示：

圖2-3 獲取用戶設(shè)備信息

啟動線程上傳到服務(wù)器，如圖2-4所示：

圖2-4 上傳用戶隱私數(shù)據(jù)

通過抓取數(shù)據(jù)包獲取竊取用戶隱私證據(jù)，如圖2-5所示：

圖2-5 抓取上傳數(shù)據(jù)包

上傳數(shù)據(jù)包中的用戶聯(lián)系人及短信信息，如圖2-6所示：

圖2-6 上傳數(shù)據(jù)包信息

數(shù)據(jù)泄露案追蹤

我們的隱私信息獲取有很多時候被竊取了，我們不知道，第三方也無法獲取，只有竊取者掌握，與此病毒的行為對比我們或許還感到一絲安全。此病毒所使用的服務(wù)器地址為：http://*****.***/ck1/index.php，對其進行追蹤時發(fā)現(xiàn)，其獲取的用戶隱私數(shù)據(jù)完全曝光在互聯(lián)網(wǎng)的陽光下。

服務(wù)器首頁展示用戶隱私數(shù)據(jù)獲取日志，如圖3-1所示：

圖3-1 首頁日志

通過追蹤獲取服務(wù)器數(shù)據(jù)管理地址，進入用戶信息管理系統(tǒng)，如圖3-2所示：

圖3-2 用戶管理系統(tǒng)

用戶管理系統(tǒng)中，通過分類和用戶ID對用戶信息進行查看和修改，如圖3-3所示：

圖3-3 用戶信息修改

通過用戶ID查看用戶詳細通訊錄，如圖3-4所示：

圖3-4 用戶聯(lián)系人

通過用戶ID查看用戶短信信息，如圖3-5所示：

圖3-5 用戶短信信息

逐本溯源

遇見這樣的令人發(fā)指的隱私竊取的賊我們絕不放過，但是此經(jīng)過分析此病毒為新型未成型的病毒，追溯到的信息也很少，我們只能對其服務(wù)器域名進行溯源，該域名通過第三方注冊，并未獲得更多注冊者信息。

通過域名的whois查詢，獲取到注冊信息，如圖4-1所示：

圖4-1 域名溯源

安全建議

• 建議用戶提高警覺性，使用軟件請到官網(wǎng)下載。到應(yīng)用商店進行下載正版軟件，避免從論壇等下載軟件，可以有效的減少該類病毒的侵害。關(guān)注”暗影實驗室”公眾號，獲取最新實時移動安全狀態(tài)，避免給您造成損失和危害。
• 為防止病毒變種，用戶發(fā)現(xiàn)已經(jīng)安裝此病毒的，可以請專業(yè)人員分析此病毒，獲取服務(wù)器地址，將參數(shù)x設(shè)置值為4，將特定ID用戶數(shù)據(jù)刪除。
• 用戶發(fā)現(xiàn)感染手機病毒軟件之后，可以向“12321網(wǎng)絡(luò)不良與垃圾信息舉報受理中心”或“中國反網(wǎng)絡(luò)病毒聯(lián)盟”進行舉報，使病毒軟件能夠第一時間被查殺和攔截。