2017 年上半年，在美洲發(fā)生的所有網(wǎng)絡(luò)攻擊中，移動(dòng)攻擊占比近 20％，用戶(hù)經(jīng)常接到警告，讓他們小心那些會(huì)影響其數(shù)據(jù)和隱私的安全風(fēng)險(xiǎn)，并安裝安全軟件來(lái)保護(hù)其設(shè)備。但如果防病毒解決方案并不可信，而且實(shí)際還會(huì)侵害用戶(hù)隱私，又會(huì)是何種局面？

　　Check Point 移動(dòng)威脅研究人員最近發(fā)現(xiàn)，一款免費(fèi)移動(dòng)防病毒應(yīng)用程序會(huì)在未經(jīng)設(shè)備所有者同意的情況下收集用戶(hù)數(shù)據(jù)，該應(yīng)用是由 Android 應(yīng)用程序開(kāi)發(fā)者 DU 所開(kāi)發(fā)。根據(jù) Google Play 數(shù)據(jù)，該應(yīng)用名為 DU Antivirus Security，通過(guò) Google 官方應(yīng)用商店 Google Play 發(fā)布，并擁有 1000 萬(wàn) 到 5000 萬(wàn) 次的下載量。

　　據(jù) Check Point 研究發(fā)現(xiàn)，DU Antivirus Security 應(yīng)用在首次運(yùn)行時(shí)會(huì)從設(shè)備收集信息，例如唯一標(biāo)識(shí)符、聯(lián)系人列表、通話記錄，而且還可能收集設(shè)備位置。該應(yīng)用會(huì)對(duì)信息加密并發(fā)送到遠(yuǎn)程服務(wù)器。隨后，DU 集團(tuán)另一款名為"Caller ID & Call Block - DU Caller"的應(yīng)用程序?qū)⒗�用該客�?hù)信息，為用戶(hù)提供來(lái)電信息。

　　用戶(hù)相信 DU Antivirus Security 能夠保護(hù)私人信息，事實(shí)卻完全相反。其未經(jīng)許可擅自收集用戶(hù)的個(gè)人信息，并將該私人信息用于商業(yè)目的。這款應(yīng)用會(huì)記錄您的私人電話、通話對(duì)象和時(shí)長(zhǎng)等信息，以備日后使用。

圖 1：Google Play 上的 DU Antivirus Security 應(yīng)用

　　2017 年 8 月 21 日，Check Point 向 Google 報(bào)告了該應(yīng)用程序非法使用用戶(hù)的私人信息，2017 年 8 月 24 日，該應(yīng)用從 Google Play 移除。2017 年 8 月 28 日，不包含有害代碼的新版本重新上傳到 Play 商店。最新一版包含隱私泄露代碼的 DU Antivirus Security 版本號(hào)為 3.1.5，但舊版本可能仍包含此代碼。

　　除 DU Antivirus Security 之外，Check Point 研究人員在其他 30 個(gè)應(yīng)用中也檢測(cè)到相同代碼，其中 12 個(gè)出現(xiàn)在 Google Play 上，隨后也已移除。這些應(yīng)用程序可能會(huì)以外部庫(kù)的形式實(shí)施代碼，并將盜用數(shù)據(jù)傳輸至 DU Caller 所用的同一遠(yuǎn)程服務(wù)器�？偠�言之，根據(jù) Google Play 數(shù)據(jù)，安裝這些應(yīng)用后感染該非法代碼的用戶(hù)人數(shù)高達(dá) 240 萬(wàn)至 890 萬(wàn)。

　　由于防病毒應(yīng)用有正當(dāng)理由請(qǐng)求異常廣泛的權(quán)限，因此在企圖濫用這些權(quán)限的詐騙者眼中，防病毒應(yīng)用就是他們最好的掩護(hù)。在某些情況下，移動(dòng)防病毒應(yīng)用甚至被用作傳播惡意軟件的誘餌。用戶(hù)應(yīng)該留意這些可疑的防病毒解決方案，并且在使用移動(dòng)威脅防護(hù)機(jī)制時(shí)，僅選擇信譽(yù)良好且確實(shí)能夠保護(hù)移動(dòng)設(shè)備及其中所存儲(chǔ)數(shù)據(jù)的供應(yīng)商。

　　DU Antivirus Security 應(yīng)用程序在第一次運(yùn)行時(shí)會(huì)從用戶(hù)設(shè)備上竊取信息。之后將失竊信息發(fā)送到名為 caller.work 的服務(wù)器，該服務(wù)器并未在 DU 應(yīng)用程序中注冊(cè)。但是，該域有兩個(gè)子域，表明它確實(shí)連接到 DU Caller 應(yīng)用程序。首先，子域 http://reg.caller.work/ 是個(gè) PHP 網(wǎng)頁(yè)，指定的主機(jī)名為：us02-Du_caller02.usaws02，其中包含 DU Caller 應(yīng)用程序的名稱(chēng)。

　　有關(guān)完整的技術(shù)報(bào)告，請(qǐng)參閱 Check Point Research。

　　另外，子域 vfun.caller.work 的主機(jī)使用 IP 47.88.174.218，這是個(gè)私人服務(wù)器，也是域 dailypush.news 的主機(jī)服務(wù)器。該域注冊(cè)在 zhanliangliu@gmail.com 名下，這是一名百度員工，其曾使用相同的郵件地址發(fā)布過(guò)有關(guān)解析電話號(hào)碼的帖子 (http://zliu.org/post/python-libphonenumber/)。由于 DU 應(yīng)用程序?qū)儆诎俣裙�司，并且該帖子涉及與 Caller 應(yīng)用程序相關(guān)的功能，因此很顯然失竊信息和這款應(yīng)用之間存在關(guān)聯(lián)。

圖 2：DU Antivirus Security 應(yīng)用和 Caller 應(yīng)用之間的聯(lián)系

　　DU Caller 應(yīng)用的隱私政策在不同頁(yè)面上顯示不同的條款，而且無(wú)論用戶(hù)同意與否，都會(huì)執(zhí)行其活動(dòng)，因此早已因?yàn)殡[私政策模糊不清而為人詬病。去年，獵豹移動(dòng) (Cheetah Mobile) 的防病毒應(yīng)用 (Anti-Virus) 曾因提供可能違反隱私規(guī)定的服務(wù)而面臨類(lèi)似指控。

　　Check Point以色列捷邦安全軟件科技有限公司(www.checkpoint.com.cn)是全球最大的專(zhuān)注于安全的解決方案提供商，為各界客戶(hù)提供業(yè)界領(lǐng)先的解決方案抵御惡意軟件和各種威脅。Check Point提供全方位的安全解決方案包括從企業(yè)網(wǎng)絡(luò)到移動(dòng)設(shè)備的安全保護(hù)，以及最全面和可視化的安全管理方案。Check Point現(xiàn)為十多萬(wàn)不同規(guī)模的組織提供安全保護(hù)。