一点科技|360直击恶意软件“虎穴狼巢”,再爆大型非法获取隐私事件
移动互联网时代 , 移动 应用内保存的个人 隐私数据 信息愈加丰富 , 在这个极具诱惑力的市场中 , 利益驱使之下违规操作层出不穷 , 非法窃取 用 户隐私 泛滥成风 。
近日 , 360安全大脑监测到 , 在金融类移动软件中 , 存在一批具有隐秘拍照行为的软件鱼目混珠 , 以提供借贷服务之名 , 悄无声息进行隐私非法收集行为 , 隐私安全如履薄冰 。
静默偷拍+明文上传
非法获取用户隐私“手段”再升级
据360安全大脑监测数据显示 , 截至今年6月中旬 , 共发现信用袋、给你花、呗呗花等9款软件 , 捕获90个样本 。 相比以往 , 这9款软件“偷盗”手段略有不同 , 除了非法收集用户敏感通讯数据外 , 还会尝试对用户面部图像进行静默偷拍与上传 。
本文插图
手法一:静默偷拍 , 悄无声息获取隐私信息
经深入分析发现 , 这类借贷软件都用了同样的操作手法 , 常规启动登陆页面 , 然后停留输入信息 , 最后登录主页面 , 在这个过程中进行“偷拍” , 悄无声息获取个人信息 。
本文插图
图1 信用袋登录页面
这类软件都借助了开源的无预览拍照工具AndroidHiddenCamera进行静默偷拍 , 用户打开登录界面后 , 这款工具便会开启“非法之路” , 先检测手机机型 , 然后根据机型调用前置或后置摄像头 , 最后进行静默拍照 , 也不会发出提示音与闪光 , 轻松躲避用户感知 。
当然 , 手机型号不同 , 也决定了选择不同 。 该类软件在静默拍照时首选前置摄像头偷拍用户面部图像 , 只有检测到某些具有升降摄像头的特定机型才会使用后置摄像头 , 例如OPPO k3、VIVO x27等 。 而针对具有升降摄像头的手机 , 这类软件会避开采集面部图像 , 以免摄像头升起让用户有所察觉 , 达到偷拍目的 。
本文插图
检测机型确定摄像头类型
静默拍摄的图片名称为a.jpg , 保存在用户手机SD卡中以软件名全拼命名的文件夹下 , 如“信用袋”的图片保存路径为/sdcard/xinyongdai/camera/a.jpg 。 如果路径下有同名文件存在不会进行覆盖 。 当用户身份认证成功后 , 该图片会被私自上传至指定服务器 , 可谓是不费吹灰之力实现一树百获 。
手法二:明文上传 , 敏感数据被“盗取”
值得一提的是 , 除偷拍用户面部图像外 , 这类借贷软件毫无限制、“扫荡式”地采集用户的各种敏感通讯与网络数据 , 包括用户短信、通话记录、通讯录、接入网络等 , 进行非法收集与明文上传 。
用户登录成功后必须先完成多重认证才能进行借款操作 , 借助认证 , 这类软件乘机收集用户短信、通话记录与安装软件列表 , 并将这些个人敏感信息连同认证时上传的身份证照片一并明文发送至指定服务器 。
本文插图
本文插图
在这一环节 , 与身份认证同步进行的隐私非法收集与明文上传过程同样让用户无任何感知 , 且在首页、认证页与个人页都看不到隐私声明 , 环环相扣 , 不留痕迹 , 其贼心不言而喻 。
推荐阅读
- 2020|影谱科技入选“2020中国AI商业落地价值潜力100强榜单”
- 行业互联网|眼控科技聚焦航空气象报文,人工智能助推编发自动化
- 行业互联网|金风科技中标哈萨克斯坦札纳塔斯二期100MW风电项目
- 无人科技,电池技术|盘点几种常见的无人机电池
- 行业互联网,智慧医疗|商汤科技创“心”升级,探索“联邦学习”入选ECCV
- 行业互联网|创盈Charmwin惊艳亮相2020上海美博会,打造“光”科技健康护肤新风尚
- 科技圈|集成灶两大品牌厨壹堂教你解锁三伏天厨房的正确打开方式
- 黑科技|花两万块钱买一台大法电视是一种怎么样的体验?
- 北京|北京嘀嘀无限科技发展有限公司因涉嫌非法聘用外国人被行政处罚
- 和讯科技|乐视退最后交易日报0.18元/股 明日将被正式摘牌