口袋里的木马
我刚从二手店买了一台三星Galaxy S手机。我不喜欢Galaxy的默认ROM,正考虑刷入自定义ROM时,突然想到:如果手机已经被他人植入木马呢?我能发现吗?
动机与手段
首先,攻击者为何要这样做?我能想到很多理由:通过发送付费短信牟利;在浏览器植入密码收集器,利用手机网络窃取凭证;安装可随时远程访问的后门;甚至组建僵尸网络或自动购买应用商店商品。
如何实现?攻击者可以在出售前对自己的手机植入木马,获得单个"手机机器人"。我购机的店铺提供7天退货服务——完全可反复购买、植入木马、退货,零成本组建小型僵尸网络。若预期收益高,攻击者甚至可批量收购二手手机,植入木马后低价转卖,差价将通过木马收益弥补。
检测与防御
付费短信攻击可通过话单检测,但许多运营商对详单收费且多数人不会主动核查。其他攻击更难察觉:除非你能提取ROM并逆向分析,否则几乎无法发现。由于使用3G网络,流量嗅探也极为困难。
刷入自定义ROM虽可清除木马,但会立即失去保修。而常规防火墙和移动杀毒软件毫无作用——系统级木马可绕过所有高层防护。
更隐蔽的攻击延伸
若我想刷入新ROM,攻击者能否无需物理接触就实现类似攻击?理论上可行:
- 创建含"夜间发送付费短信"功能的自定义ROM
- 在下载页面添加用户协议(EULA)
- 在协议中声明"用户需每晚支付X英镑短信费用"
- 利用用户从不阅读协议的心理实施"合法"攻击
虽然法律上存在争议,但更阴暗的手段确实每天都在发生。
你的口袋里正在发生什么?是否藏着一台二手木马手机?
(最后,有人想买我的旧G1吗?)
本文原载于DigiNinja博客,2010年9月4日