从假冒智能手机的深处 - Trail of Bits博客

Chris Evans
2019年8月7日
apple, malware

在这个二手在线零售商、市场交易和第三方翻新店遍布的时代，购买手机时节省数百美元变得比以往任何时候都更容易。这些渠道为那些放弃零售购物体验以获取大幅折扣的人提供了有吸引力的替代方案。

然而，对于那些寻求更多节省的讨价还价者来说，还有一个额外的选择：流行手机型号的假冒产品。这些仿制品已经成为一个蓬勃发展的行业，将廉价的硬件和免费的软件转化为大规模利润，而制造商几乎没有任何成本。这些克隆产品通常以不到零售价1/10的价格出售，并且乍一看往往是非常令人信服的复制品。

去年，我们帮助Motherboard Vice对一款假冒iPhone X进行了调查性拆解。我们对发现的许多安全问题和漏洞感到困扰，因此我们与DeviceAssure——一家致力于移动平台防伪解决方案的公司——合作，更深入地研究这些危险的复制品。

本文详细介绍了我们的发现，并深入探讨了使用这些手机时您实际得到的是什么。无论是故意的恶意行为还是危险的无能，都有很多值得关注的地方！

第一印象

我们研究了两款假冒产品：一款iPhone 6和一款三星S10。

设备的外观视觉效果非常令人信服。对外围布局、尺寸和整体 finish 的适当关注几乎与它们的零售对应物相同。各种开关和按钮与您期望在真实设备中控制手机锁定、调节音量以及开关机的功能相对应。假冒iPhone甚至在其充电端口使用了闪电电缆！

两款型号都配备了触觉反馈和指纹传感器，这些确实有效……大多数情况下。还包括面部生物识别技术，尽管它们的失败率相当高，并且经常完全无法工作。

从底层内部结构的初步观察来看，两款设备都依赖于联发科（Mediatek）的控制器，这是一家中国硬件公司，为嵌入式设备提供ARM芯片组，既极其便宜又相当 capable。正如许多假冒产品一样，它们还依赖于定制的、大部分由社区构建的Android运行时ROM——这是一个明显的迹象，表明功能将是非标准的，并且充满了数百种变体特定的怪癖。

好处——它们看起来和工作起来有点像真货……有时候

您得到一部看起来和工作起来大致像它所仿冒的手机，但有一些例外。除此之外还有什么好处吗？

没有。

真的，即使这些设备假设拥有原始的ROM（提示：它们没有），它们仍然带有一系列关键问题，即使它们没有预装恶意软件（提示：它们有）。

我们可以给系统UI中呈现的一些细节打C+的努力分。大多数模态弹出窗口和面板设置都忠实地被拦截，并使用本地资源框架的扩展重新创建。

特别是，三星假冒产品使用本地启动器、UI/图标包和主题引擎为其Android变体；它几乎与原始产品无法区分。它甚至包括三星和Google Play应用商店的合法门户。

然而，iPhone在几分钟的探索后迅速崩溃。ROM系统层最初呈现一个可信的iOS UI，但事件行为中的边缘情况（WiFi连接错误、应用程序异常、某些输入文本类型等）揭示了库存Android屏幕。此外，“iOS”应用程序都显示在明显低分辨率下，并包含创造性破碎的英语（与ROM系统层形成鲜明对比，表明作者不同）。

坏处——它们充满了未修补的漏洞和不安全的臃肿软件

两款手机都报告运行最新版本的Android Pie 9.0；一个在大多数方面相对强化的操作系统。然而，这不是真的。

在iPhone的情况下，进一步挖掘显示它运行一个更老版本的Android：Kitkat 4.4.0。Kitkat的最后更新是在2014年。正如您可以想象的那样，自那时以来出现了数百个CVE，更不用说自那时以来已经重新设计的固有设计缺陷：沙盒机制、文件系统分区和危险的权限API等。

我们探测了一些众所周知的弱点，并确认它们未修补。该设备易受 notorious Stagefright 错误的影响，这些错误利用SMS/MMS消息中的媒体处理来获得设备的远程控制。此外，旧Android系统守护进程中的几个漏洞，包括Mediaserver和Surfaceflinger，表现出未修补的功能。由于这些AOSP ROM是带外编译的，并在板 hacking 和系统修改论坛的深处临时维护，用户不太可能自己修补这些漏洞。肯定没有空中升级能力。

S10运行一个稍新的Android：Lollipop 5.1。最后更新于2015年，Lollipop用现代ART VM替换了Dalvik VM，并添加了Material UI主题元素，从而使我们的假冒产品能够使用三星UI组件。

然而，有一个更严重的问题困扰着两款手机：过时的内核。除了Android运行时更新之外，Android手机中的Linux内核通常需要供应商参与将安全修复下游到手机上。即使在合法的Android设备中，这个过程也经常落后于安全发布，并需要供应商额外的工程努力。联发科ROM维护者的志愿者社区不会跟上日常安全更新，因此假冒产品中的过时内核是不可避免的。两款手机都有易受攻击的内核，这些内核被已知错误成功利用，如DirtyCow（写时复制内存竞争条件）和Towelroot（移植到Android的Futex定时错误）。毫无疑问，还有大量其他内核错误可供潜在攻击者滥用。

联发科设备驱动程序和守护进程也是丰富漏洞的来源，通常导致内核级执行。再次，用户能够适当找到并修补这些系统的能力或可能性非常 unlikely。

这些手机的另一个陷阱是存在调试和测试实用程序，这些程序在联发科基线ROM包中暴露危险的系统级权限。这在两款设备上都被观察到，以及我们研究过的其他多种假冒变体。Galaxy S10假冒产品具有一个远程调试服务器，允许远程控制媒体文件、记录SMS消息和删除电话号码。

Galaxy S10假冒产品上的联发科Android守护进程（MTKAndroidSuite包）启动一个本地FTP服务器，由于服务的高权限，可用于操作文件。

仍在S10上，传入的SMS被保存到应用程序的SQLite数据库，该数据库不受访问控制保护，可以被其他应用程序读取。

显示一些联发科守护进程功能的概述（通过类文件名指示）表明，守护进程还可以检索媒体文件、转储电话联系人、删除手机中的消息等。

这些假冒产品无疑是 insecure。两款都谎报其Android版本。使用的ROM版本严重过时，易受公共漏洞利用，它们的内核也是如此。它们包括臃肿软件，如远程调试服务，这些服务 enable abuse。这是您期望从围绕志愿者维护的、过时的Android ROM构建的手机中得到的结果。

供应商和开发人员无缝集成和执行跨设备安全更新的能力一直是移动安全的巨大胜利。这需要一个更大的生态系统，延伸到手机本身之外。这些克隆不仅缺乏最新和最伟大的硬件缓解措施，而且与更大的生态系统及其安全安全网隔离是一个固有风险，这些仿制品永远无法真正缓解。

丑陋——它们包含恶意软件和rootkits

我们评估的Galaxy S10和iPhone 6假冒产品都包含恶意软件和rootkits。

我们在两款设备中注意到的第一个问题是存在Umeng，一个侵入性分析库，嵌入到许多应用程序和系统库中。Umeng总部位于中国，曾被发现在其操作中 employing malware。它收集并发送用户信息，包括姓名、性别、IMEI号码、序列号等，定期回传到他们的服务器，而不提示任何通常的权限同意免责声明。

在S10的情况下，我们发现SystemUI框架被修改以嵌入一个服务器，该服务器可以任意下载、安装和运行.dex文件，此外还报告从系统事件（如地理位置、联系人创建、包安装和删除）收集的事件信息。例如，用于面部识别的库组件捆绑了可以按需安装任意Android应用程序的功能。

在S10上，SystemUI中的一个隐藏组件在后台从互联网下载文件。注意屏幕截图底部的中文日志！

监控S10的网络活动，我们发现它定期联系一个未知服务器。这是那些请求的起源，发现嵌入在SystemUI框架库内部。

一个在面部识别软件中具有按需安装额外应用程序能力的组件示例。“ReadFace”是一个第三方库，集成在SystemUI框架内，似乎模拟生物识别面部识别。在这段代码中，似乎有能力任意安装APK。

最后，S10包括一个RAT，伪装成字体扩展系统服务（“LovelyFonts”），允许远程本机代码执行， complete with a shell、任意文件上传/下载和系统事件记录。这个RAT为将其植入那里的人提供无限访问， enabling total compromise of the phone and all its data。我们观察到某些事件，如安装包或发送文本消息，会触发连接以交换与此后门远程相关的加密有效负载。请注意，虽然这个特定的恶意软件在我们研究的特定iPhone 6上不存在，但我们过去在其他假冒iPhone ROM上遇到过它的变体。

这是Lovelyfonts库中的一个函数，调用直接系统调用。Lovelyfonts服务带有一个库，允许远程用户直接在机器上执行代码，绕过Android运行时。

在这里，恶意软件表示它正在尝试实例化一个“网络拦截器”，表面上干扰网络流量。

RAT恶意软件检测每当应用程序安装或卸载时，并生成一个加密有效负载发送到远程API服务器。

不安全的、过时的ROM是坏的。恶意意图的实际证据是丑陋的。我们查看的手机都有Umeng，一个已知的窃取用户数据的侵入性分析库，嵌入在多个应用程序中。S10有一个服务器嵌入在SystemUI框架中，可以下载、安装和运行应用程序，并收集系统数据，并且它有恶意软件，授予将其植入那里的任何人无限访问设备的权限。

这个故事的寓意？如果您使用假冒手机，很可能它会故意为不良行为者提供对您数据的访问。在这里嵌入恶意软件很容易。对于假冒制造商来说，在分发前植入和修改ROM是微不足道的。对大多数用户来说，跟踪或检测任一行动是不可能的。虽然理论上可能找到一个“干净”的分发，但这是一个赌博，更不用说使用不安全基线系统的固有风险。

结论——如果您使用了这些手机之一，您可能已经被黑客攻击

随着手持设备的价格点持续攀升，总是会有寻求更便宜替代品的诱惑。假冒智能手机将继续在复杂性、性能和对用户的威胁方面发展。使用它们会使您的数据面临风险，并可能 enable abuse of the applications and networks that you access and use。

通常，买家并不明显他们正在购买假冒产品。像这样的假版本通常通过Craigslist或其他第三方获得。有些作为诈骗升级或礼物出售。在一些国家，很难确定 genuine sellers from counterfeit vendors，因为所有手机都是独立于蜂窝合同购买的。直接从Apple或Samsung购买是确保手机上没有任何恶意软件预装的最佳方式，并使您能够接收修补安全问题的新软件更新（嗯，至少理论上）。如果您的公司允许员工在手机上访问公司数据，请考虑验证设备的 genuine software。

我们希望这项调查有助于阐明选择“非品牌”设备的危险。如果这有帮助，或者听起来类似于您或您的组织面临的安全问题，请联系！我们提供广泛的服务，包括iVerify——一个用于iOS的个人安全应用程序——以进一步保护您的手机。

我们想再次感谢DeviceAssure联系我们并提供硬件进行此分析，以及有机会对此事进行一些挖掘。他们今年将在Blackhat，我们中的一些人也会在，所以过来打个招呼。一如既往，我们喜欢听到野外奇怪和奇特的产品，所以如果您认为我们应该查看某些东西，请留言！

如果您喜欢这篇文章，分享它：
Twitter
LinkedIn
GitHub
Mastodon
Hacker News