从山寨智能手机的深渊出发
在二手在线零售商、市场交换和第三方翻新店盛行的时代,购买手机时节省数百美元变得比以往任何时候都更容易。这些渠道为那些放弃零售购物体验以换取大幅折扣的人提供了一个有吸引力的选择。
然而,对于那些寻求更多节省的讨价还价者来说,还有一个额外的选择:流行手机型号的仿制品。这些山寨机已经成为一个蓬勃发展的行业,将廉价的硬件和免费的软件转化为大规模利润,而制造商几乎不需要成本。这些克隆产品通常以低于零售价1/10的价格出售,并且乍一看往往是非常令人信服的复制品。
去年,我们帮助Motherboard Vice对一部山寨iPhone X进行了调查性拆解。我们对发现的许多安全问题和漏洞感到困扰,因此我们与DeviceAssure(一家致力于移动平台防伪解决方案的公司)合作,更深入地研究这些危险的复制品。
这篇文章详细介绍了我们的发现,并深入探讨了使用这些手机时到底会得到什么。无论是故意的恶意行为还是危险的无能,都有很多值得关注的地方!
第一印象
我们研究了两款山寨机:一部iPhone 6和一部三星S10。
山寨iPhone的前后外观
山寨三星S10的前后外观
这些设备的外观非常令人信服。对外围布局、尺寸和整体 finish 的适当关注几乎与它们的零售对应物相同。各种开关和按钮对应于真实设备中控制手机锁、调节音量以及开关机的预期功能。山寨iPhone甚至在其充电端口中使用了闪电电缆!
两款型号都配备了触觉反馈和指纹传感器,这些功能确实有效……大多数情况下。还包括面部生物识别技术,尽管它们的失败率相当高,并且经常完全无法工作。
从底层内部结构的第一眼来看,两款设备都依赖于联发科(Mediatek)的控制器,这是一家中国硬件公司,为嵌入式设备提供ARM芯片组,既非常便宜又相当 capable。正如许多山寨机一样,它们也依赖于定制、大部分由社区构建的Android运行时的ROM——这是一个明显的迹象,表明功能将是非标准的,并且充满了数百种特定变体的怪癖。
好处——它们看起来和工作起来有点像真货……有时候
你得到一部看起来和工作起来模糊地像它所仿制的手机,但有一些例外。除此之外还有什么好处吗?
没有。
真的,即使这些设备假设拥有原始的ROM(提示:它们没有),它们仍然带有一系列关键问题,即使它们没有预装恶意软件(提示:它们有)。
我们可以给系统UI中渲染的一些细节打C+的努力分。绝大多数模态弹出窗口和面板设置都通过本地资源框架的扩展被忠实地拦截和重新创建。
特别是,三星山寨机使用本地启动器、UI/图标包和主题引擎为其Android变体;它几乎与原始版本无法区分。它甚至包括三星和Google Play应用商店的合法门户。
然而,iPhone在几分钟的探索后迅速崩溃。ROM系统层最初呈现一个可信的iOS UI,但事件行为中的边缘情况(WiFi连接错误、应用程序异常、某些输入文本类型等)揭示了库存Android屏幕。此外,“iOS”应用程序都以明显低分辨率显示,并包含创造性破碎的英语(与ROM系统层形成鲜明对比,表明作者不同)。
坏处——它们充满了未修补的漏洞和不安全的臃肿软件
两部手机都报告运行最新版本的Android Pie 9.0;一个在大多数方面相对加固的操作系统。然而,这不是真的。
就iPhone而言,进一步挖掘显示它运行的是一个更老版本的Android:Kitkat 4.4.0。Kitkat的最后一次更新是在2014年。正如你可以想象的,自那以后出现了数百个CVE,更不用说后来被重新设计的固有设计缺陷:沙盒机制、文件系统分区和危险的权限API等等。
我们探测了一些众所周知的弱点,并确认它们未被修补。该设备易受著名的Stagefright漏洞的影响,这些漏洞利用SMS/MMS消息中的媒体处理来获得设备的远程控制。此外,旧Android系统守护进程中的几个漏洞,包括Mediaserver和Surfaceflinger,表现出未修补的功能。由于这些AOSP ROM是带外编译的,并在主板黑客和系统修改论坛的深处临时维护,用户不太可能自己修补这些漏洞。当然没有空中升级能力。
S10运行一个稍新的Android:Lollipop 5.1。最后更新于2015年,Lollipop用现代ART VM取代了Dalvik VM,并添加了Material UI主题元素,从而允许我们的山寨机使用三星UI组件。
然而,有一个更严重的问题困扰着两部手机:过时的内核。除了Android运行时更新之外,Android手机中的Linux内核通常需要供应商参与将安全修复下游到手机上。即使在合法的Android设备中,这个过程也经常落后于安全发布,并需要供应商的额外工程努力。联发科ROM维护者的志愿者社区不会跟上日常安全更新,因此山寨机中过时的内核是不可避免的。两部手机都有易受攻击的内核,这些内核被已知漏洞成功利用,如DirtyCow(一种写时复制内存竞争条件)和Towelroot(移植到Android的Futex定时错误)。毫无疑问,还有大量其他内核漏洞可供潜在攻击者滥用。
联发科设备驱动程序和守护进程也是丰富漏洞的来源,通常导致内核级执行。再次,用户能够适当找到并修补这些系统的能力或可能性非常低。
这些手机的另一个陷阱是存在调试和测试实用程序,这些程序在联发科基线ROM包中暴露了危险的系统级权限。这在两部设备上都被观察到,以及我们研究的其他多个山寨变体。Galaxy S10山寨机具有一个远程调试服务器,允许远程控制媒体文件、记录SMS消息和删除电话号码。
Galaxy S10山寨机上的联发科Android守护进程(MTKAndroidSuite包)启动一个本地FTP服务器,由于服务的高权限,可用于操作文件。
仍然在S10上,传入的SMS被保存到应用程序的SQLite数据库,该数据库不受访问控制保护,可以被其他应用程序读取。
显示一些联发科守护进程功能(通过类文件名指示)的概述显示,守护进程还可以检索媒体文件、转储电话联系人、删除手机消息等。
这些山寨机无疑是不安全的。两部都谎报其Android版本。使用的ROM版本严重过时且易受公共漏洞利用,它们的内核也是如此。它们包括臃肿软件,如远程调试服务,这些服务 enable abuse。这是你从围绕志愿者维护的、过时的Android ROM构建的手机中预期的。
供应商和开发者能够无缝集成并在其设备上强制执行安全更新,对移动安全来说是一个巨大的胜利。这需要一个超越手机本身的更大生态系统。这些克隆不仅缺乏最新和最伟大的硬件缓解措施,而且与更大生态系统及其安全安全网隔离是一个固有风险,这些山寨机永远无法真正缓解。
丑陋——它们包含恶意软件和rootkit
我们评估的Galaxy S10和iPhone 6山寨机都包含恶意软件和rootkit。
我们在两部设备中注意到的第一个问题是Umeng的存在,一个侵入性分析库,嵌入到许多应用程序和系统库中。Umeng总部位于中国,曾被发现在其操作中 employing malware。它收集并发送用户信息,包括姓名、性别、IMEI号码、序列号等,定期回传到他们的服务器,而不提示任何通常的权限同意免责声明。
就S10而言,我们发现SystemUI框架被修改以嵌入一个服务器,该服务器可以任意下载、安装和运行.dex文件,此外还报告从系统事件收集的事件信息,如地理位置、联系人创建以及包安装和移除。例如,用于面部识别的库组件捆绑了可以按需安装任意Android应用程序的功能。
在S10上,SystemUI中的一个隐藏组件在后台从互联网下载文件。注意屏幕截图底部的中文日志!
监控S10的网络活动,我们发现它定期联系一个未知服务器。这是那些请求的起源,发现嵌入在SystemUI框架库内部。
一个在面部识别软件中具有按需安装额外应用程序能力的组件示例。“ReadFace”是一个第三方库,集成在SystemUI框架内,似乎模拟生物识别面部识别。在这段代码中,似乎有能力任意安装APK。
最后,S10包括一个RAT,伪装成字体扩展系统服务(“LovelyFonts”),允许远程本地代码执行, complete with a shell、任意文件上传/下载和系统事件记录。这个RAT为将其植入那里的人提供无限访问, enabling total compromise of the phone and all its data。我们观察到某些事件,如安装包或发送文本消息,会触发连接以交换与此后门远程相关的加密有效负载。需要注意的是,虽然这种特定恶意软件在我们研究的特定iPhone 6上不存在,但我们过去在其他山寨iPhone ROM上遇到过它的变体。
这是Lovelyfonts库中的一个函数,调用直接系统调用。Lovelyfonts服务带有一个库,允许远程用户直接在机器上执行代码,绕过Android运行时。
在这里,恶意软件表示它正在尝试实例化一个“网络拦截器”,表面上干扰网络流量。
RAT恶意软件检测每当应用程序安装或卸载时,并生成加密有效负载发送到远程API服务器。
不安全、过时的ROM是坏的。恶意意图的实际证据是丑陋的。我们看的手机都有Umeng,一个已知的侵入性分析库,窃取用户数据,嵌入在多个应用程序中。S10有一个服务器嵌入在SystemUI框架中,可以下载、安装和运行应用程序,并收集系统数据,而且它有恶意软件,授予将其植入那里的任何人无限访问设备的权限。
这个故事的寓意?如果你使用山寨手机,很可能它会故意为不良行为者提供访问你数据的途径。在这里嵌入恶意软件很容易。山寨制造商在分发前植入和修改ROM是微不足道的。对大多数用户来说,跟踪或检测任一动作是不可能的。虽然理论上可能找到一个“干净”的分发,但这是一场赌博,更不用说使用不安全基线系统的固有风险了。
结论——如果你使用了这些手机之一,你可能已经被黑客攻击了
随着手持设备的价格点持续攀升,总是会有寻求更便宜替代品的诱惑。山寨智能手机将继续在复杂性、性能和对用户的威胁方面发展。使用它们会使你的数据面临风险,并可能 enable abuse of the applications and networks that you access and use。
通常,买家并不明显他们购买的是山寨机。像这样的假版本通常通过Craigslist或其他第三方获得。有些作为诈骗升级或礼物出售。在一些国家,很难确定 genuine sellers from counterfeit vendors,因为所有手机都是独立于蜂窝合同购买的。直接从Apple或Samsung购买是确保手机上没有预装恶意软件的最佳方式,并使你能够接收修补安全问题的软件更新(好吧,至少理论上)。如果你是一家允许员工在手机上访问公司数据的公司,考虑验证设备的 genuine software。
我们希望这项调查有助于阐明选择“非品牌”设备的危险。如果这有帮助,或听起来类似于你或你的组织面临的安全问题,请联系!我们提供广泛的服务,包括iVerify——一个用于iOS的个人安全应用程序——以进一步保护你的手机。
我们想再次感谢DeviceAssure联系我们并提供硬件进行此分析,以及有机会对此事进行一些挖掘。他们今年将在Blackhat,我们中的一些人也会在,所以过来打个招呼。一如既往,我们喜欢听到野外奇怪和奇特的产品,所以如果你认为我们应该看什么东西,请 drop a line!
如果你喜欢这篇文章,分享它: Twitter LinkedIn GitHub Mastodon Hacker News