从山寨智能手机的深处揭秘
第一印象
我们研究了两款山寨手机:iPhone 6和三星S10。
山寨iPhone的正面和背面 山寨三星S10的正面和背面
这些设备的外观非常逼真。外围布局、尺寸和整体处理与零售版本几乎完全相同。各种开关和按钮对应真实设备中控制手机锁、调节音量以及开关机的功能。山寨iPhone甚至在其充电端口使用了闪电电缆!
两款型号都配备了触觉反馈和指纹传感器,这些功能确实有效……大多数情况下。还包括面部生物识别技术,尽管失败率相当高,且经常完全无法使用。
从内部结构初步来看,两款设备都依赖联发科的控制器,这是一家中国硬件公司,为嵌入式设备提供ARM芯片组,既极其便宜又相当有能力。与许多山寨产品一样,它们也依赖定制、主要由社区构建的Android运行时ROM——这是一个明显的迹象,表明功能将非标准且充满数百种变体特定的怪癖。
好处——它们看起来和运行起来有点像真货……有时
你得到的手机看起来和运行起来模糊地像它所仿冒的型号,但有一些例外。除此之外还有什么好处吗?
没有。
真的,即使这些设备假设拥有原始的ROM(提示:它们没有),它们仍然带有一系列关键问题,即使它们没有被预装恶意软件直接后门(提示:它们有)。
我们可以给系统UI中的一些细节渲染打个C+的努力分。大多数模态弹出窗口和面板设置都通过本地资源框架的扩展被忠实地拦截和重新创建。
特别是,三星山寨版使用本地启动器、UI/图标包和主题引擎为其Android变体;几乎与原件无法区分。它甚至包括三星和Google Play应用商店的合法门户。
然而,iPhone在几分钟的探索后迅速崩溃。ROM系统层最初呈现一个可信的iOS UI,但事件行为中的边缘情况(WiFi连接错误、应用程序异常、某些输入文本类型等)揭示了原生Android屏幕。此外,“iOS”应用程序都以明显低分辨率显示,并包含创意破碎的英语(与ROM系统层形成鲜明对比,表明作者不同)。
坏处——它们充满未修补的漏洞和不安全的臃肿软件
两款手机都报告运行最新版本的Android Pie 9.0;一个在大多数方面相对加固的操作系统。然而,这不是真的。
对于iPhone,进一步挖掘显示它运行一个更老版本的Android:Kitkat 4.4.0。Kitkat的最后更新是在2014年。正如你可以想象的,自那时以来出现了数百个CVE,更不用说后来被重新设计的固有设计缺陷:沙盒机制、文件系统分区和危险的权限API等。
我们探测了一些众所周知的弱点,并确认它们未修补。该设备易受 notorious Stagefright 漏洞的影响,这些漏洞利用SMS/MMS消息中的媒体处理来获得设备的远程控制。此外,旧Android系统守护进程中的几个漏洞,包括Mediaserver和Surfaceflinger,表现出未修补的功能。由于这些AOSP ROM是带外编译并在主板破解和系统修改论坛的深处临时维护的,用户自己修补这些漏洞的可能性很小。肯定没有空中升级能力。
S10运行一个稍新的Android:Lollipop 5.1。最后更新于2015年,Lollipop用现代ART VM替换了Dalvik VM,并添加了Material UI主题元素,从而允许我们的山寨版使用三星UI组件。
然而,有一个更严重的问题困扰着两款手机:过时的内核。除了Android运行时更新外,Android手机中的Linux内核通常需要供应商参与将安全修复下游到手机上。即使在合法的Android设备中,这个过程也经常落后于安全发布,并需要供应商额外的工程努力。联发科ROM维护者的志愿者社区不会跟上日常安全更新,因此山寨产品中过时的内核是不可避免的。两款手机都有易受攻击的内核,成功被已知漏洞利用,如DirtyCow(写时复制内存竞争条件)和Towelroot(移植到Android的Futex定时漏洞)。毫无疑问,潜在攻击者可以利用大量其他内核漏洞。
联发科设备驱动程序和守护进程也是丰富漏洞的来源,通常导致内核级执行。再次,用户能够适当找到并修补这些系统的能力或可能性非常低。
这些手机的另一个陷阱是存在调试和测试实用程序,这些程序在联发科基线ROM包中暴露危险的系统级权限。这在两款设备上都被观察到,以及我们研究过的其他多个山寨变体。Galaxy S10山寨版具有一个远程调试服务器,允许远程控制媒体文件、记录SMS消息和删除电话号码。
Galaxy S10山寨版上的联发科Android守护进程(MTKAndroidSuite包)启动一个本地FTP服务器,由于服务的高权限,可用于操作文件。
仍在S10上,传入的SMS被保存到应用程序的SQLite数据库,该数据库不受访问控制保护,可以被其他应用程序读取。
显示一些联发科守护进程功能的概述(通过类文件名指示)显示守护进程还可以检索媒体文件、转储手机联系人、删除手机消息等。
这些山寨产品无疑是不安全的。两者都谎报其Android版本。使用的ROM版本严重过时且易受公共漏洞利用,其内核也是如此。它们包括臃肿软件,如远程调试服务,这些服务 enable abuse。这是你从一个围绕志愿者维护的、过时的Android ROM构建的手机中所期望的。
供应商和开发者能够无缝集成并在其设备上强制执行安全更新的能力一直是移动安全的巨大胜利。这需要一个超越手机本身的更大生态系统。这些克隆不仅缺乏最新和最伟大的硬件缓解措施,而且与更大生态系统及其安全安全网隔离是一个固有风险,这些山寨产品永远无法真正缓解。
丑陋——它们包含恶意软件和rootkit
我们评估的Galaxy S10和iPhone 6山寨版都包含恶意软件和rootkit。
我们在两款设备中注意到的第一个问题是存在Umeng,一个侵入性分析库,嵌入到许多应用程序和系统库中。Umeng总部位于中国,曾被发现在其操作中 employ malware。它收集并发送用户信息,包括姓名、性别、IMEI号码、序列号等,定期回传到其服务器,而不提示任何通常的权限同意免责声明。
在S10的情况下,我们发现SystemUI框架被修改以嵌入一个服务器,该服务器可以任意下载、安装和运行.dex文件,此外还报告从系统事件(如地理位置、联系人创建、包安装和删除)收集的事件信息。例如,用于面部识别的库组件捆绑了可以按需安装任意Android应用程序的功能。
在S10上,SystemUI中的一个隐藏组件在后台从互联网下载文件。注意截图底部的中文日志!
监控S10的网络活动,我们发现它定期联系一个未知服务器。这是那些请求的起源,发现嵌入在SystemUI框架库内部。
一个具有按需安装额外应用程序功能的组件示例在面部识别软件中。“ReadFace”是一个第三方库,集成在SystemUI框架内,似乎模拟生物识别面部识别。在此代码中,似乎有能力任意安装APK。
最后,S10包括一个RAT,伪装成字体扩展系统服务(“LovelyFonts”),允许远程本机代码执行, complete with a shell、任意文件上传/下载和系统事件记录。此RAT为植入它的人提供无限访问, enable total compromise of the phone and all its data。我们观察到某些事件,如安装包或发送文本消息,会触发连接以交换与此后门远程相关的加密有效负载。请注意,虽然此特定恶意软件不在我们研究的特定iPhone 6上,但我们过去在其他山寨iPhone ROM上遇到过其变体。
这是Lovelyfonts库中的一个函数,调用直接系统调用。Lovelyfonts服务带有一个库,允许远程用户直接在机器上执行代码,绕过Android运行时。
在这里,恶意软件表示它正在尝试实例化一个“网络拦截器”,表面上干扰网络流量。
RAT恶意软件检测每当应用程序安装或卸载时,并生成加密有效负载发送到远程API服务器。
不安全的、过时的ROM是坏的。恶意意图的实际证据是丑陋的。我们查看的手机都有Umeng,一个已知的窃取用户数据的侵入性分析库,嵌入在多个应用程序中。S10有一个嵌入在SystemUI框架中的服务器,可以下载、安装和运行应用程序,并收集系统数据,并且它有恶意软件,授予植入它的人对设备的无限访问权限。
故事的寓意?如果你使用山寨手机,很可能它会故意为不良行为者提供对你的数据的访问。在这里嵌入恶意软件很容易。山寨制造商在分发前植入和修改ROM是微不足道的。对大多数用户来说,跟踪或检测任一行动是不可能的。虽然理论上可能找到一个“干净”的分发,但这是一场赌博,更不用说使用不安全基线系统的固有风险了。
结论——如果你使用了这些手机之一,你可能已经被黑客攻击
随着手持设备价格的持续攀升,总是有寻求更便宜替代品的诱惑。山寨智能手机将继续在复杂性、性能和对用户的威胁方面发展。使用它们会使你的数据面临风险,并可能 enable abuse of the applications and networks that you access and use。
通常,买家并不明显他们正在购买山寨产品。像这样的假版本通常通过Craigslist或其他第三方获得。有些作为诈骗升级或礼物出售。在一些国家,很难区分 genuine sellers from counterfeit vendors,因为所有手机都是独立于蜂窝合同购买的。直接从Apple或Samsung购买是确保手机上没有预装恶意软件的最佳方式,并使你能够接收修补安全问题的软件更新(好吧,至少理论上)。如果你的公司允许员工在手机上访问公司数据,考虑验证设备的 genuine software。
我们希望这项调查有助于阐明选择“非品牌”设备的危险。如果这有帮助,或听起来类似于你或你的组织面临的安全问题,请联系!我们提供广泛的服务,包括iVerify——一个用于iOS的个人安全应用程序——以进一步保护你的手机。
我们再次感谢DeviceAssure联系我们并提供硬件进行此分析,以及有机会对此事进行一些挖掘。他们今年将在Blackhat,我们中的一些人也会在,所以过来打个招呼。一如既往,我们喜欢听到野外奇怪和奇特的产品,所以如果你认为我们应该查看什么,请留言!
如果你喜欢这篇文章,分享它: Twitter LinkedIn GitHub Mastodon Hacker News