東周刊 568 期封面

企企平時沒有看《東周刊》,不過今天見到封面幾吸引,說手機影音 app 和機頂盒都內置木馬,所以八卦買來一看。
今次它測試了 4 款機頂盒和十多款 app,當然不是記者去測試,是由一間叫 Nexusguard 的公司去負責測試,企企看過有關公司的網頁,是一保安公司,主要防範 DDoS, SQL injections 等等網絡攻擊,相信都是一間專業的公司。
今次測試是用 Dr.Web, Avast, ESET 去測試 Google play 上的軟件,發現其中 4 個大陸影音 app,PPTVPPS 影音優酷視頻風行視頻都有 Android.Spy.origin.83 這隻木馬。
這四隻都是香港人比較常用的影音 app,所以相信都有頗多人中招。
根據書中所說,一部安裝了 PPS, PPTV, 優酷 三個 app 的 Android 機,Nexusguard 人員只需要 5 分鐘就可以 hack 進去看到機內的相片,可以用手機的鏡頭偷拍,和長開 mic 竊聽,可謂非常恐怖

另外亦有測試小米盒第二代越獄版、英菲克i9英菲克i6海美迪 H8 四部機頂盒,結果小米,英菲克等三部都有 Android.Spy.origin.83,而英菲克那兩部更有 Android.DDoS.origin.1 這個 DDoS 攻擊程式,而海美迪則只有一個播廣告的木馬。
機頂盒有木馬可以做到的可能是偷你機頂盒上所輸入的資料,如優酷帳號等,要知道大部份人在各平台上的 username 和 password 都是一致,所以如果知你優酷帳號,可能有很多其他平台也能登入。
另外黑客亦可以經機頂盒作跳板,入侵網絡內 (即是用戶家裏) 其他不安全的電腦;不過企企比較擔心是機頂盒安裝 network suffer,這樣的話你去過那些網站,和所以未經加密的登入資料等都可以被機頂盒攔截,送一份副本到黑客手中。
而 DDoS 經過普及投票 popvote蘋果日報被攻擊之後,大家應該都不會佰生,所以如果買了這些機頂盒,你可能已經成為當日攻擊的一份子了。(當日對 popvote 發出攻擊的都是香港 IP)

根據本 blog 讀者提供的資料,今次測試是的機頂盒,手機等等,在測試前都已清洗原本資料,回復原廠設定才進行測試。
而測試地點在 Nexusguard 的 Lab 進行,過程符合 ISO 27037 , PA-DSS 等業界標準,所以這次測試是一個正式可信的測試,亦証實 PPTV、PPS 影音、優酷等 App 的危險性,形響範圍廣泛而且嚴重。

比較奇怪的是 Android.Spy.origin.83 這隻木馬,Google 過但是找不到這隻毒的詳細資料,雖然幾個 online scanner 都見到有 app 曾經掃到這隻木馬但沒有詳細資料,可以說是「迷」一般的木馬。
不過,無論如何,一部已回復原廠設定,只安裝三個大陸影音 App 的 Android 手機,只需 5 min 就已經被 hack,這點就非常值得注意,尤其一般用戶的保安意識非常薄弱,很易招至損失。

而保安意識薄弱原因大部份因為覺得自己不是名人,資料沒價值,而電話又沒有床照,就算萬一被偷相也沒有甚麼大不了。
這種想法有一部份是對,黑客對你個人資料興趣只限於$$ — 集合所有受害人的個人資料以 package 形式賣給其他有興趣的人,如詐騙集團,簡單想到的行騙方式如扮受害人打電話給老人家借錢等,因為已經拿了你很多個人資料,知你姓甚名誰,也拿了你電話簿內所有親威朋友的電話,行騙方法對他們來說,要多少有多少吧。
另外黑客亦可以經這隻木馬安裝其他功能更強的木馬,如撥打長途電話,不停 send SMS 等,從中取利。
如果電話已 root 的就更危險,可以安裝 keylogger 記錄你所輸入的每個字,如信用卡 number.
所以不要以為自己不重要…….除非 $$ 對於你來說並不重要,被黑客偷錢當炫富,証明自己有錢豪得起。

Dr Web scan result PPS 優酷
用 Dr. Web scan 就見到由 Google PlayStore 下載的優酷,PPS 都有病毒。
而另一個香港人較常用的千尋,Dr.Web 並未掃到有毒。

另外不少大陸 app 都要求一堆和自身功能無關的權限,例如 PPTV,就要求

  • 你電話的所有帳號,如 Google 帳號、小米帳號等等
  • 你的位置,甚至是 GPS 的精確位置
  • 存取、删除你 device 的相片、檔案,包括 device、SD Card、外置 USB 手指等等
  • 錄音、影相
  • 更改系統設定

pptv right request

這些功能其實和播片完全沒有關係,但如果 app 內內置木馬,或者有「敏感」人物安裝了,都會令 device 完全曝露於黑客面前。
就如今次測試可以做到的,實行偷拍與竊聽。
所以每次安裝 app 前都需要格外留神,以免給予一些危險的權限。
如果那些 app 強制要求存最這些無關但又危險的權限,用戶最好都不要安裝了。

引伸閱讀:

紅米 Note 聯通版,就算你沒有設定「小米雲」,root 機移除所有小米相關的 app,都依然會連線到小米 server;下載任何東西都一定要經過小米 server (幫你過濾? Proxy?) 先。
而且它幫你 disable 小熊來電 (小熊來電不支援小米機),有 junk call 如安信兄弟,大陸公安局會直接 send SMS 通知你 !!!! 對你無微不至。

紅米 Note 國際版依然有小米雲服務,不過根據測試,就算你沒有用小米雲都依然會和大陸 server 連線。
同樣地下載任何東西都會經過大陸 server,而且是深夜 + WiFi 才會連線 send 資料,非常「鬼鼠」。
就算 root 機安裝 firewall 都不能 block.
所以各用家小心了。