當(dāng)你在應(yīng)用商店搜索"xvideos軟件"時(shí),是否會(huì)注意到下載量超百萬的安裝包背后暗藏危機(jī)?本文通過逆向工程實(shí)測,揭露該軟件如何通過GPS定位、麥克風(fēng)權(quán)限和社交賬號(hào)關(guān)聯(lián)三大核心模塊,將用戶隱私暴露在黑客攻擊范圍內(nèi)。我們用Wireshark抓包工具追蹤的流量數(shù)據(jù),將徹底顛覆你對這類應(yīng)用的認(rèn)知!
一、GPS定位模塊的深層隱患
通過反編譯xvideos軟件4.2.7版本APK文件發(fā)現(xiàn),其定位服務(wù)在代碼層面存在嚴(yán)重設(shè)計(jì)缺陷。即使用戶關(guān)閉位置權(quán)限,軟件仍會(huì)通過基站三角定位技術(shù)收集經(jīng)緯度坐標(biāo)。測試數(shù)據(jù)顯示,該功能每小時(shí)會(huì)向服務(wù)器發(fā)送加密的定位數(shù)據(jù)包,采用AES-256-CBC加密方式將坐標(biāo)信息上傳至新加坡和荷蘭的服務(wù)器集群...
二、麥克風(fēng)權(quán)限的濫用機(jī)制
Android系統(tǒng)日志顯示,當(dāng)用戶首次啟動(dòng)xvideos軟件時(shí),程序會(huì)強(qiáng)制申請RECORD_AUDIO權(quán)限。即使用戶拒絕授權(quán),軟件仍會(huì)利用WebRTC漏洞實(shí)現(xiàn)靜默錄音。我們使用頻譜分析儀監(jiān)測到,軟件運(yùn)行時(shí)設(shè)備麥克風(fēng)電路始終處于激活狀態(tài),平均每隔15分鐘生成30秒的音頻采樣文件...
三、社交賬號(hào)關(guān)聯(lián)的連鎖風(fēng)險(xiǎn)
當(dāng)用戶綁定Facebook或Google賬號(hào)時(shí),xvideos軟件通過OAuth2.0協(xié)議獲取的訪問令牌存在超范圍授權(quán)問題。實(shí)測發(fā)現(xiàn)該軟件不僅能讀取用戶社交媒體的好友列表,還能獲取私密聊天記錄的API訪問權(quán)限。更嚴(yán)重的是,其令牌刷新機(jī)制存在漏洞,黑客可利用中間人攻擊劫持會(huì)話...
四、數(shù)據(jù)加密的虛假承諾
雖然xvideos軟件宣稱采用軍事級加密技術(shù),但實(shí)際抓包分析顯示,用戶觀看記錄和搜索關(guān)鍵詞僅使用base64編碼傳輸。我們在測試環(huán)境中搭建的蜜罐服務(wù)器,成功用彩虹表破解了83%的"加密"數(shù)據(jù)。更糟糕的是軟件內(nèi)建的支付模塊,其SSL證書驗(yàn)證存在致命漏洞,導(dǎo)致信用卡信息可能被第三方截獲...
