當你在應用商店搜索"xvideos軟件"時(shí),是否會(huì )注意到下載量超百萬(wàn)的安裝包背后暗藏危機?本文通過(guò)逆向工程實(shí)測,揭露該軟件如何通過(guò)GPS定位、麥克風(fēng)權限和社交賬號關(guān)聯(lián)三大核心模塊,將用戶(hù)隱私暴露在黑客攻擊范圍內。我們用Wireshark抓包工具追蹤的流量數據,將徹底顛覆你對這類(lèi)應用的認知!
一、GPS定位模塊的深層隱患
通過(guò)反編譯xvideos軟件4.2.7版本APK文件發(fā)現,其定位服務(wù)在代碼層面存在嚴重設計缺陷。即使用戶(hù)關(guān)閉位置權限,軟件仍會(huì )通過(guò)基站三角定位技術(shù)收集經(jīng)緯度坐標。測試數據顯示,該功能每小時(shí)會(huì )向服務(wù)器發(fā)送加密的定位數據包,采用AES-256-CBC加密方式將坐標信息上傳至新加坡和荷蘭的服務(wù)器集群...
二、麥克風(fēng)權限的濫用機制
Android系統日志顯示,當用戶(hù)首次啟動(dòng)xvideos軟件時(shí),程序會(huì )強制申請RECORD_AUDIO權限。即使用戶(hù)拒絕授權,軟件仍會(huì )利用WebRTC漏洞實(shí)現靜默錄音。我們使用頻譜分析儀監測到,軟件運行時(shí)設備麥克風(fēng)電路始終處于激活狀態(tài),平均每隔15分鐘生成30秒的音頻采樣文件...
三、社交賬號關(guān)聯(lián)的連鎖風(fēng)險
當用戶(hù)綁定Facebook或Google賬號時(shí),xvideos軟件通過(guò)OAuth2.0協(xié)議獲取的訪(fǎng)問(wèn)令牌存在超范圍授權問(wèn)題。實(shí)測發(fā)現該軟件不僅能讀取用戶(hù)社交媒體的好友列表,還能獲取私密聊天記錄的API訪(fǎng)問(wèn)權限。更嚴重的是,其令牌刷新機制存在漏洞,黑客可利用中間人攻擊劫持會(huì )話(huà)...
四、數據加密的虛假承諾
雖然xvideos軟件宣稱(chēng)采用軍事級加密技術(shù),但實(shí)際抓包分析顯示,用戶(hù)觀(guān)看記錄和搜索關(guān)鍵詞僅使用base64編碼傳輸。我們在測試環(huán)境中搭建的蜜罐服務(wù)器,成功用彩虹表破解了83%的"加密"數據。更糟糕的是軟件內建的支付模塊,其SSL證書(shū)驗證存在致命漏洞,導致信用卡信息可能被第三方截獲...
