前几天上网看到一条关于酷派手机存在后门的新闻,(不过今天也算“旧闻”了):酷派安全手机不安全:系统频现漏洞 且有后门,恰好我刚换了个酷派的手机,就关注了一下,才知道原来自诩“安全”的酷派居然在手机中内置后门程序“CoolReaper”来侵犯用户隐私。
这个后门会表现出如下行为:静默下载、安装或者激活任意应用且不通知用户;清除用户数据、卸载已安装应用或者禁用系统应用;伪造OTA信息提示用户升级系统其实是安装一些推送的应用;发送短信或者彩信以及伪造手机中的短信或者彩信;拨打电话;上传用户设备信息、位置信息、应用使用情况、通话记录、短信记录到酷派服务器。
据国内漏洞报告平台乌云测试,在其总共调查的77个酷派手机rom中,其中64个包含后门coolreaper,大神系统8个机型有41个rom有后门,其他23个第三方固件设计16种机型也都有后门。详情可以参看此页:CoolPad backdoor CoolReaper 。
目前酷派官网论坛上已经无法讨论此问题,删帖、封号已经把大家的嘴堵得差不多了,好在其它网站上有网友提供了解决方案:通过删除相关文件来解决这个后门(以下内容转自WooYun知识库):
在分析的这些rom后门coolreaper分别以下文件名的形式存在:
/system/app/CP_DMP.apk
/system/app/CP_DMP.odex
/system/app/GoogleGmsFramework.apk
/system/app/GoogleGmsFramework.odex
/system/lib/libgmsframework.so
libgmsframework.so并不是个库文件,其实是一个apk文件。在同一个rom里此文件的内容与GoogleGmsFramework.apk相同。唯一区别是这个伪造的库文件使用调试证书签名。
开发者使用了编译日期作为版本号,使用编译日期+时间作为版本名称。利用这两个特征我们可以确认CoolReaper开发日期是2013年10月12号或者更早。
2014年5月我们注意到此后门做了一个版本升级,从2.x升级到3.0。同时后门的文件名由CP_DMP.apk变更为GoogleGmsFramework.apk。我们怀疑酷派这么做是因为网上有用户反馈CP_DMP.apk是恶意软件。
酷派个人用户,我们建议通过root explorer软件查看你的手机是否有以下文件:
/system/app/CP_DMP.apk
/system/app/CP_DMP.odex
/system/app/GoogleGmsFramework.apk(话说酷派给自己的后门取这个名字实在太机智了)
/system/app/GoogleGmsFramework.odex
/system/lib/libgmsframework.so
如果存在以上任意一个文件,你的手机就很有可能存在CoolReaper后门。如果你的手机已经root,你可以使用root权限轻易的删除这些文件。不过,酷派还是有可能通过OTA升级给你安装新的后门。
(说明:目前网上关于酷派后门的话题讨论比较热烈,酷派官方酷友论坛已经不能公开讨论,发言中一旦有“后门”字眼,轻则删帖,重则禁言、封号,就算是百度百家上,发表不利于酷派的言论也遭遇疯狂删帖,各位看帖的同学可以把你的观点发表在本博客,只要文明发言我是不会删帖的,呵呵。)
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/250942.html