眾所周知,谷歌一直管不好自己的應用商店,最近曝出的新聞再次證實了這一點。近期,研究人員報告稱來自谷歌官方應用商店的幾百款Android應用和Chrome擴展均包含窺探用戶文件、篡改剪貼板內容和故障向網頁注入未知代碼的行為。
研究人員指出,谷歌雖然刪除了相當一部分惡意條目,但目前市場上仍有殘餘。據猜測,全球可能已經有幾百萬台設備悄然遭受到感染,形勢相當嚴峻。
管理成效可謂一塌糊塗
擴展開發者兼研究人員Wladimir Palant在郵件中寫道:「我不喜歡谷歌的做法。」在Chrome出現之前,也就是Firefox還占據份額優勢的時代,Mozilla會在擴展程序上架前派員工進行審查。谷歌採取的則是自動審查流程,這種偷工減料式的「妙招」很快被Firefox也學了去。
「由於自動審查經常遺漏惡意擴展,而谷歌又對上報資訊處理得非常緩慢(甚至根本不做任何反應),導致用戶陷入了非常尷尬的境地。」
長期以來,研究人員和安全倡導者一直希望谷歌能在Play Store對Android應用做出嚴格審查。而過去這周鬧出的大麻煩,也讓批評者有了更多支持觀點的理由。
本周一,安全公司Dr. Web發現了101款來自Play Store的應用,其總下載數量達到4.21億次,其中包含允許各種間諜活動的代碼,例如:
• 獲取指定目錄下的文件列表;
• 驗證設備上是否存在特定文件或目錄;
• 將文件從設備發送給開發者;
• 複製或替換剪貼板中的內容。
ESET研究員Lukas Stefanko分析了Dr. Web報告的應用,並證實了上述結論。他在解釋稱,要讓文件偵聽實際起效,用戶首先需要批准READ_EXTERNAL_STORAGE權限,該權限允許應用讀取存儲在設備上的文件。雖然授權過程需要由用戶單獨認可,但這一授權在其他日常應用中也經常出現,例如照片編輯、下載管理,以及使用多媒體、瀏覽器應用或相機功能等,所以幾乎不會引起用戶的警覺。
Dr. Web表示,間諜軟體功能由軟體開發工具包(SDK)提供。SDK能夠自動執行某些常見任務,從而幫助簡化開發流程。Dr. Web在研究後發現,啟用偵聽功能的SDK為SpinOK。但嘗試聯繫SpinOK的開發者後,對方並未回復置評請求。
上周五,安全公司CLoudSEK將使用SpinOK的應用名單擴展到了193個,並表示 其中43個仍在Play軟體商店中正常開放。CloudSEK在聲明郵件中寫道:
Android.Spy.SpinOk間諜軟體已經對Android設備構成了巨大威脅,它能夠從受感染的設備中收集文件,並將其傳輸給惡意攻擊者。這種未經授權的文件收集行為,無疑會將敏感和個人資訊置於暴露或濫用的風險當中。此外,該間諜軟體還能篡改剪貼板內容,這進一步加劇了威脅等級,可能允許攻擊者訪問敏感數據,例如密碼、信用卡號或其他機密資訊。此類行為可能引發嚴重影響,導致身份盜用、金融欺詐和其他隱私泄露等。
從谷歌Chrome Web Store獲取Chrome擴展的用戶這周日子同樣不好過。上周三,Palant報告了18個包含故意混淆代碼的擴展,這些代碼會接入位於serasearchtop[.]com的伺服器。在對接完成後,擴展程序會將神秘的JavaScript注入用戶查看的每個網頁當中。目前這18個擴展程序的下載量約為5500萬次。
上周五,安全公司Avast證實了Palant的調查結果,並確定總計32個擴展程序,其報告的下載量為7500萬次——但Avast也提醒,具體下載數字可能存在人為誇大。
由於無法查看代碼,所以Palant和Avast都無法確定這注入的JavaScript代碼到底想要幹什麼。但雙方均懷疑其目的是劫持搜索結果並向用戶發送廣告垃圾郵件。在他們看來,這些擴展已經不單純是間諜軟體,而上升到了惡意軟體的級別。
「這種將任意JavaScript代碼注入每個網頁的能力有著巨大的濫用可能。而重新定向搜索頁面,只是這種濫用可能中的一種具體方式。」
我被感染了嗎?
各研究者和安全廠商上報的應用和擴展之間存在一定重合。但必須承認,過去這一周以來,已經發現了幾百種被從谷歌官方市場下載了百萬、千萬次的惡意產品。
除了發布聲明模板堅稱會認真對待用戶安全之外,谷歌公司的代表對於官方市場上存在惡意軟體的問題一直避而不談。該公司通常會在收到上報後迅速刪除涉嫌產品,但隨後可能因未能審查出風險而將其重新上架,或者是繼續遺漏最近申請發布的新惡意軟體。
面對此次事件,谷歌公司代表發布了如下聲明:
「Google Play始終將用戶和開發者的安全視為頭等大事。我們審查了最近關於SpinOK SDK的上報,並對違反我公司政策的應用採取了適當處置。用戶將受到Google Play Protect的保護,它會警告用戶使用Google Play服務的某些已知應用可能在Android設備上表現出惡意行為,此提示對第三方來源的應用同樣有效。」
在另一封郵件中,谷歌代表還指出:
「Chrome Web Store為全體開發者制定了必須遵守的用戶安全政策。我們認真對待關於擴展程序的安全和隱私聲明,在發現有違我公司政策的擴展程序時,我們會採取適當的處置措施。這些上報的擴展程序已被從Chrome Web Store上刪除。」
一旦發現用戶安裝了某一惡意產品,谷歌通常不會通知用戶。但您可以參考以下內容確定自己是否受到感染。
Dr. Web公布了完整的惡意應用列表。
CloudSEK上報的應用:
com.hexagon.blocks.colorful.resixlink
com.macaronmatch.fun.gp
com.macaron.boommatch.gp
com.blast.game.candy.candyblast
com.tilermaster.gp
com.crazymagicball.gp
com.cq.merger.ww.bitmerger
com.happy2048.mergeblock
com.carnival.slot.treasure.slotparty
com.holiday2048.gp
com.richfive.money.sea
com.hotbuku.hotbuku
com.crazyfruitcrush.gp
com.twpgame.funblockpuzzle
com.sncgame.pixelbattle
com.cute.macaron.gp
com.slots.lucky.win
com.happy.aquarium.game
com.blackjack.cash.poker
vip.minigame.idledino
com.circus.coinpusher.free
com.diamond.block.gp
com.boommatch.hex.gp
com.guaniu.deserttree
com.snailbig.gstarw
com.tunai.instan.game
com.yqwl.sea.purecash
com.block.bang.blockbigbang
com.chainblock.merge2048.gp
com.snailbig.gstarfeelw
com.ccxgame.farmblast
com.bubble.connect.bitconnect
com.acemegame.luckyslot
com.tianheruichuang.channel3
com.kitty.blast.lucky.pet.game
com.magicballs.games
com.bird.merge.bdrop
com.acemegame.luckycashman
free.vpn.nicevpn
com.vegas.cash.casino
com.meta.chip.metachip
com.guaniu.lightningslots
vip.minigame.RollingBubblePuzzle
Palant上報的受感染擴展:
未加刪除線的名稱,代表Palant帖子發布時仍未被刪除的擴展程序。截至上周五,谷歌表示上報的所有擴展均已被下架。
Avast提供的惡意擴展清單:
aeclplbmglgjpfaikihdlkjhgegehbbf
afffieldplmegknlfkicedfpbbdbpaef
ajneghihjbebmnljfhlpdmjjpifeaokc
ameggholdkgkdepolbiaekmhjiaiiccg
bafbedjnnjkjjjelgblfbddajjgcpndi
bahogceckgcanpcoabcdgmoidngedmfo
bikjmmacnlceobeapchfnlcekincgkng
bkbdedlenkomhjbfljaopfbmimhdgenl
bkflddlohelgdmjoehphbkfallnbompm
bkpdalonclochcahhipekbnedhklcdnp
bppfigeglphkpioihhhpbpgcnnhpogki
cajcbolfepkcgbgafllkjfnokncgibpd
ciifcakemmcbbdpmljdohdmbodagmela
deebfeldnfhemlnidojiiidadkgnglpi
diapmighkmmnpmdkfnmlbpkjkealjojg
dlnanhjfdjgnnmbajgikidobcbfpnblp
dppnhoaonckcimpejpjodcdoenfjleme
edadmcnnkkkgmofibeehgaffppadbnbi
edaflgnfadlopeefcbdlcnjnfkefkhio
edailiddamlkedgjaoialogpllocmgjg
edmmaocllgjakiiilohibgicdjndkljp
eibcbmdmfcgklpkghpkojpaedhloemhi
enofnamganfiiidbpcmcihkihfmfpobo
epmmfnfpkjjhgikijelhmomnbeneepbe
fcndjoibnbpijadgnjjkfmmjbgjmbadk
fejgiddmdpgdmhhdjbophmflidmdpgdi
ffiddnnfloiehekhgfjpphceidalmmgd
fgpeefdjgfeoioneknokbpficnpkddbl
fhnlapempodiikihjeggpacnefpdemam
finepngcchiffimedhcfmmlkgjmeokpp
flmihfcdcgigpfcfjpdcniidbfnffdcf
fpfmkkljdiofokoikgglafnfmmffmmhc
gdlbpbalajnhpfklckhciopjlbbiepkn
geokkpbkfpghbjdgbganjkgfhaafmhbo
gfbgiekofllpkpaoadjhbbfnljbcimoh
ghabgolckcdgbbffijkkpamcphkfihgm
glfondjanahgpmkgjggafhdnbbcidhgf
gliolnahchemnmdjengkkdhcpdfehkhi
gnmjmennllheofmojjffnidneaohleln
hdgdghnfcappcodemanhafioghjhlbpb
hdifogmldkmbjgbgffmkphfhpdfhjgmh
hhhbnnlkhiajhlfmedeifcniniopfaoo
higffkkddppmfcpkcolamkhcknhfhdlo
hmakjfeknhkfmlckieeepnnldblejdbd
icnekagcncdgpdnpoecofjinkplbnocm
iejlgecgghdfhnappmejmhkgkkakbefg
igefbihdjhmkhnofbmnagllkafpaancf
igfpifinmdgadnepcpbdddpndnlkdela
iicpikopjmmincpjkckdngpkmlcchold
imfnolmlkamfkegkhlpofldehcfghkhk
jbolpidmijgjfkcpndcngibedciomlhd
jjooglnnhopdfiiccjbkjdcpplgdkbmo
jlhmhmjkoklbnjjocicepjjjpnnbhodj
kafnldcilonjofafnggijbhknjhpffcd
keecjmliebjajodgnbcegpmnalopnfcb
kjeffohcijbnlkgoaibmdcfconakaajm
lcdaafomaehnnhjgbgbdpgpagfcfgddg
lgjdgmdbfhobkdbcjnpnlmhnplnidkkp
lhpbjmgkppampoeecnlfibfgodkfmapd
likbpmomddfoeelgcmmgilhmefinonpo
lipmdblppejomolopniipdjlpfjcojob
lklmhefoneonjalpjcnhaidnodopinib
llcogfahhcbonemgkdjcjclaahplbldg
lmcboojgmmaafdmgacncdpjnpnnhpmei
lpejglcfpkpbjhmnnmpmmlpblkcmdgmi
magnkhldhhgdlhikeighmhlhonpmlolk
mcmdolplhpeopapnlpbjceoofpgmkahc
meljmedplehjlnnaempfdoecookjenph
nadenkhojomjfdcppbhhncbfakfjiabp
nbocmbonjfbpnolapbknojklafhkmplk
ngbglchnipjlikkfpfgickhnlpchdlco
njglkaigokomacaljolalkopeonkpbik
obeokabcpoilgegepbhlcleanmpgkhcp
obfdmhekhgnjollgnhjhedapplpmbpka
oejfpkocfgochpkljdlmcnibecancpnl
okclicinnbnfkgchommiamjnkjcibfid
olkcbimhgpenhcboejacjpmohcincfdb
ooaehdahoiljphlijlaplnbeaeeimhbb
pbdpfhmbdldfoioggnphkiocpidecmbp
pbebadpeajadcmaoofljnnfgofehnpeo
pidecdgcabcolloikegacdjejomeodji
pinnfpbpjancnbidnnhpemakncopaega
