图片来源: IC photo
作者:国际投行研究报告
《顺手牵羊:偷窃者在行动》,世界级安全公司以色列Check Point指杭州顺网科技通过12款软件偷取中国上亿人的通讯录信息,包括你我他!
一家中国公司一直默默地从Android手机上传数百万人的联系人列表。它仅针对中国吗? 不确定。 但如果你在中国朋友的联系人名单上,你的名字很可能就在名单上,这是Check Point分析师写下的一段话!
而对于中国人来说,你我他,也许早就在这家公司——顺网科技(300113.sz)是数据库中.
一边是一个世界级安全公司以色列Check Point,Check Point何许人也,在网络安全领域无人不知,他是网络防火墙的发明人。记得以前在学校学到信息安全的课程的时候,都是以这个公司为学习对象。中国的很多安全公司也是对标Check Point。
一边是一家在深圳证券交易所上市的游戏公司顺网科技(300113.sz)。中间是4万名左右顺网科技的投资者股东。
3月15日,Check Point在一份研究报告中指出, 顺网科技的12款游戏会收集通讯录等数据,预计的下载人数为1.11亿次,从理论上讲,可以收集中国三分之一人口的姓名和联系电话。这些软件只限中国国内,而且不感染美图手机。对此,顺网科技在公众号上发布了一则简短声明,表示“不存在”,当作为一家游戏公司,面对一家世界级安全公司的“指控”,如此轻描淡写的回复显然“举重若轻”了,根据网络安全法,通讯录等个人信息属于个人隐私的范围,而顺网科技是否有偷取个人信息的问题,显然应该由国家信息安全权威机构界定而不是顺网科技自己,有关主管部门也应该立即界入调查。
3月13日,世界级网络安全公司,美国上市的Check Point发表一份题目为“Operation Sheep:Pilfer-Analytics SDK in Action”的研究报告,估计报告的作者是一个游戏玩家,因为Operation Sheep 最早就是一款用羊做防御的策略游戏。
中文大概可以翻译成 《顺手牵羊:偷窃者在行动》,该研究报告指出,杭州顺网科技将其打造的SWAnalytics SDK,嵌入12款Android应用内。该SWAnalytics会不经用户的同意下,偷偷地把手机上的通计录上传到该公司的伺服器上,预计总下载量已经1.11亿次,估计该公司至少已搜集中国三分一的人口姓名及电话号码。
凌通社找到了其中一个作者feixiang he的推,2011年加入Check Point,应该是一名资深的研究员。
一家中国公司一直默默地从Android手机上传数百万人的联系人列表。它仅针对中国吗? 不确定。 但如果你在中国朋友的联系人名单上,你的名字很可能就在名单上
Check Point预计这些通讯录可能被用来作传销,目标避验,或者应用于一些友人推荐的计划内。不过,SWAnalytics不会搜集Android 6.0或以前用户的通讯录,而且会放过美图手机的用户,原因未明。
【12款抢取用家通讯录名单Android应用】
“来电闪光灯(来电手电筒)”
“测速大师(网络速度大师)”
“电池医生(电池医生)”
“Wi-Fi密码神器(Wi-Fi密码密钥)”
“Wi-Fi信号增强器(Wi-Fi信号放大器)”
“氧秀直播(Syoo Video)”
“充电加速器(Super Battery Charge)”
“快乐捕鱼(快乐钓鱼)”
“快乐捕鱼(快乐钓鱼)”
“快乐电玩捕鱼(快乐钓鱼)”
“91Y直播”
“91Y游戏”
奇怪的是,也可能中国人对于个人隐私不太重视,网络上似乎对这样重大的个人隐私事件没多大反应,凌通社查了一下华为应用市场,这些应用照样在下载。
以下是中国台湾媒体的报道,凌通社摘要入下:
Check Point建议如已安装以上12款的Android Apps的用户,尽快移除,虽然受影响的用户的通讯讯已被搜集,但该该SWAnalytics是当用户开启相关应用或重新启动手机时,便会悄悄搜集手机上的通讯录资料,若用户时不时会有新的通讯录更新,还是删除为妙。幸运的是,受影响的Android Apps未来Google Play上发现,主要出现于中国程式市集,如:华为应用程式市集,小米应用商店,360手机助手,百度手机助手等。
CheckPoint揭露,被称为“顺手牵羊行动Operation Sheep”的活动,借apps内的SDK搜集用户的通讯录。而不知什么原因,美图手机用户不受影响。
凌通社在Check Point的另外一篇叫做“移动供应链攻击不仅仅是一个烦恼”的文章中,也认为通过移动攻击手机获取个人信息是一个巨大的问题。
感染供应链
Check Point Research最近发现了一组Android应用程序,将恶意软件隐藏在货币化软件开发工具包(SDK)中,名为SWAnalytics,它被集成到主要第三方中文应用程序商店中发布的看似无关的Android应用程序中。安装应用程序后,每当SWAnalytics感知到受害者打开受感染的应用程序或重新启动他们的手机时,它会默默地窃取并将其整个联系人列表发送到远程服务器。
到目前为止,12个受感染的应用程序在被下载,其中大部分是系统实用程序应用程序,已经下载了超过1.11亿次的惊人总数。从理论上讲,这意味着攻击者可以收集中国三分之一人口的姓名和联系电话。
当然,这些数据可以在地下市场流通以进一步利用,包括流氓营销,有针对性的电话诈骗或朋友推荐计划滥用。
顺网声明:不实 损害声誉
对于Check Point的报告以及自媒体的披露,顺网科技3月14日在其公司公众号发文,表示不实,损害声誉,保留留法律权利。而评论中也再三表示自己没问题。
凌通社认为,顺网发了声明,但顺网只是一个游戏平台公司,似乎没有网络安全的资质。而且作为上市公司,这么大一个事情也不发个公告,显然过不了关,为了确保顺网没有问题,顺网只需要做2件事,第一起诉Check Point,第二找中国网络安全审查技术与认证中心认证。
事实上,据国家市场监督管理总局发布的消息显示,为规范移动互联网应用程序(以下称App)收集、使用用户信息特别是个人信息的行为,加强个人信息安全保护,根据《中华人民共和国网络安全法》《中华人民共和国认证认可条例》,市场监管总局、中央网信办决定开展App安全认证工作。
通知称,App安全认证活动依据《移动互联网应用程序(App)安全认证实施规则》开展。从事App安全认证的认证机构为中国网络安全审查技术与认证中心,检测机构由认证机构根据认证业务需要和技术能力确定。
同时,认证机构和检测机构应按有关规定,客观、公正地开展认证和检测活动,并对认证和检测结果负责。国家鼓励App运营者自愿通过App安全认证,鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的App。
顺网科技应该还自己一个清白,证监会和交易所应该好好问询,信息安全主管部门,工商管理部门也应该出手了,为了你我他的个人隐私!