圖片來源: 

Check Point

資安業者Check Point揭露一起由中國業者Hangzhou Shun Wang Technologies所主導的「順手牽羊行動」(Operation Sheep),藉由在12款Android行動程式中嵌入該公司所打造的SWAnalytics SDK來蒐集手機用戶的通訊錄,由於這些程式頗受歡迎且散布在不同的Android程式市集,估計至少已蒐集全中國1/3人口的姓名與電話號碼。

Hangzhou Shun Wang Technologies此一名稱看似為杭州順網科技,那是中國專門經營網路遊戲、網路廣告及網路加值服務的上市公司,其中一個主力產品為網咖平台。

研究人員指出,該公司所打造的SWAnalytics API已被嵌入12款Android行動程式中,當使用者安裝相關的行動程式之後,只要開啟程式或重新啟動手機,SWAnalytics就會悄悄地將手機上的通訊錄上傳到順網的伺服器上。

這些程式至少已登上6個中國Android程式市集,其中的騰訊應用寶(Tencent MyApp)就代管了當中的8款,且總下載量超過1.11億次,因而估計順網至少已蒐集1/3中國人口的姓名及電話號碼。

Check Point指出,順網並未清楚描述相關資料的用途,不過這些通訊錄可能被用來執行流氓行銷、目標式詐騙或是應用在近來流行的友人推薦計畫中。

整合了SWAnalytics API的程式涵蓋了來電閃光燈(Incoming Call Flashlight)、測速大師(Network Speed Master)、電池醫生(Battery Doctor)、Wi-Fi密碼神器(Wi-Fi Password Key)、Wi-Fi信號增強器(Wi-Fi Signal Amplifier)、氧秀直播(Syoo Video)、充電加速器(Super Battery Charge)、快樂捕魚(Happy Fishing)、91Y直播及91Y遊戲。它們進駐在騰訊應用寶、豌豆莢、華為應用程式市集、小米應用商店、360手機助手及百度手機助手等中國程式市集,也可能在其它市集上架,但尚未滲透到Google Play。

有趣的是,研究人員發現SWAnalytics API會繞過「棉花糖」(Marshmallow,Android 6.0)及以前的版本,相關平台的市佔率高達7成卻仍被捨棄,看起來是為了維持簡單的程式碼而特意避開,此外,SWAnalytics也會放過美圖手機。

Check Point建議已安裝上述程式的使用者儘快將它們移除,且遭到竊取的通訊錄是藉由非加密的HTTP協定傳輸,代表也有可能被其它第三方盜取。


Advertisement

更多 iThome相關內容