德國安全研究人員發現一個傳遞習近平思想的app存在多項安全瑕疵,可能被用來蒐集用戶資料或於手機內安裝軟體。

德國安全廠商Cure53接受美國政府支持的開放技術基金(Open Technology Fund)委託,針對中國一個名為「學習強國」的app,於8月進行檢測。這個app是以歌頌中國共產黨及國家主席習近平為宗旬,由中共中央委員會宣傳部和阿里巴巴開發,提供視訊聊天、看過即刪文字通訊、個人行事曆等功能,以及政府宣傳文章、影片、電視節目內容,以及遊戲。在官方媒體、學校的大力宣導下,中國官方宣稱這款app下載次數超過1億。

Cure 53發現,「學習強國」有多項安全疑慮,包括類似後門的程式碼、會主動掃瞄其他app、還會每日蒐集及向外傳送用戶app使用紀錄。研究人員發現這款app包含一段類似後門的程式碼,可以超級使用者(superuser)權限執行任意指令,包括刪改資料及安裝軟體。這段程式碼也會執行su指令以便在跑指令前升級權限,還會掃瞄手機是否允許存取根目錄。目前這段指令尚未被使用,但研究人員認為,這段程式碼若成功部署將可被當成後門。

其次研究人員發現,「學習強國」app還會根據一張包含960個app的清單掃瞄用戶裝置上是否有這些app。這個清單包括Tripadvisor、 Airbnb,通訊軟體WhatsApp、Kakao Talk、Facebook Messenger及Skype,導航軟體如Baidu地圖及Uber、Amazon Kindle、遊戲app《神廟逃亡》(Temple Run)以及多種支付app。研究人員尚未發現它掃瞄的用意為何,但也指出,掃瞄行為和其主要功用並沒有什麼關聯。

這款強國app還會每天蒐集手機一般資訊,包括國際行動裝置辨識碼(International Mobile Equipment Identity,IMEI)、連線資訊、app使用資訊及手機地點,並將這些資訊傳送給阿里巴巴持有的xuexi.cn及alipay網域,有時也會傳送給騰訊、qq.com及其他不同單位。

另外,研究人員也發現,這款app並非拙劣之作,因為其APK使用了程式碼混淆(obfuscation)技術,讓人無法利用逆向工程看清其功能,有些部份也使用AES和3DES等強密碼演算法。但是另一方面,在由阿里巴巴提供的套件以及儲存生物辨識資訊和電子郵件等敏感資訊的區域,卻只使用DES等級的弱演算法,令人懷疑是不是刻意設計,方便未來第三方程式大規模破解電子郵件或生物資料。

贊助本研究的開放技術基金指出,這款app設計許多地方令人不解,但可以確定的是,當局在以內容鞏固用戶忠誠度同時,也用app來研究他們。


Advertisement

更多 iThome相關內容