SAY討論區

標題: 酷派Android產品被揭有後門程式「CoolReaper」!! [打印本頁]

作者: yennis88 時間: 2014-12-18 17:24:37 標題: 酷派Android產品被揭有後門程式「CoolReaper」!!

Palo Alto Networks 企業安全公司今天披露全球最大的智能手機製造商之一中國酷派集團(Coolpad)所出售的數以百萬計的Android流動設備中的後門程式(Backdoor)的細節。該後門程式名為「CoolReaper」，可使使用者暴露於潛在的惡意活動之中。似乎酷派儘管受到用戶的反對，仍安裝並維護該後門程式。
在一般情況下，流動設備製造商在Google Android流動作業系統上安裝額外的軟件可以為Android設備提供更多的功能和客制化服務，同時一些流動運營商也會安裝應用程式以搜集設備性能的數據。Palo Alto Networks威脅情報團隊Unit 42 對CoolReaper進行了詳細分析，認為CoolReaper除了搜集基本使用數據之外，似乎也進行其他運作，是一個真正植入酷派設備中的後門程式。此外，酷派似乎已對Android作業系統版本進行了修改，以阻止防毒程式檢測到此後門程式。
Palo Alto Networks研究員Claud Xiao在酷派出售的24款手機中發現了CoolReaper，這意味著根據可獲得的酷派公開銷售資訊，可能超過1千萬用戶受到影響。

「我們預計Android製造商在設備上預先安裝軟件以提供所需功能並保持他們的應用程式及時更新。但是本報告中披露的CoolReaper後門程式細節則遠遠超出了用戶可能的預期，使酷派可以完全控制受影響的設備，隱藏該軟件不被防毒程式發現，同時使使用者置於惡意攻擊中。我們強烈建議可能受到CoolReaper影響的數百萬酷派使用者檢測他們的設備是否存在後門程式，並採取措施保護他們的資料安全。」

– Palo Alto Networks Unit 42 情報總監 Ryan Olson

CoolReaper的背景資訊及其影響
CoolReaper相關完整的調查結果已刊登在今日出版的《CoolReaper：酷派後門程式》的報告中，該報告由Palo Alto Networks威脅情報團隊Unit 42 的Claud Xiao 和 Ryan Olson撰寫。在該報告中，Palo Alto Networks還公佈了一份文件列表以核對那些有可能存在CoolReaper後門程式的酷派設備。
正如研究人員所發現，CoolReaper可以執行下列任務，其中的任何一項都有可能使用戶和企業的敏感性資料面臨風險。此外，惡意攻擊者也有可能利用CoolReaper後端控制系統中的漏洞。

CoolReaper可執行下列工作：

未經使用者同意或通知使用者，下載、安裝或啟動任何Android應用程式
清除使用者資料，卸載現有應用程式或使系統應用程式失效
通知使用者不實的設備更新資訊，以安裝不需要的應用程式
隨機向手機發送或插入短訊或多媒體訊息
撥打隨機電話號碼
上傳設備資訊、位置、應用程式的使用資訊、通話和短訊記錄到酷派伺服器

酷派確認情況
Unit 42威脅情報團隊開始關注CoolReaper後門程式，源於網絡留言版上張貼的酷派客戶投訴資訊。11月份，烏雲網(wooyun.org)的一位研究人員發現用於CoolReaper的後端控制系統中存在漏洞，從而確認了酷派自身如何在軟件中控制後門程式。此外，中文新聞網站安全牛(www.aqniu.com)曾在2014年11月20日的一篇文章裡對該後門程式存在的具體細節作出報導，並指出其濫用情況。
截止2014年12月17日，酷派並未對Palo Alto Networks多次提出的協助請求予以回覆。Palo Alto Networks已向Google Android安全小組 (Google Android Security Team)提供了本報告中的資料。

保護用戶
CoolReaper已被Palo Alto Networks 威脅情報雲的重要元件 WildFire™ 標記為惡意程式。Palo Alto 威脅情報雲可在虛擬環境中運作，能夠從應用程式中識別受此威脅的設備並自動將其傳送至Palo Alto Networks GlobalProtect。
此外，在Palo Alto Networks 威脅防護產品中，所有已知的被CoolReaper使用過的命令和控制(Command &Control) URL都被認定為惡意，允許用戶即使在命令和控制伺服器或URL變更的情況下，防止資料滲漏。
同時，Palo Alto Networks 還提供了特徵碼，可對惡意的CoolReaper 命令和控制流量進行偵測和攔截，即使命令和控制伺服器改變位置該功能仍然有效。
CoolReaper 後門程式的發現，進一步強化了對全面流動安全方案的需求，它將流量檢測與威脅情報相結合，用於檢測並防範危險應用程式。Palo Alto Networks的GlobalProtect技術能夠保護組織機構遠離進階網絡威脅，包括能夠持續分析流動內容發現其中隱藏或惡意的活動。

(資料來源: 新聞稿)

附件: [o11lft2qm1y.jpg] o11lft2qm1y.jpg (2014-12-18 17:24:37, 0 Bytes) / 下載次數 0
http://say.go2tutor.com/forum.php?mod=attachment&aid=NzQwNTk1fDQxZTViMTUwfDE3Nzk5Nzc5NjB8MHww

作者: yan4327 時間: 2014-12-18 19:54:09

樓主也是培訓師嗎

作者: HOTSTUDIO阿蚊 時間: 2014-12-18 19:57:51

不知道說些什麼

作者: mic167 時間: 2014-12-18 19:58:52

要是能在多一點就好了

作者: stk190 時間: 2014-12-18 20:42:05

頂你一下.

作者: 小妖怪 時間: 2014-12-18 21:01:45

看來不錯，回覆一下

作者: tomato_alex 時間: 2014-12-18 21:11:33

有些帖子，真的不錯

作者: 9394 時間: 2014-12-18 21:32:14

回個帖子支持一下！

作者: yan4327 時間: 2014-12-18 21:45:51

猛力的回覆，潛水值上上上

作者: 砵仔糕 時間: 2014-12-18 21:59:17

潛水值看滿囉，回覆一下

作者: hillmen 時間: 2014-12-18 22:02:47

初來乍到，請多多關照。。。嘿嘿，回個帖表明我來過。

作者: andykom28 時間: 2014-12-18 23:03:39

你加油吧

作者: vol1210 時間: 2014-12-18 23:32:52

給你打氣加油，謝謝分享

作者: stk190 時間: 2014-12-18 23:33:49

能找到這個站真好

作者: vol1210 時間: 2014-12-18 23:47:58

人氣還要再提高

作者: a_c_e06 時間: 2014-12-19 00:05:37

自己知道了

作者: maverickhon 時間: 2014-12-19 01:55:01

回答了那麼多，沒有加分了，鬱悶。。

作者: lreneMOON 時間: 2014-12-19 03:36:42

有空一起交流一下

作者: juny0385 時間: 2014-12-19 04:38:37

既然來了，就留個腳印

作者: nh88 時間: 2014-12-19 06:30:22

哈哈,這麼多的人都回了,我敢不回嗎?趕快回一個,很好的,我喜歡

作者: 前程 時間: 2014-12-28 05:40:33

頂的就是你

歡迎光臨 SAY討論區 (http://say.go2tutor.com/)