VacronViewer 回傳用戶資料

前言

此研究為 Android 手機的 VacronViewer App,在商店上顯示下載次數超過十萬。在第一次使用 App 時沒有通知用戶其會蒐集隱私相關資料。

iOS 上面的是否會如此沒能知道,還請 iOS 用戶幫忙測試。

起因

在我打開手機「電話」App 時,這款監視器連線軟體常會突然顯示「已停止運作」。 同時我查看了這個 App 所使用到的權限:

是的,很可疑!

且如果關掉電話權限,此 App 就開不起來了,有點糟糕 QQ

調查

首先當然是抽出 APK 檔,使用 dex2jarapk 轉成 jar 檔。

再使用 jd-gui 去看原始碼,不過有一些地方仍沒被解析成功,仍然顯示 bytecode。

App 開啟時就偷傳 IMEI

我們可以先看到 VacronViewerActivity.class 這個檔案,寫著 onStart() 做的事情。

在使用者每次打開 App,都會先去檢查 IP 位址,並且回傳 IMEI 碼,這邊是不太清楚為何要先檢查再回傳。不過回傳也很奇怪,一般來說這是用來給廣告商識別手機使用者,精準投放廣告用的,可是這款 App 並沒有廣告。

總之,不給電話權限就不給開 App!!!

透過 Packet Capture 這 App 可以攔截封包,清楚看到手機的 IMEI 碼被回傳,奇怪的是這邊寫的名稱是 MAC,但實際上的確為 IMEI。

儲存設備列表便回傳帳密

這款 App 是用來向家中、公司的監視器進行連線,照理說可以不用透過開發商,實際上也不需要。 但為何會回傳帳密呢?這點實在令人匪夷所思

下面是 uploadDeviceListDataThread.class 的程式碼

包含了:

  1. 該筆設備名稱
  2. IP 位址
  3. Port number
  4. Device type
  5. 帳號
  6. 密碼
  7. 設備通道

另外,此 App 中也有開啟相機的程式碼,不過有點長懶得追是做什麼的了。

推薦暫時解法

  1. 斷網,別讓家中監視器主機上網
  2. 改密碼,然後不要再使用這款 App

Vacron 公司所用過的 domain 及網址

  • vacron.com.tw
  • www.fuho.com.cn
  • fuho.com
  • secuhome.com.tw
  • 61.218.161.150

comments powered by Disqus