|
COOLREAPER:酷派设备后门报告 概要 酷派 ? 是世界第六大、中国第三大智能手机制造商。我们最近发现很多酷派的高端手机上安装的软件包括一个后门,由酷派自己预装在手机中的;我们命名该后门为"CoolReaper"。我们在认真审查了投诉酷派可疑活动论坛社区的帖子和留言后, 下载了酷派比较畅销几个型号的 Rom 的多个副本进行研究后,我们发现绝大多数 Rom 包含后门程序 CoolReaper。 CoolReaper 可以执行以下任务: 下载、 安装、或激活任何未经用户同意或事先通知安装的 Android 应用程序 清除用户数据、 卸载现有的应用程序、或禁用系统中的应用程序 假冒OTA更新,实际上并非更新设备功能和修复BUG,而是安装新的后门升级版本 发送任意内容的彩信、短信到使用者的手机 拨打任意电话号码 将设备信息、位置、应用程序使用情况、电话和短信等的历史记录信息上传到酷派服务器 通常情况下,消费者期望设备制造商能够在出厂的时候安装一些有用的应用程序,可提供额外的功能和定制性,但 CoolReaper 不属于该类别。一些移动运营商安装的应用程序用来收集他们的设备的使用情况的统计信息和其他数据。CoolReaper 远远超出了这种类型的数据收集,是一个真正意义上的存在于酷派设备的后门。 酷派在中国的用户在社区和论坛等报告酷派设备存在推送广告、静默自动安装应用程序的行为。有关此行为的投诉和询问已被酷派忽略或删除。 酷派修改了很多他们固件中的Android 操作系统;所做的修改被专门用于隐藏 CoolReaper 组件。这些修改使得防病毒程序检测CoolReaper 组件变得非常困难。 今年11 月份有一名白帽子安全研究员在 CoolReaper 后端控制系统中发现了一个漏洞,使得他得以查看如何从后台控制系统控制酷派手机。 CoolReaper 的已知的影响到目前为止仅限于中国大陆和台湾,但签于酷派的全球扩张计划,意味着后门程序会威胁到全球的酷派用户。 酷派是宇龙计算机通信科技(深圳)有限公司的全资子公司下的一个智能手机品牌。 (下称"酷派")。宇龙在香港证券所上市,其股票代码为: 02369。 根据华尔街日报和Canalys的分析报告,酷派是世界第 6 大、中国第三大智能手机制造商。基于 IDC 最近的一份报告,事实上,酷派拥有 3.7% 的全球市场份额,在中国大陆市场, 2014年第二季度以 11.5% 的市场份额位居第四名,排名仅次于联想和小米。到 2014 年,以 15.78% 的份额占据中国4G手机排名第一。 酷派的旗舰产品系列为“大神”和“大观”系列,这一系列包含3G和4G网络制式的多个型号,都运行安卓系统。 酷派的“大神”系列产品主打性价比路线,在其官方商城可以找到下来在售的产品: · the Halo (大神) series: 大神 F1, 大神 F1 Plus, 大神 1S, 大神 F2, 大神 Note · The S series: Coolpad S6 · The K series: Coolpad K1 · The 大观 series: 大观 9970, 大观 8971 · Others: Coolpad 8730L, Coolpad8720L, Coolpad 7295, Coolpad 9150W, Coolpad 9080W, Coolpad 5951, Coolpad 7295C,Coolpad 8908 图1:酷派官方网站 除了在其官方商城销售外,酷派还在中国大陆的电商渠道进行销售;也和中国移动、中国联通和中国电信这三大运营商进行合作,推出合约机销售。 虽然知名度远不如三星和苹果,但酷派销售量的大部分都在中国,且正在扩大其全球市场,特别是在利润丰厚的 4g 手机市场: 2014年上半年酷派推出 29 个新型号的手机,其中 12 部支持 4g 网络 ;酷派在 2013 年,出货 3720 万部手机;并在 2014 年3 月份在一个月内发货 600 万部。2014 年酷派的销售目标是全球销量6000万部,大神系列单独预计超过 1000 万部的销量。 酷派的全球扩张计划 · Coolpad Quattro 4G (Coolpad5860E) · Coolpad Flo · Coolpad Quattro II 在 2012 年,酷派在美国联合MetroPCS (MetroPCS后合并到 T-Mobile),卖出了超过 130 万台的 Quattro 4 G。在 2014 年,该公司在美国联合 GoSmart 移动开始销售酷派Flo系列。酷派从 2013 年起,开始在超过十个欧洲国家与沃达丰和法国电信合作销售酷派 8860U 和酷派 8870U。在2014 年 7 月,酷派开始与东南亚国家的运营商合作,开始扩张台湾、印度和东南亚的市场。截止2014 年 9 月,在这些国家有超过500,000 的大神系列发货。 酷派 Android 设备上的可疑活动报告最初是在 2013 年 10 月在中国的一些社区论坛上开始出现。用户报告在不知情的情况下被安装了应用程序,如(OTA) 更新情况下出现的广告。为了找到这些异常的原因我们开始调查来源,下载酷派提供的ROM文件。酷派使用zip打包的ROM文件,提供给大神系列、 K 系列和 S 系列手机,并为其他机型提供自定义的 ROM。所有这些ROM可在酷派的官方支持论坛或在其官方的服务中心下载到。酷派提供这些 ROM 的 OTA 更新和原厂恢复包。我们怀疑但是还没有证实:酷派的后门程序在其他型号的手机上也包含。 在 2014 年 11 月我们从酷派的官方论坛 (图2 )下载了所有 8 种型号的大神系列的 45种 Rom。为了扩大我们的研究范围,我们还从其他2个ROM分发站点下载了20种其他型号的酷派手机的 32 种第三方 的ROM。这2个站点是: romzj.com 和 romzhijia.net。这些ROM由社区或者个人定制,但是基于酷派的官方底包。 图2:酷派官方支持论坛的大神系列ROM下载页面 总的来说,我们收集了 77个酷派手机的安卓ROM。这些ROM中有 64 种包含后门 (即 CoolReaper)。其中41个ROM是8种型号的大神系列手机的; 23个是其他型号的。我们已经确认至少 24 个不同型号的酷派包含后门 CoolReaper。表 1 列出了详细的型号和ROM总数以及感染的ROM数量。 表1:感染的ROM一览表 在各种的 Rom中,包括的 CoolReaper后门程序,以下列文件名和路径存在: · /system/app/CP_DMP.apk · /system/app/CP_DMP.odex · /system/app/GoogleGmsFramework.apk · /system/app/GoogleGmsFramework.odex · /system/lib/libgmsframework.so Libgmsframework.so 文件不是一个安卓的库文件,而实际上一个 APK 文件。此文件的内容始终是相同的,唯一的区别是他们一个调试用的数字签名有所不同。总共我们发现了 12 个不同版本的 CoolReaper,如表 2 所示。 表2:CoolReaper 后门文件的版本 开发人员使用生成日期用作其版本的代码,并在其版本名称中使用生成和集成时间进行组合。利用这两个标识符,我们可以看到,CoolReaper 的开发或许在 2013 年 10 月 12 日之前。我们还观察到在 2014 年 5 月前后,新版本的后门被发布(从 2.x 到 3.0)。同时,包的名称从 CP_DMP.apk 更名为 GoogleGmsFramework.apk。我们怀疑这种变化是在用户报名称"CP_DMP.apk"文件包含恶意行为而做出的一种“改进”。 有人可能会怀疑后门 CoolReaper 是由恶意的第三方植入的。不过,出于以下原因我们相信 「 后门 」 是酷派自己制造的: ⑴ 后门程序使用酷派的其他官方组件的签名(见表 3)且41个ROM都由酷派官方签名分发。 ⑵ 用户升级反病毒软件和老版本的后门程序被发现后,一些后来包括 CoolReaper 后门的 ROM,其所谓升级,只是专门为了隐藏 CoolReaper这个后门。 ⑶ 用作控制后门程序接受指令的2个域名:51Coolpad.com和都被登记为酷派官方所有。 去年 11 月,CoolReaper 的后端控制系统中的漏洞被披露。酷派承认控制系统存在,他们同意修补该漏洞。控制系统也位于 ,还承载着为 CoolReaper 发送指令的功能。 为了找出后门程序的功能,我们使用一个样品来进行分析。样品来自 大神f2(酷派 8675) 的ROM; 基于 Android 的 4.4。ROM 构建于 2014 年 11 月 18 日;生成 ID4.4.051.P2.141118.8675。ROM 的SHA-1值为 39240a84070040c27221b477f101bf9b1555d7ce。在这个 ROMCoolreaper apk 文件位于 /system/app/GoogleGmsFramework.apk。该 APK 文件的SHA-1值为:3753244484c4a8b2b2dc8c3b7e119eabd0490398。这个 APK 文件中的代码通过了混淆器进行了混淆,使得难以反编译和阅读分析其中的原理和功能。为了便于分析,我们下面列出的代码中,很多函数和代码已重命名为易于阅读和理解的名称。我们的重命名基于以下原则: ⑴ CoolReaper 的开发人员使用了许多调试的字符串,用于标识混淆后的原始类或函数;在可能的情况下,我们使用这些名称。(图 3) ⑵ 该代码是高质量的或者开发人员习惯使用的特定架构;重命名遵循这些架构。 ⑶ 我们未能辨认出作者的意图的名字的地方我们将基于对象的功能给予新名称。 图3:许多出于调试目的而使用的字符串 更改这些函数的名称会使代码更具可读性,但不会更改程序的逻辑或代码的功能。 系统程序和系统用户ID 在受感染的 ROM中,CoolReaper 是作为Android 系统应用程序安装的。所有的样品也有相同的包名称"com.android.update.dmp"。标识符"DMP"是基于文件名、包名称、C2服务和url。我们怀疑这是数据管理平台的一个缩写。 在 AndroIDManifest.xml 文件中,指定一个应用程序与 Android 系统的交互,CoolReaper 同样通过此文件申明: sharedUserId 属性的值是"android.uid.system"(图 4)。通过这样一个申明过程,可以看出来程序将运行于设备上具有系统特权。这被用于构建到操作系统的应用程序,而表面其不是由第三方安装。 图4:CoolReaper后门程序的包文件名和用户ID 图 5 显示了用于签署 CoolReaper 的机构,属于中国宇龙酷派公司,和ROM文件拥有一样的签名和证书。 图5:CoolReaper 后门程序使用的是酷派公司的证书文件签发 用户界面 CoolReaper 的可视性的应用程序名称是"Android系统",并使用来自另一个实际的系统中应用程序的图标,但是,CoolReaper 后门进程没有出现在 Android 系统这个进程中。 CoolReaper 执行了很少的用户界面组件,他们中的一些非有效,如com.android.update.dmp.MainActivity ;和其他用于恶意或潜在不需要的功能。这些组件包括 com.android.update.dmp.PretendedOTADialog,用于显示伪装的 OTA 更新通知(com.android.update.dmp.weblinkhandler)。具有WebLinkActivity功能和特性,目的是打开一个特定的 URL(来自酷派的控制服务器下达的url指令)。 大约有半数的 CoolReaper 的恶意和潜在有害行为没有用户界面,并不提供任何用户可看到的通知。 函数功能 在 CoolReaper后门中的DMP 和 ICU 组件实现许多功能,二者结合使用后,组成一个功能完备、强大的后门程序。DMP 组件的功能主要是用于远程控制用户的设备。此组件包含的函数,使其能够执行下列功能: 下载指定的 APK 文件,OTA 更新软件包和其他类型的文件,无需用户确认 安装下载的 APK 文件,无需用户确认 后台启动任何安装的应用程序,无需用户确认 启动指定服务,无需用户确认 卸载任何已安装的应用程序,无需用户确认 在用户桌面创建或者删除应用程序的快捷方式,无需用户确认 清除用户的任何数据或者指定的应用程序和数据,无需用户确认 启用或禁用指定的系统应用程序无需用户确认 推送正常的 OTA 更新 推送伪造的OTA更新程序 执行 OTA 更新使用已经后台下载完毕的软件包 拨打指定的电话号码,无需用户确认 发送短信指定到指定的电话号码,无需用户确认 在手机中插入来自指定号码的短信或彩信、内容和显示伪造的通知 以指定的URL地址打开默认浏览器,无需用户确认 获取或设置指定系统属性 弹出一个通知或对话框,用户点击后,下载并安装指定的 APK 弹出一个通知,用户点击后, 拨打指定的电话号码 弹出一个通知,用户点击后,显示一个 HTML 页面 弹出一个通知,用户点击后,启动任何安装的应用程序 将用户的任何信息上传到C2服务器 另一方面,ICU 组件主要收集用户信息,并将它发送到 C2 服务器。ICU 收集和上传以下信息: 设备的硬件信息 设备的地理信息包括省、 市名称信息 关于所有已安装的应用程序及其调用持续时间和频率计数 SMS 消息发送和接收网络信息, 包括所有的网络连接类型和一切的连接时间信息 很显然在上面列出的所有功能中,可以看出 CoolReaper 是一个后门程序。后门可以简单地卸载或禁用用户设备上的所有安全应用程序、 安装恶意软件、 窃取用户隐私信息和在用户设备中注入任何内容。 除了上面这些功能外,可能为了方便阅读和程序员的后期维护,很多代码本身中调试的字符串包括单词"BackDoor(后门)"。例如,代码中一个类被命名为"BackDoorManager"和包含一个名为"processBackDoor"函数。 例如下面的代码片段: 名为 BackDoorManager 的类 当执行"伪装"的 OTA 更新功能时,反馈报告消息时,程序使用的调试字符串是" thepreset app back door is opened(预设的程序后门打开)!",还有就是默认首选项文件中的项目名为"isBackDoorMsgSended"。(见下面的代码) 调试消息,反馈信息和首选项名称可以随便命名,字符本身并不包含恶意行为。然而,这些字符串指示的 CoolReaper 作者本意是将程序作为后门插入这些设备中。CoolReaper 包含太多的功能,限于篇幅不在这里详细说明。附录 A 包含实现其最重要功能的源代码截图。 Coolyun服务器上的云指令 CoolReaper 的 DMP 和 ICU 组件使用两个不同的 Url 作为其指挥和控制 (C2) 服务器。DMP 组件配置 (图8) 列出了下列域名和 IP: · dmp.51Coolpad.com · dmp. · 13.142.37.149 以我们的分析来看,这些域名解析为 IP 地址上面列出的 113.142.37.149。而且CoolReaper 有能力在任何时间更新 C2 服务器域名和地址(图 9)。 DMP 组件使用 HTTPPOST 请求与 C2 服务器进行通信。当读取命令或上传的信息,它使用一个独特的用户代理:"UAC/1.0.0 (安卓系统<Build.VERSION.RELEASE>;Linux)"(图 10)。这里<Build. version.release="">是在 Android 设备上安装的系统版本名称。 在 CMP 组件内 CoolReaper 使用 13 种不同的 Url 来注册该设备、 检索正在运行的设备设置、 获取命令、执行结果报告、 异常信息上传、 下载 APK 文件和执行其他任务。下面列出了这些 Url: ICU 组件使用以下 Url 来下载配置数据和上传用户信息: 除了为 CoolReaper后门服务外,也承载了酷派的公共云服务,名为"Coolyun"。(图 11) 图11:酷派的公共云服务“酷云”网站截图 通过 Coolyun,酷派为 Android 用户提供一个云服务的应用程序。我们比较 CoolReaper 到 Coolyun 客户端,以便确认这不是一个合法的 Coolyun管理应用程序。 Coolyun 应用程序软件包的名称是"com.android.coolwind"。可从 Cooyun.com 和各种应用程序商店下载。我们注册 Coolyun 帐户,并看到用户面板显示只有少数的服务,包括备份的联系人、日历、 短信、 打电话历史、 笔记、 书签、 照片、 找回电话,以及云存储功能。这些功能和后门CoolReaper是不同的。 事实上,除了使用相同的 C2 域名,CoolReaper和 Coolyun 服务之间唯一的关系是 ICU 组件从被感染的设备收集 Coolyun 帐户名称,并将它发送到 C2 服务器。 CoolReaper 后门存在漏洞 在2014年11月19日,第三方漏洞报告平台乌云,网民“爱上平顶山”就报告了一个此后门程序的服务器上的漏洞,原标题为:“酷派官方静默安装apk功能后台存在高危漏洞(演示定制机是如何在你的手机默默安装)。见下图: 图12:乌云网站上的酷派后门被爆漏洞,官方确认存在 Wooyun细节未予公布(译者:这份报告制作时间在细节公开时间12月19日之前)。然而,我们作为一个经过乌云认证的白色帽子研究员,我们能够在酷派确认它的存在后的第10 天后查看提交的漏洞细节。详细的漏洞报告描述为auth. 的未经授权的访问。通过此认证网关,研究员就可以登录到了功能包括一个"权限管理平台"进行以下功能: 使用伪造的OTA更新来推送应用程序 静默安装应用程序 后台下达指令 推送并激活指定的应用程序 截图就是这个后台推送地址登录后的样子: 图13:酷派用于后门控制的服务网页程序 中国安全媒体网站Aqniu.com,在该漏洞被提交的的第二天发表了一篇文章,其中包含这个后端控制系统另一个屏幕截图(图 14)。通过截图,我们可以看到该系统提供的功能。 图14:酷派用于后门控制的服务网页程序清晰截图 请注意所有这些功能在我们分析的 CoolReaper 样品的代码中能够实现。2014 年 11 月 21 日,Aqniu.com 发表了一篇文章,声称酷派工作人员人指出该工具"只用于内部测试",酷派要求Aqniu.com 撤回上一篇文章。Aqniu.com 然后要求一份正式的信函才能撤回之前的文章,但酷派的代表没有作出回应。 在用户设备中隐藏CoolReaper后门 除了包括 CoolReaper 后门,一些酷派ROM 包括有意隐藏后门程序的设置。 从已经安装程序列表中隐藏 第一处修改用来隐藏,在 /system/framework/services.odex 文件中存在。此文件在 Android 系统实现了基本服务和其他组件。酷派修改getInstalledPackages方法在用于检索列表上。修改后的版本专门查找包名称"com.android.update.dmp",防止它被返回给发出请求的程序。(图 15)。 图15:由aqniu.com提供的后门程序部分代码截图 这一修改不仅从用户的设备中隐藏包文件名,也能让其他防病毒软件无法检测到。其结果是,这些反病毒工具不可能会意识到后门,或者他们无法进行扫描以确定它是否是一个恶意程序。 禁用长按通知菜单 第二个修改是在 /system/app/SystemUI.odex文件中,这是安卓手机的用户界面控件的另一个重要组成部分。在这种情况下酷派已修改中一个名为 com.android.systemui.statusbar.BaseStatusBar 的内部类的 getNotificationLongClicker功能。 通常情况下,当用户长按通知栏出现的对用的通知的时候,用户可以通过出现的菜单来判断是哪一个应用程序发出的通知。 酷派对其进行修改,由 CoolReaper 生成的任何通知不会显示此应用程序的信息(图 16),防止用户识别到生成的程序而采取措施。 图16:禁用通知的长按弹出菜单功能 规避预安装的防病毒程序 第三个修改是酷派本身旗下的"CoolManager(酷管家)"预安装的安全应用。此应用程序提供基本的防病毒和其他安全服务。每次应用程序是更新或安装,CoolManager 将扫描它来识别恶意软件。类似于以前的修改,如果包名称为"com.android.update.dmp",扫描的线程不会开始(图 17)。这使得 CoolReaper后门逃避了内置安全软件的扫描。 CoolReaper后门的覆盖和影响 国内用户的检举 使用“CP_DMP.apk“作为关键字在搜索引擎中搜索,我们会发现其实在很早以前,酷派的用户早已发现他们的设备被插入恶意程序,偷偷扣费,推送广告,讨论的社区遍布中国的各大主流网站,如下图所示: 根据搜索结果的分析,我们可以知道,从 2013 年 10 月开始,酷派手机的用户就开始探讨他们的手机,会出现下列的奇怪现象: 频繁后台自动更新 无操作的情况下自动安装程序,也查不出来病毒程序 干掉升级程序,依然频繁自动升级,用户也无奈 2.x 版本 3.0 和 APK 文件名称从 CP_DMP.apk 改为 GoogleGmsFramework.apk。我们相信此更新这种意图是希望隐藏后门从已经找到了它的用户。这种策略似乎已成功地让客户通过辨识文件名删除后门的努力变为泡影。 有用户根据经验删除了CP_DMP.APK程序,依然还有广告:移动叔叔论坛一位名为“虎皮鲨”的用户发帖 最后于 10 月 23 日,用户在酷派支持论坛再次报告此问题,管理员删除了此帖,但是通过谷歌搜索引擎仍然可以访问(快照) 国际范围的影响 我们不知道有多少酷派的设备包含后门程序 CoolReaper。考虑到 CoolReaper 似乎已开发超过 12 个月,嵌入到 24 个手机型号,基于IDC的报告,很可能受到影响的用户超过 1000 万。大多数受感染的设备应位于中国,因为该工具似乎专门针对中国用户。例如,在一段后门代码中,有用来检查移动设备的 SIM 卡 IMSI 号码来识别三家中国运营商。(图 21)。 在 2014 年 11 月 25 日,我们在加利福尼亚州购买了酷派flo手机,发现它没有包含后门程序 CoolReaper。该手机于一年前制造发布,所以它可能只是已建成太早而没有包含恶意软件。我们已经能够分析在美国销售的剩余的两个型号或那些销往欧洲和亚洲其他地区的手机。只有中国酷派 ROM 文件的版本可供下载。以下可能是 CoolReaper 存在于中国以外的手机上的原因: 消费者通过像 eBay 这样的网站,一些酷派手机直接销往中国内陆和香港以及其他国家或地区包括美国和欧洲。CoolReaper 可能直接嵌入在手机销往境外,只是不在我们分析的设备。CoolReaper可以通过使用在"CP_OTA.apk"中实现的酷派的官方 OTA 更新系统远程安装。在美国购买的酷派 Flo 设备上安装了这个包。的用户检举一节中我们知道:即使用户删除 CP_DMP.apk 文件后,它会自动重新安装。 2014 年 10 月,在台湾的两个用户在mobile01论坛报告他们的酷派 5950T 设备被感染 (图 22)。 增补来自台湾网友报道,12 月 11 日,我们发现了台湾销售的酷派手机同样存在 CoolReaper后门程序。 检测和保护 在酷派一系列的修改措施下,CoolReaper 很难被防病毒程序检测到和删除。。后门文件的签名是酷派的官方数字证书,这一点就能绕过大部分安全产品(基于白名单机制的)。此外,如果防病毒产品能够检测到后门,但在没有ROOT的手机上,也不能删除该后门安装的应用程序,在已经ROOT的手机上可以删除后门安装的程序。 在 4 月和 7 月 2014 年,CoolReaper 的三个样本被上传到 VirusTotal (链接1、 链接2和链接3)。截至 8月 23 日,24 个安全软件厂商确定这些样品为恶意或可疑文件。然而,样品被确定为"通用的"或者"不安全"的分类,这表明这些安全厂商没有确定其为恶意软件。某些供应商确定样本之一为"Trojan.Android.Andup.a",这是不准确。(图 24)。 如果你拥有酷派设备,我们建议在你的手机上使用文件管理程序(比如Root Explorer),检查以下文件: · /system/app/CP_DMP.apk · /system/app/CP_DMP.odex · /system/app/GoogleGmsFramework.apk /system/app/GoogleGmsFramework.odex · /system/lib/libgmsframework.so 如果这些文件中的任何一个存在,手机就可能包含后门程序 CoolReaper。如果你的手机已经包含文件,您可以简单地使用root权限删除所有这些文件。然而,酷派仍可能会在未来使用 OTA 更新来安装新的恶意软件。 结论和风险 基于我们的分析我们可以有关 CoolReaper的以下结论: 后门CoolReaper使用和酷派分发的Rom相同的酷派的数字证书和使用酷派服务器用于指挥和控制。 酷派承认存在一个后台管理界面,包含控制 CoolReaper 的功能。此接口是面向Internet 的服务器,最近发现了一个此系统的漏洞,允许未经授权的访问。 酷派 Rom 包含可以帮助隐藏 CoolReaper 的功能,以逃避用户和安全软件的检查和清除。 尽管有很多用户报告和投诉他们被强制安装不需要的应用程序和推送了许多广告,酷派从未就此问题与客户沟通。 后门程序可能是酷派创建的一个用户改进功能系统,以帮助他们更新设备或收集统计信息,以及设备的使用情况。制造商在 Android 设备上安装自定义软件这事可以理解,但 CoolReaper 具有的功能远远超出用户的期望和承受能力。后门程序拥有设备的完全控制权。中国用户报告该系统目前被用于显示广告和安装不需要的应用程序。 此外,CoolReaper 后门管理接口,还可能被恶意攻击者通过漏洞来安装其他不受酷派控制的程序。此漏洞可能已经修复,也可能还没有修复,可能允许恶意的黑客通过此漏洞控制包含后门的酷派设备。 CoolReaper的已知的影响到目前为止仅限于中国大陆和台湾,但拥有全球扩张计划的酷派,意味着后门可能威胁到全球的其他用户。 感谢来自Palo Alto Networks的Hui Gao, Zhaoyan Xu andXin Ouyang对我们报告提供的技术支持。 roustar31原创翻译,PDF报告下载 楼下为限于篇幅没有附上的附录A部分 原始英文报告获取地址:https://www. ... ch/cool-reaper.html |
|
|
