ADUPS製ファームウェア採用スマホのバックドア対策

2016年11月18日金曜日

Android Aubee elm. Chuwi Hi8


11月15日にセキュリティ解析ツール提供会社Kryptowireで発表されたADUPS製ファームウェア採用スマートフォン(の一部)が、72時間おきに中国の某サーバーにユーザーの情報を送信していた問題に関しての覚え書き。

詳しくはPCWatchさんの記事参照。

Androidスマホの中国製ファームウェアにバックドア、中国サーバーに情報を送信

まさか自分の端末には入ってないよなぁ…と思いつつ確認してみると、Android ONE端末の方は入っていなかった(当たり前か…)けど、格安端末である「AuBee elm.」にはしっかり入っていたり…(あまり使っていないサブスマホの方でまだ良かった…)

※ 11月22日加筆・修正。

というわけで、今更、遅い気もしますが、やらないよりはやった方がいいかもしれないので、バックドア対策として、対象ファイルを無効化してみました。



事前準備として、「AuBee elm.」上で「設定」→「開発者向けオプション」へと進み、「USBデバッグ」と「スリープモードにしない」をONにしておきましょう。

※ 「開発者向けオプション」が表示されていない方は「設定」→「端末情報」へと進み、ビルド番号を7回タップすれば表示されるので、まずはそれを先に行いましょう。

また、Windows PCにはADB接続環境が必須です。

PCとのADB接続が確立できたら、あとは下記コマンドをコマンドプロンプトから入力するだけです。


Android 5.0以降の端末の場合、「pm hide」コマンドで無効化になるとのことです。詳しくはぐぐりましょう。


尚、この2つのファイルが何故対象なのか?という点に関しては、Kryptowire社の報告によるものです。


・無効化時に使うコマンド(実施済)

adb shell pm hide com.adups.fota.sysoper.apk
adb shell pm hide com.adups.fota.apk


・有効化時に使うコマンド

adb shell pm unhide com.adups.fota.sysoper.apk
adb shell pm unhide com.adups.fota.apk


以前、内蔵音楽プレイヤー(music player、プリインストールされているシステムアプリ)はこのコマンドで無効化できたので、おそらくこれで無効化ができたはずなのですが、


「com.adups.fota.sysoper.apk」は「FotaProvider」、


「com.adups.fota.apk」は「Wireless update」。

無効化済みの各該当アプリを強制停止してから、ネットワーク接続を変更(wifi→3G、3G→wifi、再起動等)してみると自動復帰するという現象に遭遇しました。
同じ方法で無効化した音楽プレイヤーは再起動後も強制停止状態のままなので、この2つのアプリに関しては、うまく無効化できていないような…そんな気が。(対策されてるのかもしれませんね…)

この現象を確認するにあたって、いちいちアプリ情報を見にいくのも面倒なので、


Greenifyに各アプリを登録して、ネットワーク接続を変更したり、再起動後に各アプリが動作しているかどうかを確認しました。

無効化できないのなら、送信自体をブロックしてしまおう!

というわけで、自分の端末はroot化済みで、送信するサーバーも分かっているので、hostsファイルを編集(要root化)して通信のブロックを行いました。


送信先のサーバーは、Kryptowire社の報告によると上記のの4つのサーバーになります。(バックドアではなく、バックエンドという表記なので、厳密にはバックドアという認識での報告ではない気もしますが…)

追記サンプル他、詳しくは「私的広告ブロック事情2016」参照。


非root端末の場合は、FWアプリを利用して同様のことが可能です。低スペック端末だと動作やバッテリー消費が気になるかもしれませんが…(試していないので省略。)


また、メインスマホとして普段から持ち歩いている方は、「設定」→「データ使用量」→「JP DOCOMO」(もしくは他キャリア名)と進み、過去に通信実績があれば「Wireless update」アプリの通信量が表示されているので、それを選択して、バックグラウンドデータを制限してしまうことも有効だと思います。(wifi環境では関係ないですが。)


※ スマホではないですが、中華タブレット「Chuwi Hi8」にもしっかり入っていたので、以下に追記。



「Chuwi Hi8」はAndroid 4.4.2なので、使用したADBコマンドは下記の通り。
この端末に関してはアップデートの可能性もないので削除してしまっても良かったけど…現状は無効化に留めています。(こちらはちゃんと無効化されているようですし。)

・無効化時に使うコマンド

adb shell pm block com.adups.fota.sysoper.apk
adb shell pm block com.adups.fota.apk


・有効化時に使うコマンド

adb shell pm unblock com.adups.fota.sysoper.apk
adb shell pm unblock com.adups.fota.apk


以上!

・Powered by Blogger ・Designed by QooQ

 

Page Top