ADUPS製ファームウェア採用スマホのバックドア対策

2016年11月18日金曜日

Android Aubee elm. Chuwi Hi8

t f B! P L

11月15日にセキュリティ解析ツール提供会社Kryptowireで発表されたADUPS製ファームウェア採用スマートフォン(の一部)が、72時間おきに中国の某サーバーにユーザーの情報を送信していた問題に関しての覚え書き。

詳しくはPCWatchさんの記事参照。

Androidスマホの中国製ファームウェアにバックドア、中国サーバーに情報を送信

まさか自分の端末には入ってないよなぁ…と思いつつ確認してみると、Android ONE端末の方は入っていなかった(当たり前か…)けど、格安端末である「AuBee elm.」にはしっかり入っていたり…(あまり使っていないサブスマホの方でまだ良かった…)

※ 11月22日加筆・修正。

というわけで、今更、遅い気もしますが、やらないよりはやった方がいいかもしれないので、バックドア対策として、対象ファイルを無効化してみました。



事前準備として、「AuBee elm.」上で「設定」→「開発者向けオプション」へと進み、「USBデバッグ」と「スリープモードにしない」をONにしておきましょう。

※ 「開発者向けオプション」が表示されていない方は「設定」→「端末情報」へと進み、ビルド番号を7回タップすれば表示されるので、まずはそれを先に行いましょう。

また、Windows PCにはADB接続環境が必須です。

PCとのADB接続が確立できたら、あとは下記コマンドをコマンドプロンプトから入力するだけです。


Android 5.0以降の端末の場合、「pm hide」コマンドで無効化になるとのことです。詳しくはぐぐりましょう。


尚、この2つのファイルが何故対象なのか?という点に関しては、Kryptowire社の報告によるものです。


・無効化時に使うコマンド(実施済)

adb shell pm hide com.adups.fota.sysoper.apk
adb shell pm hide com.adups.fota.apk


・有効化時に使うコマンド

adb shell pm unhide com.adups.fota.sysoper.apk
adb shell pm unhide com.adups.fota.apk


以前、内蔵音楽プレイヤー(music player、プリインストールされているシステムアプリ)はこのコマンドで無効化できたので、おそらくこれで無効化ができたはずなのですが、


「com.adups.fota.sysoper.apk」は「FotaProvider」、


「com.adups.fota.apk」は「Wireless update」。

無効化済みの各該当アプリを強制停止してから、ネットワーク接続を変更(wifi→3G、3G→wifi、再起動等)してみると自動復帰するという現象に遭遇しました。
同じ方法で無効化した音楽プレイヤーは再起動後も強制停止状態のままなので、この2つのアプリに関しては、うまく無効化できていないような…そんな気が。(対策されてるのかもしれませんね…)

この現象を確認するにあたって、いちいちアプリ情報を見にいくのも面倒なので、


Greenifyに各アプリを登録して、ネットワーク接続を変更したり、再起動後に各アプリが動作しているかどうかを確認しました。

無効化できないのなら、送信自体をブロックしてしまおう!

というわけで、自分の端末はroot化済みで、送信するサーバーも分かっているので、hostsファイルを編集(要root化)して通信のブロックを行いました。


送信先のサーバーは、Kryptowire社の報告によると上記のの4つのサーバーになります。(バックドアではなく、バックエンドという表記なので、厳密にはバックドアという認識での報告ではない気もしますが…)

追記サンプル他、詳しくは「私的広告ブロック事情2016」参照。


非root端末の場合は、FWアプリを利用して同様のことが可能です。低スペック端末だと動作やバッテリー消費が気になるかもしれませんが…(試していないので省略。)


また、メインスマホとして普段から持ち歩いている方は、「設定」→「データ使用量」→「JP DOCOMO」(もしくは他キャリア名)と進み、過去に通信実績があれば「Wireless update」アプリの通信量が表示されているので、それを選択して、バックグラウンドデータを制限してしまうことも有効だと思います。(wifi環境では関係ないですが。)


※ スマホではないですが、中華タブレット「Chuwi Hi8」にもしっかり入っていたので、以下に追記。



「Chuwi Hi8」はAndroid 4.4.2なので、使用したADBコマンドは下記の通り。
この端末に関してはアップデートの可能性もないので削除してしまっても良かったけど…現状は無効化に留めています。(こちらはちゃんと無効化されているようですし。)

・無効化時に使うコマンド

adb shell pm block com.adups.fota.sysoper.apk
adb shell pm block com.adups.fota.apk


・有効化時に使うコマンド

adb shell pm unblock com.adups.fota.sysoper.apk
adb shell pm unblock com.adups.fota.apk


以上!

QooQ

PAGE TOP