互聯網時代，運籌帷幄之中，決勝千里之外不再是奇人所為，大數據的發展更讓我們覺得，世界都在關注我。想你之所想，急你之所急，精準的營銷和推薦讓我們享受著主人公一樣的待遇。然而，事物發展的兩面性同時帶給我們一些防不勝防的問題，層出不窮的隱私安全事件更是與我們的利益息息相關。互聯網時代，我們大多數人都在“裸奔”。

[[233689]]

竊取隱私的賊

今日，平臺監測到一新型病毒，經安全人員研究，發現該病毒的主要行為是在用戶不知情的情況下私自獲取用戶短信信息以及聯系人號碼信息，私自獲取手機號以及IMEI、IMSI等信息，上傳到指定服務器，具有隱私竊取屬性;該病毒運行后大量上傳用戶短信等數據造成流量消耗，具有資費消耗行為;該病毒偽造成時下熱火的主播旗下的直播間，誘導用戶下載，具有誘騙欺詐行為。

在進行溯源追蹤時，發現用戶信息接收的服務器未進行任何的登錄驗證和信息加密，可以看到該病毒獲取到的所有用戶數據以及時間，數據開始與2018年6月11號，已有一百多人次數據信息，為了保護廣大網民的隱私，立刻對此病毒和服務器地址進行了上報處理，將這個“竊取隱私的賊”扼殺在襁褓中。

隱私竊取案偵破

病毒在用戶不知情的情況下私自獲取用戶短信信息以及聯系人號碼信息，私自獲取手機號以及IMEI、IMSI等信息，發送到指定url，具有隱私竊取屬性。

應用啟動后，獲取用戶短信信息，如圖2-1所示：

圖2-1 獲取用戶短信信息

獲取用戶聯系人信息，如圖2-2所示：

圖2-2 獲取用戶聯系人

獲取手機號以及IMEI、IMSI等設備信息，如圖2-3所示：

圖2-3 獲取用戶設備信息

啟動線程上傳到服務器，如圖2-4所示：

圖2-4 上傳用戶隱私數據

通過抓取數據包獲取竊取用戶隱私證據，如圖2-5所示：

圖2-5 抓取上傳數據包

上傳數據包中的用戶聯系人及短信信息，如圖2-6所示：

圖2-6 上傳數據包信息

數據泄露案追蹤

我們的隱私信息獲取有很多時候被竊取了，我們不知道，第三方也無法獲取，只有竊取者掌握，與此病毒的行為對比我們或許還感到一絲安全。此病毒所使用的服務器地址為：http://*****.***/ck1/index.php，對其進行追蹤時發現，其獲取的用戶隱私數據完全曝光在互聯網的陽光下。

服務器首頁展示用戶隱私數據獲取日志，如圖3-1所示：

圖3-1 首頁日志

通過追蹤獲取服務器數據管理地址，進入用戶信息管理系統，如圖3-2所示：

圖3-2 用戶管理系統

用戶管理系統中，通過分類和用戶ID對用戶信息進行查看和修改，如圖3-3所示：

圖3-3 用戶信息修改

通過用戶ID查看用戶詳細通訊錄，如圖3-4所示：

圖3-4 用戶聯系人

通過用戶ID查看用戶短信信息，如圖3-5所示：

圖3-5 用戶短信信息

逐本溯源

遇見這樣的令人發指的隱私竊取的賊我們絕不放過，但是此經過分析此病毒為新型未成型的病毒，追溯到的信息也很少，我們只能對其服務器域名進行溯源，該域名通過第三方注冊，并未獲得更多注冊者信息。

通過域名的whois查詢，獲取到注冊信息，如圖4-1所示：

圖4-1 域名溯源

安全建議

• 建議用戶提高警覺性，使用軟件請到官網下載。到應用商店進行下載正版軟件，避免從論壇等下載軟件，可以有效的減少該類病毒的侵害。關注”暗影實驗室”公眾號，獲取最新實時移動安全狀態，避免給您造成損失和危害。
• 為防止病毒變種，用戶發現已經安裝此病毒的，可以請專業人員分析此病毒，獲取服務器地址，將參數x設置值為4，將特定ID用戶數據刪除。
• 用戶發現感染手機病毒軟件之后，可以向“12321網絡不良與垃圾信息舉報受理中心”或“中國反網絡病毒聯盟”進行舉報，使病毒軟件能夠第一時間被查殺和攔截。