安全企业Check Point披露一起由中国企业Hangzhou Shun Wang Technologies所主导的“顺手牵羊行动”(Operation Sheep),借由在12款Android移动程序中嵌入该公司所打造的SWAnalytics SDK来搜集手机用户的通讯录,由于这些程序颇受欢迎且传播在不同的Android程序市场,估计至少已搜集全中国1/3人口的姓名与电话号码。
Hangzhou Shun Wang Technologies该名称看似为杭州顺网科技,那是中国专门经营网络游戏、网络广告及网络增值服务的上市公司,其中一个主力产品为网吧平台。
研究人员指出,该公司所打造的SWAnalytics API已被嵌入12款Android移动程序中,当用户安装相关的移动程序之后,只要打开程序或重新启动手机,SWAnalytics就会悄悄地将手机上的通讯录上传到顺网的服务器上。
这些程序至少已登上6个中国Android程序市场,其中的腾讯应用宝(Tencent MyApp)就托管了其中的8款,且总下载量超过1.11亿次,因而估计顺网至少已搜集1/3中国人口的姓名及电话号码。
Check Point指出,顺网并未清楚描述相关数据的用途,不过这些通讯录可能被用来执行流氓营销、目标式诈骗或是应用在近来流行的友人推荐计划中。
集成了SWAnalytics API的程序涵盖了来电闪光灯(Incoming Call Flashlight)、测速大师(Network Speed Master)、电池医生(Battery Doctor)、Wi-Fi密码神器(Wi-Fi Password Key) 、Wi-Fi信号增强器(Wi-Fi Signal Amplifier)、氧秀直播(Syoo Video)、充电加速器(Super Battery Charge)、快乐捕鱼(Happy Fishing)、91Y直播及91Y游戏。它们进驻在腾讯应用宝、豌豆荚、华为应用程序市场、小米应用商店、360手机助手及百度手机助手等中国程序市场,也可能在其它市场上架,但尚未渗透到Google Play。
有趣的是,研究人员发现SWAnalytics API会绕过“棉花糖”(Marshmallow,Android 6.0)及以前的版本,相关平台的市场占有率高达7成却仍被舍弃,看起来是为了维持简单的程序代码而特意避开,此外,SWAnalytics也会放过美图手机。
Check Point建议已安装上述程序的用户尽快将它们移除,且遭到窃取的通讯录是借由非加密的HTTP协议传输,代表也有可能被其它第三方盗取。