中國利用 Android App 蒐集手機用戶的通訊錄

感謝讀者支持,2020年2月再創高峰達 250萬

TechRitual 自去年擴充經營,報導內容質素愈見優良,讀者人數持續上升。繼去年突破每月 100萬 PageView 後,2020 年 2 月再創新高峰,突破每月 250萬 PageView,達到 2,598,777,感謝一眾讀者支持。未來定必繼續努力,為讀者帶來更多優質內容。


資安業者Check Point揭露一起由中國業者Hangzhou Shun Wang Technologies所主導的「順手牽羊行動」(Operation Sheep),藉由在12款Android行動程式中嵌入該公司所打造的SWAnalytics SDK來蒐集手機用戶的通訊錄,由於這些程式頗受歡迎且散布在不同的Android程式市集,估計至少已蒐集全中國1/3人口的姓名與電話號碼。

Hangzhou Shun Wang Technologies此一名稱看似為杭州順網科技,那是中國專門經營網路遊戲、網路廣告及網路加值服務的上市公司,其中一個主力產品為網咖平台。

研究人員指出,該公司所打造的SWAnalytics API已被嵌入12款Android行動程式中,當使用者安裝相關的行動程式之後,只要開啟程式或重新啟動手機,SWAnalytics就會悄悄地將手機上的通訊錄上傳到順網的伺服器上。

這些程式至少已登上6個中國Android程式市集,其中的騰訊應用寶(Tencent MyApp)就代管了當中的8款,且總下載量超過1.11億次,因而估計順網至少已蒐集1/3中國人口的姓名及電話號碼。


Check Point指出,順網並未清楚描述相關資料的用途,不過這些通訊錄可能被用來執行流氓行銷、目標式詐騙或是應用在近來流行的友人推薦計畫中。

整合了SWAnalytics API的程式涵蓋了來電閃光燈(Incoming Call Flashlight)、測速大師(Network Speed Master)、電池醫生(Battery Doctor)、Wi-Fi密碼神器(Wi-Fi Password Key)、Wi-Fi信號增強器(Wi-Fi Signal Amplifier)、氧秀直播(Syoo Video)、充電加速器(Super Battery Charge)、快樂捕魚(Happy Fishing)、91Y直播及91Y遊戲。它們進駐在騰訊應用寶、豌豆莢、華為應用程式市集、小米應用商店、360手機助手及百度手機助手等中國程式市集,也可能在其它市集上架,但尚未滲透到Google Play。

有趣的是,研究人員發現SWAnalytics API會繞過「棉花糖」(Marshmallow,Android 6.0)及以前的版本,相關平台的市佔率高達7成卻仍被捨棄,看起來是為了維持簡單的程式碼而特意避開,此外,SWAnalytics也會放過美圖手機。


Check Point建議已安裝上述程式的使用者儘快將它們移除,且遭到竊取的通訊錄是藉由非加密的HTTP協定傳輸,代表也有可能被其它第三方盜取。

你也許會有興趣:

什麼是警察裝甲車?有什麼裝備 & 聲波炮之危險?

香港警方,俗稱差佬,昨天凌晨首次出動最新的裝甲車前往天水圍及旺角驅散示威者。那麼香港警方使用的裝甲車有何特別?有什麼功能呢?今天跟大家慢拆解。

【評測】華為 Mate Xs:將一年前的設計帶來今天還可行嗎?

雖然可摺疊型的智能手機來到今年才算真正在國際市場漸漸流行起來,但要講「起步」,其實要數上年差不多時間發表的 Samsung Galaxy Fold 以及華為 Mate X,只不過兩部機都因為各自看問題而要改良設計。