Альфапедия

Jingwang Weishi

редактировать

Jingwang Weishi (Китайский : 净 网 卫士; букв. : «Clean Net Guardian») - это приложение для мобильных телефонов, используемое для наблюдения за жителями в Синьцзян, Китай.

Функция

В 2018 году исследовательской группой аналитиков был проведен подробный отчет о Jingwang Weishi. Приложение записывает «важную информацию» (поскольку это называется в коде программы) устройства, на котором оно установлено, в частности его номер International Mobile Equipment Identity (IMEI), MAC-адрес, производитель, модель, номер телефона и международный идентификационный номер мобильного абонента (IMSI). Он также выполняет сканирование файлов на устройстве, записывая метаданные каждого файла, включая его имя, путь, размер, хэш MD5 и хэш MD5 его хеша MD5. Он ищет файлы с расширениями 3GP, AMR, AVI, WEBM, FLV, IVX, M4A, MP3, MP4, MPG, RMVB, RAM, WMA, WMV, TXT, HTML, CHM, PNG и JPG. После сканирования файлы, чьи хэши MD5 совпадают с его локальной базой хэшей SQLite, будут считаться «опасными». Пользователю предоставляется список «опасных» файлов с инструкциями по их удалению. Если пользователь нажмет на нижнюю правую кнопку, снимок экрана со списком будет сохранен в галерее изображений устройства в формате Java SimpleDateFormat yyyy-MM-dd_HH-mm-ss.jpg.

Когда приложение при первой установке он отправляет запрос на базовый сервер, запрашивая хэши MD5 файлов, которые считаются «опасными», для заполнения его локальной базы данных. Сервер возвращает объект JSON, содержащий список новых хэшей. Приложение загружает данные устройства путем сжатия двух файлов с именами jbxx.txtи files.txtв zip-файл с именем JWSS.zip. jbxx.txtсодержит «важную информацию» об устройстве. files.txtсодержит метаданные «опасных» файлов, обнаруженных на устройстве пользователя. Если ни один файл не был признан «опасным», files.txtне будет отправлен. Базовый сервер расположен по адресу http://bxaq.landaitap.com:22222 , что соответствует 47.93.5.238:22222по состоянию на 2018 г. (когда аналитики написали свой отчет) и 117.190.83.69:22222по состоянию на 2020 год.

Команда аналитиков не обнаружила каких-либо очевидных функций бэкдора, встроенных в приложение, однако это при установке запрашивает разрешения, которые могут быть злонамеренно использованы в будущих обновлениях. Среди других разрешений он запрашивает возможность запуска себя, как только система завершит загрузку. Это разрешение на самом деле не используется приложением, поскольку оно выполняет свои функции только тогда, когда оно находится в главном представлении, но будущие обновления могут позволить ему запустить и начать сканирование устройства пользователя сразу после завершения загрузки, неосознанно для пользователя. 9>

Приложение обновляется, загружая новые APK (файлы приложений Android) с другого сервера. Приложение проверяет наличие более новых версий каждый раз при загрузке; он делает это путем сравнения своей текущей версии с файлом версии, находящимся на сервере. Если будет найдена более поздняя версия, приложение загрузит ее, откроет и предложит пользователю установить ее. На момент публикации аналитиков в 2018 году сервер обновлений располагался по адресу 47.93.5.238:8081; чтобы загрузить новую версию APK, приложение сделает запрос по URL http://47.93.5.238:8081/APP/GA_AJ_JK/GA_AJ_JK_GXH.apk?AJLY=650102000000 , который выполняет загрузку файла APK. По состоянию на 2020 год сервер обновлений располагался по адресу 117.190.83.69:8081, и APK можно было загрузить, сделав тот же запрос, что и раньше, но переключив IP-адрес. Приложение также делает запросы к базовому серверу, чтобы обновить свою локальную базу данных хэшей MD5 «опасных» файлов.

В течение своего жизненного цикла приложение создает четыре файла:

  • / sdcard / JWWS / GA_AJ_JK_GXH. apk
  • /sdcard/JWWS/JWWS/shouji_anjian/jbxx.txt
  • /sdcard/JWWS/JWWS/shouji_anjian/files.txt
  • /sdcard/JWWS/JWWS/shouji_anjian/JW73WS.zip эти файлы используются, они немедленно удаляются.

    Данные передаются в виде открытого текста и по небезопасному HTTP. В результате приложение имеет ряд уязвимостей. Кто-то в локальной сети сможет видеть всю связь между телефоном пользователя и сервером. Любой, кто выполняет атаку типа «злоумышленник в середине», перехватывая трафик между телефоном и сервером и изменяя его, может прочитать конфиденциальную информацию пользователя или создать фреймворк, сообщив властям о неверных метаданных файла. Поскольку достоверность файла APK не проверяется при обновлении, злоумышленник может также предоставить приложению любой APK, который захочет, что затем предложит пользователю обновить его.

    Обязательное использование

    Полиция Китая, как сообщается, заставила уйгуров в Синьцзяне загрузить приложение в рамках кампании массового наблюдения. Они проверяют, установлен ли он на своих телефонах, и арестовывают тех, кто отказывается сделать это.

    Ссылки
Последняя правка сделана 2021-05-24 10:20:58
Содержание доступно по лицензии CC BY-SA 3.0 (если не указано иное).
Обратная связь: support@alphapedia.ru
Соглашение
О проекте