07月09, 2020

手机借贷中的偷拍者

近期,360烽火实验室在对金融类移动软件持续监控过程中发现了一类具有隐秘拍照行为的软件,这类软件主要功能是为用户提供借贷服务,而在看似正常的功能下,我们发现其存在未经用户批准、用户无感知的隐私非法收集行为。

隐私非法收集

静默拍照

截止今年6月中旬,我们共监控到9款软件共计90个样本,软件名称见表1。这9款软件的界面与功能基本相同,与以往发现的具有隐私非法收集行为的借贷软件不同,这类借贷软件除了非法收集用户敏感通讯数据外,还尝试对用户面部图像进行了静默偷拍与上传。

image.png

表1 软件名称与功能

这类借贷软件启动后会停留在登录页面,需要登录才能进入主页面,登录页面无任何隐私声明,而静默偷拍就是在打开登录页面的时候同步进行的,以其中一款名为“信用袋”的软件运行截图为例,图1为该软件的登录页面。

image.png

图1 信用袋登录页面

这类软件使用了开源的无预览拍照工具AndroidHiddenCamera,每次打开登录界面都会检测手机机型,根据机型调用前置或后置摄像头进行静默拍照,因此即便用户开启了摄像头拍照快门提示音与闪光灯,其在拍照时也不会发出提示音与闪光,以此来躲避用户的感知。

该类软件在静默拍照时首选前置摄像头偷拍用户面部图像,只有检测到在某些具有升降摄像头的特定机型下才会使用后置摄像头,例如OPPO k3、VIVO x27等。具有升降摄像头的手机在使用前置摄像头拍照时会升起摄像头,为了躲避用户感知达到偷拍目的,这类软件在采集面部图像时会避开具有升降摄像头的手机,以免摄像头升起让用户有所察觉。

image.png

图2 检测机型确定摄像头类型

静默拍摄的图片名称为a.jpg,保存在用户手机SD卡中以软件名全拼命名的文件夹下,如“信用袋”的图片保存路径为/sdcard/xinyongdai/camera/a.jpg,如果路径下有同名文件存在不会进行覆盖。当用户身份认证成功后,该图片会被私自上传至指定服务器。

隐私收集与明文上传

除了偷拍用户面部图像外,这类借贷软件也对用户敏感通讯数据进行了非法收集与明文上传。当用户登录成功后必须先完成多重认证才能进行借款操作,点击主界面(图3左)的“认证借款”按钮会进入认证界面(图3右),在进行身份认证时,这类软件会收集用户短信、通话记录与安装软件列表,并将这些个人敏感信息连同用户在身份认证时上传的身份证照片一并明文发送至指定服务器。

与身份认证同步进行的隐私非法收集与明文上传过程用户无任何感知,且在首页、认证页与个人页都看不到隐私声明。

image.png

图3 主功能界面与认证页面

隐私收集者溯源

根据该类软件中部分软件的隐私回传服务器域名xinxinshuju.com,我们确定了非法收集用户隐私的目标单位——湖南新薪时代信用服务有限公司。据该公司官网业务与官方介绍,其主要从事海外金融APP开发。

image.png

图4 新薪时代公司官网

除了“给你花”、“信用袋”、“呗呗花”等9款具有静默拍照行为的软件外,我们还发现了5款为该公司非法收集用户隐私的软件,这些软件同样都是借贷软件,虽然没有集成静默拍照功能,但我们在这些软件中也发现了用户无感知的隐私非法收集行为。

移动金融软件隐私滥采

自移动金融行业兴起至今,360烽火实验室始终对金融类软件隐私收集保持着高度关注。金融类软件出于业务风控特性往往需要采集部分用户数据,但无克制不受限采集与静默采集现象却在金融类软件中泛滥。

2019年底我们发现过一家知名风控公司过度、静默采集用户隐私,到此次披露新薪时代信用服务有限公司偷拍、静默收集隐私,期间我们还发现了上千个存在隐私不当收集行为的金融类软件,其中以借贷软件为主。

这些软件或是毫无限制、“扫荡式”地采集用户的各种敏感通讯与网络数据,包括用户短信、通话记录、通讯录、浏览器历史记录、接入网络等,或是在不告知用户、不申请用户授权的情况下私自对用户隐私数据进行静默收集,更有甚者开始通过静默拍照等方式在用户无感知的情况下非法采集用户图像数据;此外,我们还发现这些软件在上传用户隐私数据时多采用明文上传方式,对传输过程中可能存在的数据泄露风险视若无睹。

金融类软件中存在的隐私滥采现象给用户隐私安全带来了严重威胁,在无感知的隐私非法收集情况下,用户连被偷走了哪些信息都无法知晓,也无法及时阻止隐私被偷走,用户隐私明文传输过程中的泄露风险与隐私被窃取之后的去向为用户财产甚至是人生安全都埋下了严重隐患。

本文链接:https://blogs.360.cn/post/shou-ji-jie-dai-zhong-de-tou-pai-zhe.html

-- EOF --

Comments