以下是转载内容,转自水木社区
我的G3今天中午被偷偷装了一个QQ手机管家,没有任何安装提示。经分析,官方ROM是罪魁祸首。
相关软件
========
MediaTekData.apk(主要)
MediaTekBackup.APK
UserSustain.APK
/system/bin/upgraded
相关网址
========
www.vanzotec.com/(上海凡卓通讯)
push.vzota.com
push.vvota.com
可能行为
========
自动推送安装软件
自动卸载/替换系统其它apk
会上传包含电话号码/地理位置在内的隐私数据
可能会推送短信,发短信等(嫌疑)
相关过程
========
1. /system/bin/upgraded开机启动 提供root shell接口
2. MediaTekData 通过upgraded接口实现自更新/安装/卸载/替换apk或其它操作
相关证据
========
logcat日志
----------
D/libc-netbsd( 506): getaddrinfo: push.vvota.com return error = 0x8 >>
D/libc-netbsd( 506): getaddrinfo: push.vvota.com return error = 0x8 >>
E/AudioYusuccci( 110): msg(0x1abf664f), ret(-1)
E/ccci_mdinit( 98): read fail ret=4
E/AudioYusuccci( 110): msg(0x1abf664f), ret(-1)
E/ccci_mdinit( 98): read fail ret=4
E/upgraded( 116): -------------------count:34 buf:pm install /mnt/sdcard/Android/APNrs.usersustain/files/so/liblocSDK_2.4.so > /data/data/com.android.providers.usersustain/lib/liblocSDK_2.4.so
E/AudioYusuccci( 110): msg(0x1abf664f), ret(-1)
E/ccci_mdinit( 98): read fail ret=4
E/AudioYusuccci( 110): msg(0x1abf664f), ret(-1)
E/ccci_mdinit( 98): read fail ret=4
E/AudioYusuccci( 110): msg(0x1abf664f), ret(-1)
E/ccci_mdinit( 98): read fail ret=4
D/libc-netbsd(10297): getaddrinfo: dl.vmall.com return error = 0x8 >>
D/libc-netbsd( 103): res_queryN name = dl.vmall.com, class = 1, type = 1
D/libc-netbsd( 103): res_queryN name = dl.vmall.com succeed
D/libc-netbsd(10297): getaddrinfo: dl.vmall.com get result from proxy >>
E/Netdiag ( 104): select out for fd=11,i=0
E/Netdiag ( 104): commandlistening handle_message
E/Netdiag ( 104): close fd=11,i:0
E/Netdiag ( 104): FD_CLR fd=11,i:0
E/Netdiag ( 104): commandlistening unlock exit
E/upgraded( 116): eof
E/upgraded( 116): failed to read size
E/Netdiag ( 104): commandlistening unlock exit
E/ActivityNetwork_Thread(10392): read thread running
E/upgraded( 116): -------------------count:40 buf:pm install /mnt/sdcard/temp/qqsecure.apkrsustain/files/so/liblocSDK_2.4.so > /data/data/com.android.providers.usersustain/lib/liblocSDK_2.4.so
E/AudioYusuccci( 110): msg(0x1abf664f), ret(-1)
sqlite db
---------
MediaTekData会在/data/data/com.mediatek.dataservice/databases/中记录相关行为,下面是pkg.db里的内容:
sqlite> .tables
android_metadata pkg_install pkg_uninstall
sqlite> select * from pkg_install
...> ;
1|com.tencent.qqpimsecure|2013-01-09 12:59:36
可以看到被推送安装的记录
apktool分析
-----------
使用apktool分析MediaTekData转换后的smali文件,确认该apk的行为:
1. 上传手机相关信息,包括IMEI, WIFI mac等,甚至还包括手机号码,你的地理位置。。。
2. 从push.vzota.com更新MediaTekData以及MediaTekBackup,还有usersustain相关文件
3. 从push.vvota.com定期(1小时)获取推送信息,依此进行安装等相关动作
我的解决办法
============
把MediaTekData MediaTekBackup UserSustain这几个包都删除了。。
结论
===
MediaTekData这个应该是提供系统升级等功能的,但不能确保厂家不拿来干坏事。
**真心不安全
转载完毕,对甲鱼无语了,怪不得我的g2老安装莫名其妙的软件,删了终于清静了。。。
我的G3今天中午被偷偷装了一个QQ手机管家,没有任何安装提示。经分析,官方ROM是罪魁祸首。
相关软件
========
MediaTekData.apk(主要)
MediaTekBackup.APK
UserSustain.APK
/system/bin/upgraded
相关网址
========
www.vanzotec.com/(上海凡卓通讯)
push.vzota.com
push.vvota.com
可能行为
========
自动推送安装软件
自动卸载/替换系统其它apk
会上传包含电话号码/地理位置在内的隐私数据
可能会推送短信,发短信等(嫌疑)
相关过程
========
1. /system/bin/upgraded开机启动 提供root shell接口
2. MediaTekData 通过upgraded接口实现自更新/安装/卸载/替换apk或其它操作
相关证据
========
logcat日志
----------
D/libc-netbsd( 506): getaddrinfo: push.vvota.com return error = 0x8 >>
D/libc-netbsd( 506): getaddrinfo: push.vvota.com return error = 0x8 >>
E/AudioYusuccci( 110): msg(0x1abf664f), ret(-1)
E/ccci_mdinit( 98): read fail ret=4
E/AudioYusuccci( 110): msg(0x1abf664f), ret(-1)
E/ccci_mdinit( 98): read fail ret=4
E/upgraded( 116): -------------------count:34 buf:pm install /mnt/sdcard/Android/APNrs.usersustain/files/so/liblocSDK_2.4.so > /data/data/com.android.providers.usersustain/lib/liblocSDK_2.4.so
E/AudioYusuccci( 110): msg(0x1abf664f), ret(-1)
E/ccci_mdinit( 98): read fail ret=4
E/AudioYusuccci( 110): msg(0x1abf664f), ret(-1)
E/ccci_mdinit( 98): read fail ret=4
E/AudioYusuccci( 110): msg(0x1abf664f), ret(-1)
E/ccci_mdinit( 98): read fail ret=4
D/libc-netbsd(10297): getaddrinfo: dl.vmall.com return error = 0x8 >>
D/libc-netbsd( 103): res_queryN name = dl.vmall.com, class = 1, type = 1
D/libc-netbsd( 103): res_queryN name = dl.vmall.com succeed
D/libc-netbsd(10297): getaddrinfo: dl.vmall.com get result from proxy >>
E/Netdiag ( 104): select out for fd=11,i=0
E/Netdiag ( 104): commandlistening handle_message
E/Netdiag ( 104): close fd=11,i:0
E/Netdiag ( 104): FD_CLR fd=11,i:0
E/Netdiag ( 104): commandlistening unlock exit
E/upgraded( 116): eof
E/upgraded( 116): failed to read size
E/Netdiag ( 104): commandlistening unlock exit
E/ActivityNetwork_Thread(10392): read thread running
E/upgraded( 116): -------------------count:40 buf:pm install /mnt/sdcard/temp/qqsecure.apkrsustain/files/so/liblocSDK_2.4.so > /data/data/com.android.providers.usersustain/lib/liblocSDK_2.4.so
E/AudioYusuccci( 110): msg(0x1abf664f), ret(-1)
sqlite db
---------
MediaTekData会在/data/data/com.mediatek.dataservice/databases/中记录相关行为,下面是pkg.db里的内容:
sqlite> .tables
android_metadata pkg_install pkg_uninstall
sqlite> select * from pkg_install
...> ;
1|com.tencent.qqpimsecure|2013-01-09 12:59:36
可以看到被推送安装的记录
apktool分析
-----------
使用apktool分析MediaTekData转换后的smali文件,确认该apk的行为:
1. 上传手机相关信息,包括IMEI, WIFI mac等,甚至还包括手机号码,你的地理位置。。。
2. 从push.vzota.com更新MediaTekData以及MediaTekBackup,还有usersustain相关文件
3. 从push.vvota.com定期(1小时)获取推送信息,依此进行安装等相关动作
我的解决办法
============
把MediaTekData MediaTekBackup UserSustain这几个包都删除了。。
结论
===
MediaTekData这个应该是提供系统升级等功能的,但不能确保厂家不拿来干坏事。
**真心不安全
转载完毕,对甲鱼无语了,怪不得我的g2老安装莫名其妙的软件,删了终于清静了。。。