小米MIUI系统组件监听用户隐私
欢迎关注微信公众号专注于网络安全领域,跟踪漏洞动态,深耕互联网,做一个深谙攻防之道的公众号。同时涉足多个领域,是哲学,抑或是文学与艺术,关注金融市场,研究全球市场经济发展方向。
https://img2022.cnblogs.com/blog/2484178/202211/2484178-20221118074459557-1151070900.png
01 开门见山 近日,酷安论坛的用户MinaMichita发现MIUI 14内置了AntiDefraud功能,会不断向小米服务器上传用户已安装的应用列表。
https://img2023.cnblogs.com/blog/2484178/202302/2484178-20230204155846173-458029400.png原文地址: https://www.coolapk.com/feed/42944139
文章底部附上三分剑法之解决方案。
02 偷梁换柱 关于隐私保护:
A国: 数据上交给国家。
B国: 防止个人信息被政府和私有企业滥用。
03 凿壁偷光 估计三言两语难以服众,那我们再来看看酷安另外一位大佬在今年春节时对MIUI安全组件的分析报告。
下面是文章原文,已经过笔者排版整理。
作者ID: cesky667
typedef16大佬在21年指出MIUI安全组件使用的腾讯天御组件会监视用户行为,
到目前为止似乎还没有人查证过,春节在家闲来无事,所以我来分析一下这个组件。
https://img2023.cnblogs.com/blog/2484178/202302/2484178-20230204155945678-496581419.jpg
首先,QQ同样使用了腾讯天御安全组件,所以也会生成.tmfs turing.dat,准确来说,所有使用相关腾讯安全组件的都会生成这些文件,仅作为标识符识别用户,并无其他作用,而在旧版存储空间隔离中,创建/打开文件 记录不准确,导致一些系统组件也显示创建该文件,例如: 垃圾清理。
环境:
MIUI13.0.6 EU版
MIUI安全组件版本1.3.8
包名: com.miui.guardprovider(该应用在MIUI EU欧洲版中仍然保留)
https://img2023.cnblogs.com/blog/2484178/202302/2484178-20230204160000023-246580106.jpg
查看app组件 可以发现确实使用了天御组件
https://img2023.cnblogs.com/blog/2484178/202302/2484178-20230204160024649-2010014074.jpg
data目录文件如下:
https://img2023.cnblogs.com/blog/2484178/202302/2484178-20230204160037069-1861238286.jpg
https://img2023.cnblogs.com/blog/2484178/202302/2484178-20230204160043335-420787311.jpg
有趣的是,在databases文件夹里一个riskscan开头的文件里找到了这样一段话,
而下面则是一些app包名,大多是一些Xposed模块,推断这些应该是风险扫描app结果。
https://img2023.cnblogs.com/blog/2484178/202302/2484178-20230204160056540-779841658.jpg
对MIUI安全组件进行抓包,发现每次开关WiFi都连接一个位于广东的IDC机房,
第一条是保活,第二条内容经过加密,受限于本人技术水平暂时无法解密。
https://img2023.cnblogs.com/blog/2484178/202302/2484178-20230204160106667-974460554.jpg
https://img2023.cnblogs.com/blog/2484178/202302/2484178-20230204160113572-1592197812.jpg
这个IP开放了不少端口,仅有8002端口为tcp协议
[由于作者上传长图,且较为模糊] 因此笔者在这里提供PC端的微步情报截图。
https://img2023.cnblogs.com/blog/2484178/202302/2484178-20230204160125110-1523207940.png
https://img2023.cnblogs.com/blog/2484178/202302/2484178-20230204160137287-436045875.png
https://img2023.cnblogs.com/blog/2484178/202302/2484178-20230204160147805-1481624322.png
在应用商店里下了一个某中心,查询库文件如图,使用了腾讯乐固。
https://img2023.cnblogs.com/blog/2484178/202302/2484178-20230204160205870-722157478.jpg
https://img2023.cnblogs.com/blog/2484178/202302/2484178-20230204160217595-1356812967.jpg
https://img2023.cnblogs.com/blog/2484178/202302/2484178-20230204160223644-684736766.jpg
两个库都指向了同一个腾讯安全产品,而这是产品页的描述,细品一下令人后背发凉。
[由于作者上传长图,且较为模糊] 因此笔者在不影响原文内容的情况下, 再次提供PC网页的截图。
https://img2023.cnblogs.com/blog/2484178/202302/2484178-20230204160237102-190916696.png
https://img2023.cnblogs.com/blog/2484178/202302/2484178-20230204160251917-1548240095.png
已证实的内容:
会扫描应用列表并上报,与手机管家病毒扫描有关,采用与某中心app一致的腾讯安全组件。
作为普通搞机用户能做什么?
1.使用安装狮 r安装组件替代MIUI安装器
2.冻结MIUI安全组件(不是安卓包管理器 这个冻了卡第一屏)
3.不要点击手机管家病毒扫描! !
4.关闭qq的读取应用列表权限或者用hide my app list对qq开启白名单 仅获取系统应用
希望诸位安装修改版app的时候,不要出现被请喝茶的悲剧捂脸。
业余菜只因geek,技术水平实属有限,希望有兴趣的大佬能对MIUI安全组件逆向分析。
文件: MIUI安全组件_1.3.8.apk
下载地址: https://www.123pan.com/s/ZTfrVv-ArRP3
文章仅供参考,若有误还望评论区指正
我们终将在没有黑暗的地方相见。
原文地址:https://www.coolapk.com/feed/42719865
04 声名远扬 据悉,该组件名为腾讯天御,在中国大陆版和海外版本的MIUI系统中均存在该组件。 另外,QQ、华为安全中心、vivo部分应用中也使用了同样或类似的安全组件。 另有网友表示,该组件至少可以追溯到MIUI12.5版本的系统。
https://img2023.cnblogs.com/blog/2484178/202302/2484178-20230204160320251-1649002002.png
https://img2023.cnblogs.com/blog/2484178/202302/2484178-20230204160332175-2003513827.png
“你说隐私我都觉得有点好笑”
由此得知,腾讯天御模块主要是在后台分析手机内置APP、记录设备UUID,并且回传到中国广东IDC机房。
另外,评论区多名酷安网友回帖称,使用MIUI系统安装软件被警察传讯。
05 白壁三献 三种解决方案,欢迎参考。
第一种 安装屏蔽模块!https://img2023.cnblogs.com/blog/2484178/202302/2484178-20230204160348793-1010762460.png
也就是文章前言所提到的,用于屏蔽MIUI安全组件的Xposed模块。
模块项目地址:https://github.com/MinaMichita/AntiAntiDefraud/
第二种 ADB模式卸载模块!https://img2023.cnblogs.com/blog/2484178/202302/2484178-20230204160359102-1688352406.jpg
adb shell pm list package | grep com.miui.guardprovider
adb uninstall --user 0 com.miui.guardprovider
如果有分身系统需要查看一下设备用户资料ID:adb shell pm list users
第三种 DNS/HOST屏蔽模块!https://img2023.cnblogs.com/blog/2484178/202302/2484178-20230204160415705-2089312094.jpg
经过本频道[神秘代码:DNSPOTD]的流量分析:确定了后台扫描及病毒库由 腾讯安天/AVL 组件提供,通过实现DNS上游屏蔽可以暂时无效化该功能[当前只针对于小米品牌手机]此操作无需你对手机系统文件进行任何更改。
注意: 本频道并未确定该组件一定上传数据到某某反诈数据中心服务器中,
以下只是针对于扫描功能以及应用包安装功能检测的屏蔽。
屏蔽列表:
miav-cse.avlyun.com[腾讯/安天]
a0.app.xiaomi.com[小米跟踪API]
miui-fxcse.avlyun.com[腾讯/安天]
api.installer.xiaomi.com[应用包扫描API]
其他完整列表:https://raw.githubusercontent.com/LoopDns/Fuck-you-MIUI/main/MIhosts
注意: 该操作可能会导致小米安全中心等一系列应用产生不可知的使用风险,
包括但不限于部分软件的云设置、同步失效等一系列问题。
致谢: 以上解决方案来自互联网收集。
06 恍然大悟
其实早在两个多月前,笔者在某交流群里就和群友们讨论过关于小米手机管家内置国家反诈中心APP扫描模块的相关话题。当时我还说,想要纯净的系统可以自己下载国际版的rom包进行刷机,想着国际版的应该轮不到那些人管,但是万万没想到,人在屋檐下不得不低头。
该文由苏雅图整理发布,素材均来自互联网。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
页:
[1]