美國防承包商關聯公司借激勵計劃名頭，通過SDK收集用戶敏感數據

2022年4月，外媒曝光了一家巴拿馬公司 Measurement Systems S. de R.L，聲稱該公司與弗吉尼亞州的一家國防承包商Vostrom/Packet Forensics LLC存在關聯關系，該承包商為美國國家安全機構從事網絡情報、網絡防御和情報截獲工作。

而曝光該公司的主要原因，是由于該公司將其SDK代碼，通過所謂的激勵計劃方式，向世界各地的開發人員付費，以將其代碼（軟件開發工具包或 SDK）整合到他們的應用程序中，它的存在使巴拿馬公司能夠秘密地從數百萬臺 Android 設備上收集數據。目前SDK已經集成在數個下載量超過 1000 萬次的msl祈禱應用程序、高速公路測速檢測應用程序、二維碼讀取應用程序等熱門APP中。

根據統計發現，Measurement Systems 軟件套件存在于至少 6000 萬臺移動設備上下載的應用程序中。

名為 AppCensus 的公司對此進行了分析，該公司負責檢查移動應用程序的安全性和隱私性，該公司認為該軟件是他們在研究移動應用程序的六年中所見過的最侵犯隱私的 SDK，公司創始人表示，它毫無疑問可以被描述為惡意軟件。

AppCensus對一款名為WiFi Mouse的應用進行分析，通過評論可以知道也有華語用戶在使用。

通過對APP進行流量捕獲，分析發現該APP會將當前連接的路由器MAC地址傳輸到子域名mobile.measurelib.com，域名屬于Measurement Systems公司。

黑鳥隨意搜了一下該域名，發現這個域名傳輸MAC地址早已經是慣犯，在以前的文獻中就有提及存在傳輸敏感數據情況。下面這個文檔還提及了三種獲取路由器MAC地址、SSID的方法，有興趣的可以研究一下。

ref:https://www.petsymposium.org/2021/files/hotpets/cves-cnn.pdf

而在文檔中，提及到measurement使用了一個名為coelib.c.couluslibrary的第三方庫，

對參考鏈接進行查看，發現這個SDK來自該公司的所謂開發人員激勵計劃，意思大致是如果開發人員把他們的SDK加到APP里面，開發人員可以獲得經濟利益。它告訴開發者他們每個月可以賺取 100 到 10,000 美元甚至更多，這取決于它可以提供多少活躍用戶。文件顯示，該公司對啟用該應用程序訪問用戶位置的用戶特別感興趣，但它強調不需要啟用此類權限來收集數據，關于不啟用權限就可以收集數據的方法可以參考上述的文獻，再次不做延伸分析。

https://measurementsys.com/program.php

可以以此為特征進行APP檢測以及自查。

此外，該SDK還會收集其他信息，例如剪貼板、GPS、電子郵件和電話號碼。通過對多個應用進行檢測發現，運行相同版本 SDK的不同應用程序將收集不同的信息。例如，運行此 SDK 的簡單天氣和時鐘小部件應用程序會收集剪貼板的內容：每當用戶復制/粘貼某些內容時，它都會轉到共享剪貼板，然后此 SDK 會搜索該剪貼板并將其上傳到其服務器，其中包括密碼管理器的場景，若用戶打開密碼管理器復制自己密碼，該SDK也會將這些密碼進行上傳。

該SDK還會針對存儲在 WhatsApp 下載文件夾中的文件，SDK不一定能讀取文件的內容，但它可以通過計算Hash的方式，將這些文件與已知文件進行匹配。

根據whois記錄顯示，Measurement Systems 的互聯網域名于 2013 年由一家名為 Vostrom Holdings Inc. 的美國公司注冊，目前域名已經被隱私保護。

通過公司記錄，發現Vostrom 通過子公司 Packet Forensics LLC 與聯邦政府開展業務。

根據公司記錄，Measurement Systems還將兩家控股公司列為管理人員（見下圖），外媒稱這兩家公司都與 Vostrom 的附屬人員共享一個位于弗吉尼亞州斯特林的地址。

根據公司所有權記錄，其中一人控制著一家同名的美國有限責任公司

Measurement Systems LLC。

外媒稱，據公司所有權記錄和一位知情人士透露，Vostrom 及其子公司隸屬于長期為美國政府擔任網絡安全顧問的羅德尼·喬菲 ( Rodney Joffe )，并由他的幾個下屬管理，黑鳥通過查詢相關網站whois也可以發現該情況。

外媒稱，熟悉Joffe職業生涯的人士說，Joffe為政府實體提供專業數據和能力，有時是機密項目。在 2016 年大選期間，關于監控唐納德·特朗普 ( Donald Trump ) 財產的網絡流量的長期爭議中，他占據了顯著位置。

隨著互聯網上越來越多的信息被加密，美國政府已經轉向移動設備上的軟件來收集有關人員和他們去過的地方的信息。從手機收集位置數據的市場已經出現了一個強大的市場，政府機構已成為此類數據的主要買家，往期黑鳥對此進行了多次報道。

這些數據可以包括地理位置，促進價值數十億美元的位置分析行業的發展，以了解人員的流動。許多公司通常不向政府出售產品的技術高管也描述了美國情報機構與他們接觸的情況，并要求他們自愿提供有關其用戶的大量用戶數據，或對他們的數據進行未經授權的查詢以供執法部門使用。可參考：追蹤美國總統日常行程：現實版電子上帝

位置數據公司

目前谷歌商店已經下架了部分帶有該SDK的應用，刪除了該SDK代碼的應用會重新上架，涉及APP應用包名如下：

com.lelic.speedcam

com.parfield.prayers.lite

com.necta.wifimousefree

qrcode.scanner.qrmaker

com.qiblafinder.prayertime.hijricalendar

net.difer.weather

com.handcent.app.nextsms

com.kafuiutils

com.quranmp3ramadan.readquran

com.quranmp3.readquran

com.audiosdroid.audiostudio

可選擇將移動設備設置屏蔽域名以及其子域名

mobile.measurelib.com

genoa.measurementsys.com

參考鏈接：

https://www.wsj.com/articles/durham-probe-reveals-government-access-to-unregulated-data-streams-11645871581

關于SDK竊取數據以及應用名稱詳情可參考鏈接：

https://blog.appcensus.io/2022/04/06/the-curious-case-of-coulus-coelib/

文章來源：安全內參