Цзинван Вэйши

Jingwang Weishi ( китайский : 净网卫士 ; букв. «Clean Net Guardian») — для управления контентом мобильное приложение , разработанное Shanghai Landasoft Data Technology Inc. ^[1] Он известен тем, что его использует полиция Синьцзяна , Китай . ^[2]^[3]

Функция

В 2018 году исследовательская группа аналитиков подготовила подробный отчет о Jingwang Weishi. ^[1]

При первой установке приложения оно отправляет запрос на базовый сервер. Сервер отвечает объектом JSON, содержащим список хэшей MD5, который программа сохраняет в локальной базе данных SQLite . ^[1]

Приложение записывает «важную информацию», как ее называет код программы, о своем устройстве. В частности, основная информация состоит из международного идентификационного номера мобильного оборудования (IMEI), MAC-адреса , производителя, модели, номера телефона и международного идентификационного номера мобильного абонента (IMSI). ^[1]

Jingwang Weishi также выполняет сканирование файлов на устройстве. Он ищет файлы с расширениями 3GP , AMR , AVI , WEBM , FLV , IVX, M4A , MP3 , MP4 , MPG , RMVB , RAM , WMA , WMV , TXT , HTML , CHM , PNG и JPG . Затем он записывает определенные метаданные для каждого файла, состоящие из имени каждого файла, пути, размера, хеша MD5 и хеша MD5 хеша MD5. ^[1] После сканирования программа сравнивает MD5-хэши файлов с базой данных хэшей, полученной от базового сервера. Любые соответствующие файлы считаются «опасными». Пользователю предоставляется список «опасных» файлов. ^[1] и получает указание удалить их. ^[3]^[4] Если пользователь нажимает нижнюю правую кнопку, снимок экрана списка сохраняется в галерее изображений устройства в формате гггг-ММ-дд_ЧЧ-мм-сс.jpg. ^[1]

Приложение загружает данные устройства, сжимая два файла с именами jbxx.txt и files.txt в ZIP-файл с именем JWWS.zip. Файл jbxx.txt содержит «важную информацию» об устройстве. Файл files.txt содержит метаданные «опасных» файлов, найденных на устройстве пользователя. Если ни один файл не был признан «опасным», файл files.txt не будет отправлен. ^[1]

Команда аналитиков не обнаружила бэкдорных встроенных в приложение функций. Однако при установке он запрашивает разрешения, которые могут быть использованы злонамеренно в будущих обновлениях. Среди других разрешений он запрашивает возможность запускать себя сразу после завершения загрузки системы. Это разрешение не используется приложением, поскольку оно выполняет свои функции только в основном режиме просмотра. Однако будущие обновления могут позволить ему запуститься и начать сканирование устройства пользователя сразу после завершения загрузки, без ведома пользователя. ^[1]

Приложение обновляется путем загрузки новых APK-файлов (файлов приложений Android) с другого сервера. Приложение проверяет наличие новых версий при каждой загрузке; он делает это путем сравнения своей текущей версии с файлом версии, расположенным на сервере. Если будет найдена более поздняя версия, приложение загрузит ее, откроет и предложит пользователю установить ее. Чтобы загрузить новую версию своего APK, приложение отправляет HTTP-запрос к URL-адресу сервера обновлений, используя синтаксис http://<update_server_IP_and_port>/APP/GA_AJ_JK/GA_AJ_JK_GXH.apk?AJLY=650102000000, который выполняет загрузку APK-файла. ^[1]

Приложение также периодически отправляет запросы базовому серверу на обновление его локальной базы данных MD5-хэшей «опасных» файлов. ^[1]

Приложение создает четыре файла в течение своего жизненного цикла: ^[1]

/sdcard/JWWS/GA_AJ_JK_GXH.apk
/sdcard/JWWS/JWWS/shouji_anjian/jbxx.txt
/sdcard/JWWS/JWWS/shouji_anjian/files.txt
/sdcard/JWWS/JWWS/shouji_anjian/JWWS.zip

Как только эти файлы используются, они немедленно удаляются. ^[1]

Данные передаются в виде открытого текста и по небезопасному протоколу HTTP . В результате приложение имеет несколько уязвимостей. Кто-то в локальной сети будет видеть весь обмен данными между телефоном пользователя и сервером. Любой, кто выполняет атаку «человек посередине» , перехватывая трафик между телефоном и сервером и изменяя его, может прочитать конфиденциальную информацию пользователя или подставить пользователя, сообщив властям неверные метаданные файла. Поскольку достоверность файла APK не проверяется при обновлении, злоумышленник может также предоставить приложению любой APK, который он хочет, и пользователю будет предложено обновить его до него. ^[1]

База и сервер обновлений расположены на домене http://bxaq.landaitap.com. ^{[ постоянная мертвая ссылка ]}. Этот домен разрешился до 47.93.5.238 в 2018 году, когда аналитики написали свой отчет: ^[1] а по состоянию на 2020 год разрешен до 117.190.83.69. ^[5] Оба IP-адреса находятся в Китае. ^[6] Сервер обновлений расположен по порту 8081, а базовый сервер — по порту 22222. ^[1]

Обязательное использование

Сообщается, что полиция Китая заставила уйгуров в Синьцзяне загрузить приложение в рамках кампании массовой слежки накануне 19-го Национального конгресса Коммунистической партии Китая . ^[3] Они проверяли, установили ли люди эту программу на свои телефоны, и арестовывали людей, которые отказывались это сделать. ^[3]^[7]

См. также

Green Dam Youth Escort , аналогичная, но уже прекращенная программа контроля контента.
Xuexi Qiangguo , приложение для автоматического изучения КПК, разработанное Alibaba.

Ссылки

^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л ^м ^н ^тот ^п Фонд открытых технологий. «Отчет Цзинвана» (PDF) . opentech.fund . Архивировано (PDF) из оригинала 31 августа 2018 г. Альтернативный URL
^ Кокс, Джозеф (9 апреля 2018 г.). «Правительство Китая заставляет жителей устанавливать приложение для наблюдения с ужасной безопасностью» . Вице Медиа .
^ Jump up to: ^а ^б ^с ^д Раджагопалан, Мегха; Ян, Уильям (9 апреля 2018 г.). «Китай заставляет людей загружать приложение, которое просит их удалить «опасные» фотографии» . Новости БаззФида .
^ «Лагерь для интернированных 10 миллионов уйгуров. «Медуза» посещает антиутопическое полицейское государство Китая» . Проект Медуза . 1 октября 2018 года . Проверено 3 октября 2018 г.
^ «Проверка DNS — инструмент распространения проверки DNS» . DNS-проверка . Проверено 30 августа 2020 г.
^ «Поиск местоположения по IP — Геолокация» . www.iplocation.net . Проверено 12 ноября 2020 г.
^ Ашок, Индия (25 июля 2017 г.). «Что такое Цзинван? Мусульманское меньшинство Китая вынуждено устанавливать шпионское ПО на свои телефоны» . Интернэшнл Бизнес Таймс .

[:0-1] Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л ^м ^н ^тот ^п Фонд открытых технологий. «Отчет Цзинвана» (PDF) . opentech.fund . Архивировано (PDF) из оригинала 31 августа 2018 г. Альтернативный URL

[mobo-2] Кокс, Джозеф (9 апреля 2018 г.). «Правительство Китая заставляет жителей устанавливать приложение для наблюдения с ужасной безопасностью» . Вице Медиа .

[buzz-3] Jump up to: ^а ^б ^с ^д Раджагопалан, Мегха; Ян, Уильям (9 апреля 2018 г.). «Китай заставляет людей загружать приложение, которое просит их удалить «опасные» фотографии» . Новости БаззФида .

[:1-4] «Лагерь для интернированных 10 миллионов уйгуров. «Медуза» посещает антиутопическое полицейское государство Китая» . Проект Медуза . 1 октября 2018 года . Проверено 3 октября 2018 г.

[5] «Проверка DNS — инструмент распространения проверки DNS» . DNS-проверка . Проверено 30 августа 2020 г.

[6] «Поиск местоположения по IP — Геолокация» . www.iplocation.net . Проверено 12 ноября 2020 г.

[ibt-7] Ашок, Индия (25 июля 2017 г.). «Что такое Цзинван? Мусульманское меньшинство Китая вынуждено устанавливать шпионское ПО на свои телефоны» . Интернэшнл Бизнес Таймс .

[1]

[2]

[3]

[4]

[5]

[6]

[7]