แอปซื้อของ SHEIN หลอกลวง ดึงข้อมูลราคาและ URL จากคลิปบอร์ดของคุณ

SHEIN แบรนด์ “ฟาสต์แฟชั่น” ของจีนไม่ใช่คนแปลกหน้าสำหรับการโต้เถียง ไม่น้อยเพราะการละเมิดข้อมูลในปี 2018 ที่ Zoetop ซึ่งเป็นบริษัทแม่ในขณะนั้นมองไม่เห็น นับประสาอะไรที่จะหยุด และจัดการอย่างไม่ซื่อสัตย์

ดังที่ Letitia James อัยการสูงสุดแห่งรัฐนิวยอร์กกล่าวใน คำสั่ง ณ สิ้นปี 2022:

มาตรการรักษาความปลอดภัยทางดิจิทัลที่อ่อนแอของ SHEIN และ [แบรนด์ในเครือ] ROMWE ทำให้แฮ็กเกอร์ขโมยข้อมูลส่วนตัวของผู้บริโภคได้ง่าย […]

[P]ข้อมูลส่วนบุคคลถูกขโมยและ Zoetop พยายามปกปิด ความล้มเหลวในการปกป้องข้อมูลส่วนบุคคลของผู้บริโภคและการโกหกเกี่ยวกับข้อมูลนั้นไม่เป็นที่นิยม SHEIN และ ROMWE ต้องเพิ่มมาตรการรักษาความปลอดภัยทางไซเบอร์เพื่อปกป้องผู้บริโภคจากการฉ้อโกงและการโจรกรรมข้อมูลประจำตัว

ในช่วงเวลาของการตัดสินของศาลในนิวยอร์ก เราแสดงความประหลาดใจต่อค่าปรับที่ดูเหมือนเล็กน้อยเพียง 1.9 ล้านดอลลาร์ เมื่อพิจารณาถึงขอบเขตของธุรกิจ:

บอกตามตรง เราแปลกใจมากที่ Zoetop (ปัจจุบันคือ SHEIN Distribution Corporation ในสหรัฐอเมริกา) เลิกกิจการไปอย่างสบายๆ เมื่อพิจารณาจากขนาด ความมั่งคั่ง และพลังตราสินค้าของบริษัท เห็นได้ชัดว่าไม่มีมาตรการป้องกันขั้นพื้นฐานที่อาจป้องกันหรือลดอันตรายที่จะเกิดขึ้นได้ โดยการละเมิดและความไม่ซื่อสัตย์อย่างต่อเนื่องในการจัดการกับการละเมิดหลังจากที่ได้รับทราบ

---

โค้ดแอพ Snoopy เปิดเผยแล้ว

สิ่งที่เราไม่รู้ แม้ในขณะที่คดีนี้กำลังครุ่นคิดผ่านระบบการพิจารณาคดีของนิวยอร์คก็คือ SHEIN ได้เพิ่มโค้ดที่แปลกประหลาด (และน่าสงสัย หากไม่ได้เป็นอันตรายจริงๆ) ลงในแอป Android ซึ่งเปลี่ยนให้เป็นประเภทพื้นฐานของ “ เครื่องมือสปายแวร์ทางการตลาด”

ข่าวดังกล่าวเกิดขึ้นเมื่อต้นสัปดาห์ที่ผ่านมาเมื่อนักวิจัยของ Microsoft เผยแพร่ วิเคราะห์ย้อนหลัง เวอร์ชัน 7.9.2 ของแอป Android ของ SHEIN ตั้งแต่ต้นปี 2022

แม้ว่าแอปเวอร์ชันนั้นจะได้รับการอัปเดตหลายครั้งตั้งแต่ Microsoft รายงานพฤติกรรมที่น่าสงสัย และแม้ว่าตอนนี้ Google ได้เพิ่มการบรรเทาลงใน Android แล้ว (ดูด้านล่าง) เพื่อช่วยให้คุณสังเกตเห็นแอปที่พยายามหลีกหนีจากเล่ห์เหลี่ยมของ SHEIN...

…เรื่องราวนี้เป็นเครื่องเตือนใจว่าแม้แต่แอปที่ “ตรวจสอบและอนุมัติ” ใน Google Play ก็อาจทำงานในลักษณะที่คดโกงซึ่งบ่อนทำลายความเป็นส่วนตัวและความปลอดภัยของคุณ เช่น ในกรณีของแอปเหล่านั้น แอป "Authenticator" อันธพาล เราเขียนเมื่อประมาณสองสัปดาห์ก่อน

---

---

นักวิจัยของ Microsoft ไม่ได้บอกว่าสิ่งใดที่ทำให้พวกเขาสนใจแอป SHEIN นี้เป็นพิเศษ

เท่าที่เราทราบ พวกเขาอาจเพียงแค่เลือกตัวอย่างแอปที่มีจำนวนการดาวน์โหลดสูงและค้นหาโค้ดที่ถอดรหัสแล้วโดยอัตโนมัติสำหรับการเรียกใช้ฟังก์ชันระบบที่น่าสนใจหรือไม่คาดคิด เพื่อสร้างรายการสั้นๆ ของเป้าหมายที่น่าสนใจ

ในคำพูดของนักวิจัย:

ขั้นแรก เราทำการวิเคราะห์แบบคงที่ของแอปเพื่อระบุรหัสที่เกี่ยวข้องซึ่งรับผิดชอบต่อพฤติกรรมดังกล่าว จากนั้นเราทำการวิเคราะห์แบบไดนามิกโดยเรียกใช้แอปในสภาพแวดล้อมที่มีเครื่องมือวัดเพื่อสังเกตโค้ด รวมถึงวิธีที่แอปอ่านคลิปบอร์ดและส่งเนื้อหาไปยังเซิร์ฟเวอร์ระยะไกล

แอปของ SHEIN ถูกกำหนดให้มีการดาวน์โหลดมากกว่า 100 ล้านครั้ง ซึ่งต่ำกว่าแอปที่บินสูงอย่าง Facebook (5B+), Twitter (1B+) และ TikTok (1B+) อย่างยุติธรรม แต่สูงกว่าแอปอื่นๆ ที่เป็นที่รู้จักและใช้กันอย่างแพร่หลาย แอพเช่น Signal (100M+) และ McDonald's (100M+)

ขุดลงไปในรหัส

แอพนี้มีขนาดใหญ่มาก โดยมีน้ำหนักถึง 93 MBytes ในรูปแบบ APK (ไฟล์ APK ย่อมาจาก แพ็คเกจ Androidโดยพื้นฐานแล้วเป็นไฟล์บีบอัด ZIP) และ 194 เมกะไบต์เมื่อคลายแพ็กและแตกไฟล์

ประกอบด้วยรหัสห้องสมุดจำนวนมากในชุดของแพ็คเกจที่มีชื่อระดับบนสุดของ com.zzkko (ZZKKO เป็นชื่อเดิมของ SHEIN) รวมถึงชุดของรูทีนยูทิลิตี้ในแพ็คเกจที่เรียกว่า com.zzkko.base.util.

ยูทิลิตีพื้นฐานเหล่านั้นรวมถึงฟังก์ชันที่เรียกว่า PhoneUtil.getClipboardTxt() ที่จะคว้าคลิปบอร์ดโดยใช้เครื่องมือการเข้ารหัสมาตรฐาน Android ที่นำเข้าจาก android.content.ClipboardManager:

การค้นหารหัส SHEIN/ZZKKO สำหรับการเรียกไปยังฟังก์ชันยูทิลิตี้นี้แสดงว่ามีการใช้งานในที่เดียว ซึ่งเป็นแพ็คเกจที่มีชื่อน่าสนใจ com.zzkko.util.­MarketClipboardPhaseLinker:

ตามที่อธิบายไว้ในการวิเคราะห์ของ Microsoft เมื่อเรียกใช้โค้ดนี้ จะอ่านในสิ่งที่เกิดขึ้นในคลิปบอร์ด จากนั้นทดสอบเพื่อดูว่ามีทั้งสองอย่างหรือไม่ :// และ $ตามที่คุณคาดไว้ หากคุณคัดลอกและวางผลการค้นหาที่เกี่ยวข้องกับเว็บไซต์ของผู้อื่นและมีราคาเป็นดอลลาร์:

หากการทดสอบสำเร็จ โค้ดจะเรียกใช้ฟังก์ชันที่คอมไพล์แล้วในแพ็กเกจด้วยชื่อที่จินตนาการไม่ออก (และน่าจะสร้างขึ้นโดยอัตโนมัติ) k()ส่งสำเนาของข้อความที่สอดแนมเป็นพารามิเตอร์:

อย่างที่คุณเห็น แม้ว่าคุณจะไม่ใช่โปรแกรมเมอร์ ฟังก์ชันที่ไม่น่าสนใจนั้น k() แพ็คเกจข้อมูลคลิปบอร์ดที่ดมกลิ่นออกเป็นไฟล์ POST คำขอซึ่งเป็นการเชื่อมต่อ HTTP ประเภทพิเศษที่บอกเซิร์ฟเวอร์ว่า "นี่ไม่ใช่คำขอ GET แบบดั้งเดิมที่ฉันขอให้คุณส่งบางอย่างให้ฉัน แต่เป็นคำขออัปโหลดที่ฉันส่งข้อมูลให้คุณ"

พื้นที่ POST คำขอในกรณีนี้ถูกอัปโหลดไปยัง URL https://api-service.shein.com/marketing/tinyurl/phraseด้วยเนื้อหา HTTP ที่โดยทั่วไปจะมีลักษณะดังนี้:

 โพสต์ //marketing/tinyurl/phrase โฮสต์: api-service.shein.com . . ประเภทเนื้อหา: application/x-www-form-urlencodedphrase=...เนื้อหาที่เข้ารหัสของพารามิเตอร์ที่ส่งผ่านไปยัง k()...

ดังที่ Microsoft ได้กล่าวไว้ในรายงาน:

แม้ว่าเราจะไม่ทราบถึงเจตนาร้ายใดๆ ของ SHEIN แม้แต่พฤติกรรมที่ดูไม่เป็นมิตรในแอปพลิเคชันก็สามารถถูกโจมตีด้วยเจตนาร้ายได้ ภัยคุกคามที่กำหนดเป้าหมายไปที่คลิปบอร์ดอาจทำให้ข้อมูลที่คัดลอกและวางมีความเสี่ยงที่จะถูกขโมยหรือแก้ไขโดยผู้โจมตี เช่น รหัสผ่าน รายละเอียดทางการเงิน ข้อมูลส่วนบุคคล ที่อยู่กระเป๋าเงินดิจิตอล และข้อมูลละเอียดอ่อนอื่นๆ

เครื่องหมายดอลลาร์ในคลิปบอร์ดของคุณไม่ได้แสดงถึงการค้นหาราคาอย่างสม่ำเสมอ ไม่น้อยเพราะประเทศส่วนใหญ่ในโลกมีสกุลเงินที่ใช้สัญลักษณ์ที่แตกต่างกัน ดังนั้นข้อมูลส่วนบุคคลที่หลากหลายอาจถูกดูดออกไปด้วยวิธีนี้...

…แต่แม้ว่าข้อมูลที่จับได้จะมาจากการค้นหาที่ไร้เดียงสาและไม่สำคัญจริง ๆ ซึ่งคุณทำที่อื่น มันก็ยังไม่ใช่ธุระของใครนอกจากคุณ

โดยทั่วไป การเข้ารหัส URL จะใช้เมื่อคุณต้องการส่ง URL เป็นข้อมูล ดังนั้นจึงไม่สามารถปนกับ URL "สด" ที่ควรจะเข้าชม และเพื่อไม่ให้มีอักขระที่ผิดกฎหมาย ตัวอย่างเช่น ไม่อนุญาตให้เว้นวรรคใน URL ดังนั้นจึงแปลงเป็นข้อมูล URL %20โดยที่เครื่องหมายเปอร์เซ็นต์หมายถึง "ไบต์พิเศษที่ตามหลังด้วยอักขระเลขฐานสิบหกสองตัว" และ 20 เป็นรหัส ASCII เลขฐานสิบหกสำหรับช่องว่าง (32 ในทศนิยม) ในทำนองเดียวกันลำดับพิเศษเช่น :// จะแปลเป็น %3A%2F%2Fเนื่องจากทวิภาคคือ ASCII 0x3A (58 ในทศนิยม) และเครื่องหมายทับคือ 0x2F (47 ในทศนิยม) เครื่องหมายดอลลาร์ออกมาเป็น %24 (36 ในทศนิยม)

จะทำอย่างไร?

จากข้อมูลของ Microsoft การตอบสนองของ Google ต่อพฤติกรรมประเภทนี้ในแอปที่น่าเชื่อถือ ซึ่งคุณอาจคิดว่าเป็น

สันนิษฐานว่า การทำให้สิทธิ์การเข้าถึงคลิปบอร์ดเข้มงวดมากขึ้นและเข้มงวดมากขึ้นน่าจะเป็นทางออกที่ดีกว่าในทางทฤษฎี เช่นเดียวกับการตรวจสอบแอป Play Store ที่เข้มงวดมากขึ้น แต่เราสันนิษฐานว่าการตอบสนองเหล่านี้ถือว่าล่วงล้ำเกินไปในทางปฏิบัติ

พูดง่ายๆ ก็คือ ยิ่งคุณมี Android เวอร์ชันล่าสุด (หรือสามารถอัปเกรดเป็นได้) ยิ่งมีการจัดการคลิปบอร์ดอย่างเข้มงวดมากขึ้น

เห็นได้ชัดว่าใน Android 10 และใหม่กว่า แอปไม่สามารถอ่านคลิปบอร์ดได้เลย เว้นแต่ว่าแอปจะทำงานอยู่ในเบื้องหน้า

เป็นที่ยอมรับว่าสิ่งนี้ไม่ได้ช่วยอะไรมากนัก แต่มันจะหยุดแอพที่คุณไม่ได้ใช้งานและบางทีอาจถูกลืมจากการสอดแนมการคัดลอกและวางตลอดเวลา

Android 12 และใหม่กว่าจะแสดงข้อความเตือนว่า "วางแอป XYZ จากคลิปบอร์ดของคุณ" แต่ดูเหมือนว่าคำเตือนนี้จะปรากฏเฉพาะในครั้งแรกที่เกิดขึ้นกับแอปใดๆ (ซึ่งอาจเกิดขึ้นเมื่อคุณคาดไว้) ไม่ใช่ในคลิปบอร์ดที่ตามมา (เมื่อคุณไม่ได้).

และ Android 13 จะล้างคลิปบอร์ดโดยอัตโนมัติทุก ๆ ครั้ง (เราไม่แน่ใจว่าจริง ๆ แล้วบ่อยแค่ไหน) เพื่อหยุดข้อมูลที่คุณอาจลืมเกี่ยวกับการโกหกไปเรื่อย ๆ

เนื่องจากเห็นได้ชัดว่า Google ไม่ได้ตั้งใจที่จะควบคุมการเข้าถึงคลิปบอร์ดอย่างเข้มงวดอย่างที่คุณคาดหวัง เราจะทำซ้ำคำแนะนำของ Microsoft ที่นี่ ซึ่งดำเนินไปตามแนว "ถ้าคุณเห็นบางอย่าง พูดอะไรบางอย่าง... และลงคะแนนด้วยเท้าของคุณ หรือ อย่างน้อยนิ้วของคุณ”:

พิจารณาลบแอปพลิเคชันที่มีลักษณะการทำงานที่ไม่คาดคิด เช่น การเข้าถึงคลิปบอร์ด […] การแจ้งเตือน และรายงานพฤติกรรมดังกล่าวไปยังผู้จำหน่ายหรือผู้ดำเนินการร้านแอป

หากคุณมีอุปกรณ์เคลื่อนที่ของบริษัทจำนวนมาก และคุณยังไม่ได้ใช้รูปแบบการจัดการอุปกรณ์เคลื่อนที่และการป้องกันมัลแวร์บางรูปแบบ ทำไมไม่ลองดูที่ สิ่งที่นำเสนอในขณะนี้?

---

---

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
• ที่มา: https://nakedsecurity.sophos.com/2023/03/10/shein-shopping-app-goes-rogue-grabs-price-and-url-data-from-your-clipboard/