微软审核机制存在漏洞 官方应用商店大量恶意软件

  • A+
所属分类:网络安全新闻

微软审核机制存在漏洞 官方应用商店大量恶意软件

安全研究员Lawrence Abrams于近日通过BleepingComputer网站警告称,他在微软官方应用商店Microsoft Store中发现了一款名为“Album by Google Photos”的恶意应用程序。从其命名来看,该恶意应用试图与谷歌公司开发的官方应用“Google Photos”扯上关系,但它实际上是一个广告点击器,会反复打开隐藏在Windows 10中的广告。

不仅仅是在应用程序的命名上,就连其发布者的名称也像极了谷歌——在Microsoft Store页面上,其开发者显示为“Google LLC”。我们首先需要知道的是,“Google Inc”才是谷歌公司在Microsoft Store上的官方发布者。因此,无论是使用“Google LLC”还是其他类似名称发布的应用,都是虚假的谷歌应用。

由于这款应用程序实际上是一个广告点击器,因此用户对它的评价并不是很好。其中还一条评论称其为“100%的虚假应用”,而另一条评论则警告称“它是假的,不要安装”。

下面,我们将深入介绍该广告点击器的工作原理以及其所显示的广告类型。

广告点击器的工作原理

Album by Google Photos是一款PWA应用(渐进式网络应用),可作为Google Photos的前端。但遗憾的是,它捆绑了广告点击器。当它运行时,捆绑的广告点击器将重复连接到远程主机并在后台显示广告,以便为其发布者创造收入。

广告点击器主要由三个文件组成,它们都位于应用程序的安装文件夹中,分别名为Block Craft 3D.dll、Block Craft 3D.exe和Block Craft 3D.xr。

当通过该应用来打开相册时,屏幕上会出现要求用户登录到Google Photos的页面。这是来自谷歌的合法登录页面,虽然研究证实登录并不会造成凭证被窃取,但研究人员仍然建议用户不要通过该应用来登录Google Photos。

在后台,该应用将连接到hxxp://11k.online/Ad/constants/9n0wkj6hpz86.json并下载配置文件。在配置文件(如下所示)中,包含了有关广告的显示频率、广告页面网址等设置。

在读取配置文件之后,该应用将连接到各种广告页面网址并在后台显示它们。通过Fiddler(一个HTTP调试抓包工具),我们可以很清楚地看到每个广告的流量。

对配置文件中的广告网址的测试表明,这些广告涉及各种技术支持诈骗、大量会推送用户并不需要的Chrome扩展程序(如虚假的Java和Flash安装程序)的页面、正在购买流量的博客,以及其他低俗网站。

微软尚未做出任何置评

目前尚不清楚这样的应用程序是如何通过Microsoft的审核机制的,因为就Album by Google Photos而言,它明显冒用了谷歌公司的名义。更重要的是,在其评论中,已经有很多用户明确反馈它是一款恶意应用,但它仍然没有得到微软的处理。

在Lawrence Abrams向BleepingComputer网站共享了他的发现之后,BleepingComputer已经与微软进行了联系,以询问有关审核机制的问题。但截至到Lawrence Abrams的文章发布,BleepingComputer也没有收到微软的回复。

  • 服务器购买微信群
  • 阿里云&腾讯云&国外VPS
  • weinxin
  • 服务器购买QQ群
  • 阿里云&腾讯云&国外VPS
  • weinxin
CE安全网

发表评论

您必须登录才能发表评论!