أمازون لا تزال تبيع T95 TV Box مع البرامج الضارة المثبتة مسبقًا
قبل بضعة أسابيع ، أبلغ موقع Hackread.com عن جهاز Android TV Box مصاب بالبرامج الضارة والمتوفر على Amazon: T95 TV box. احتوى الصندوق على برامج ضارة مثبتة مسبقًا ، اكتشفها المطور الكندي ومستشار أنظمة الأمان ، دانيال ميليسيك.
الآن يظهر مربع التلفزيون نفسه في الأخبار مرة أخرى ، والشخص الذي حدد التهديدات الأمنية هو الباحث في البرامج الضارة للجوال Malwarebytes Nathan Collier. لقد اشترى هذا الجهاز من أمازون لمزيد من التحقيق وأدرك على الفور أن هناك شيئًا ما معطلاً عن صندوق التلفزيون هذا. اكتشف كوليير أنه بغض النظر عما إذا كان مفتاح التبديل قيد التشغيل أو الإيقاف ، فإن الصندوق كان متجذرًا.
ما هو التجذير؟
لمعلوماتك ، في جهاز Android ، يشير التجذير إلى الحصول على أعلى مستوى من الوصول ، ويعرف أيضًا باسم الجذر. يسمح للمستخدم بتعديل الدلائل والملفات على مستوى النظام ، وهو أمر غير ممكن بخلاف ذلك.
يطلب المطورون هذا الوصول المعزز لاختبار الجهاز في مرحلة ما قبل الإنتاج. ومع ذلك ، تجدر الإشارة إلى أن أجهزة Android ليست متجذرة أثناء الإنتاج. إذا تم تشغيل جذر الأمر adb ( Android Debug Bridge ) على جهاز Android قيد الإنتاج ، فسيعرض الخطأ "لا يمكن تشغيل adb."
على العكس من ذلك ، على جهاز جذر ، تظهر الرسالة على أنها "إعادة التشغيل كجذر" أو "adb قيد التشغيل بالفعل كجذر".
الأدوات المستخدمة في البحث
أجرى كوليير بحثه على Android TV box باستخدام عدد قليل من الأدوات ، بما في ذلك Android Debug Bridge من Android Studio ، ومراقبة حركة مرور الإنترنت Telerik Fiddler Classic مع إمكانات التقاط HTTPS استثنائية ، وتطبيق NoRoot Firewall الذي يسمح أو يرفض حركة مرور الشبكة وفقًا لمتطلبات التطبيق ، وأداة سطر الأوامر LogCat.
إجراء البحث على TV95 TV Box
افترض كوليير أن DGBLuancher كان مسؤولاً عن تحميل APK وتشغيل فئات Corejava. لإثبات هذه الفرضية ، قام Collier بإلغاء تثبيت DGBLuancher واحتفظ بـ Corejava class.dex. توقفت حركة المرور الخبيثة على الفور بدون تشغيل DGBLuancher و Ergo و Corejava class.dex.
أعاد كولير بعد ذلك تثبيت DGBLuancher ، وهذه المرة أزال Corejava class.dex أيضًا ، ولكن مرة أخرى توقفت حركة المرور الخبيثة ، ولم يتم إنتاج أي حركة مرور جديدة. هذا يعني حركة المرور المطلوبة Corejava class.dex ليتم إنتاجها. ومن ثم ، خلص كوليير إلى أن DGBLuancher هو فئات تحميل APK Corejava.
في وقت لاحق ، حذف Collier Corejava class.dex من / data / system / Corejava ، لكنه ظهر مرة أخرى فور إعادة التشغيل وعندما تم إلغاء تثبيت Corejava class.dex ، توقف DGBLuancher عن الظهور مرة أخرى. عزز هذا الفرضية القائلة بأن DGBLuancher كان الجاني لأنه أنشأ Corejava class.dex.
الآن كان عليه أن يكتشف سبب ظهور class.dex لـ Corejva مرة أخرى. علم كوليير أن system_server نفذ أوامر في الخلفية أكثر من مجرد إنشاء / بيانات / نظام / Corejava. استخدم DGBLuancher system_server لإنشاء Corejava class.dex ، لذلك لم يكن المذنب هو القناة. لم يتمكن كولير من تحديد سبب ظهور Class.dex Corejava.
كيف تصلح المشكلة؟
في منشور مدونة ، يوصي Collier بإعادة ضبط المصنع قبل المتابعة لإصلاح المشكلة. ستؤدي إعادة تعيين إعدادات المصنع إلى إزالة البرامج الضارة التي ربما تم تنزيلها خلال هذا الوقت. بعد ذلك ، تجنب توصيل الصندوق بشبكة حتى تقوم بتثبيت adb على بيئة Linux أو Windows أو Mac وتضع المربع في وضع المطور.
قم بتشغيل وضع جهاز USB0 لتثبيت adb. قم بتوصيل جهاز الكمبيوتر الخاص بك بالمربع ، وافتح محطة مثل موجه الأوامر على جهاز الكمبيوتر ، واكتب: أجهزة adb ، والتي ستعرض رقم معرف وقائمة بالأجهزة المرفقة. الآن يمكنك إزالة DGBLuancher. تحقق من مدونة Nathan Collier على Malwarebytes للحصول على عملية معالجة مفصلة.
