流氓软件 CIBN,板子被强制安装 CIBN 应用

2015-10-19 20:26:48 +08:00
 zhouqian
公司安卓板子,类似于广告机,批量出去之后,有用户投诉被安装 CIBN ,刚开始以为板子厂商留了后门,但是,后来发现我们不同的厂商的板子出去之后,个别板子都被强制安装了 CIBN 。经过跟厂商反复确认,不是后门问题。他们通过 root 权限安装上去的,因为我们已经限制了正常模式安装。 root 权限是因为我们开发的应用也有用到所以一直放开的。

板子,用户肯定没有操作,也没有下载东西,就一直放再那里,莫名奇妙的就安装了 CIBN ,跟牛皮癣一样。

在此,问一下,有没有人遇到相似的情况。和解决方法?

难道是宽带劫持什么的?
实在是没什么头绪, log 日志又不是那么容易抓取到。
11230 次点击
所在节点    Android
14 条回复
zhouqian
2015-10-19 20:33:09 +08:00
获取到的部分 log 信息

10-19 19:14:49.244: W/ActivityManager(2412): No content provider found for permission revoke: file:///data/local/tmp/TVAssistantServer_1.1_101000_201510101638.apk
10-19 19:14:49.244: W/ActivityManager(2412): No content provider found for permission revoke: file:///data/local/tmp/TVAssistantServer_1.1_101000_201510101638.apk

10-19 20:21:37.524: I/ActivityManager(2412): START u0 {cmp=com.cibn.tv/com.youku.player.YoukuTVNewPlayerActivity (has extras)} from pid 3337
10-19 20:21:41.094: V/MediaPlayerFactory(1379): MediaPlayerFactory::getPlayerType: url = http://127.0.0.1:8191/ykProxy/cGwyLmNwMzEub3R0LmNpYm50di5uZXQvcGxheWxpc3QvbTN1OD90cz0xNDQ1MjU3Mjk5JmtleWZyYW1lPTEmdmlkPVhNVE0yTVRJd09ETTRNQT09JnR5cGU9bXA0Jmd1aWQ9N2I0ZTAxM2Q1MjIyOTkwNjcyNzMyZmM0ZjU0YjAyYWEmdmVyPTEuMy4yJnBpZD0yNTBmMmI3MzA2MTFkMDhmJmN0eXBlPTMwJnNpZD01NDQ1MjU3Mjk5Njc0MzA2OGEyZTgmdG9rZW49MjY3NyZldj0xJm9pcD0zNjczNjc5OTg2JmRpZD03YjRlMDEzZDUyMjI5OTA2NzI3MzJmYzRmNTRiMDJhYSZlcD1yJTJGS203bmJtZjlKdGxQdjlGVyUyRmlqYjlEOHR0blpuMmcwT0g4VE5RMzM2bW1LbHJhNVJ0RlpRbFQ5N3JOdGRKcw/ykpxy.m3u8
10-19 20:21:41.094: I/(1379): setDataSource('http://127.0.0.1:8191/ykProxy/cGwyLmNwMzEub3R0LmNpYm50di5uZXQvcGxheWxpc3QvbTN1OD90cz0xNDQ1MjU3Mjk5JmtleWZyYW1lPTEmdmlkPVhNVE0yTVRJd09ETTRNQT09JnR5cGU9bXA0Jmd1aWQ9N2I0ZTAxM2Q1MjIyOTkwNjcyNzMyZmM0ZjU0YjAyYWEmdmVyPTEuMy4yJnBpZD0yNTBmMmI3MzA2MTFkMDhmJmN0eXBlPTMwJnNpZD01NDQ1MjU3Mjk5Njc0MzA2OGEyZTgmdG9rZW49MjY3NyZldj0xJm9pcD0zNjczNjc5OTg2JmRpZD03YjRlMDEzZDUyMjI5OTA2NzI3MzJmYzRmNTRiMDJhYSZlcD1yJTJGS203bmJtZjlKdGxQdjlGVyUyRmlqYjlEOHR0blpuMmcwT0g4VE5RMzM2bW1LbHJhNVJ0RlpRbFQ5N3JOdGRKcw/ykpxy.m3u8')
10-19 20:21:42.094: I/LiveSession(1379): onConnect 'http://127.0.0.1:8191/ykProxy/cGwyLmNwMzEub3R0LmNpYm50di5uZXQvcGxheWxpc3QvbTN1OD90cz0xNDQ1MjU3Mjk5JmtleWZyYW1lPTEmdmlkPVhNVE0yTVRJd09ETTRNQT09JnR5cGU9bXA0Jmd1aWQ9N2I0ZTAxM2Q1MjIyOTkwNjcyNzMyZmM0ZjU0YjAyYWEmdmVyPTEuMy4yJnBpZD0yNTBmMmI3MzA2MTFkMDhmJmN0eXBlPTMwJnNpZD01NDQ1MjU3Mjk5Njc0MzA2OGEyZTgmdG9rZW49MjY3NyZldj0xJm9pcD0zNjczNjc5OTg2JmRpZD03YjRlMDEzZDUyMjI5OTA2NzI3MzJmYzRmNTRiMDJhYSZlcD1yJTJGS203bmJtZjlKdGxQdjlGVyUyRmlqYjlEOHR0blpuMmcwT0g4VE5RMzM2bW1LbHJhNVJ0RlpRbFQ5N3JOdGRKcw/ykpxy.m3u8'
10-19 20:22:21.724: V/MediaPlayerFactory(1379): MediaPlayerFactory::getPlayerType: url = http://127.0.0.1:8191/ykProxy/cGwyLmNwMzEub3R0LmNpYm50di5uZXQvcGxheWxpc3QvbTN1OD90cz0xNDQ1MjU3MzQwJmtleWZyYW1lPTEmdmlkPVhNVE0yTVRJeE5qZ3pNZz09JnR5cGU9bXA0Jmd1aWQ9N2I0ZTAxM2Q1MjIyOTkwNjcyNzMyZmM0ZjU0YjAyYWEmdmVyPTEuMy4yJnBpZD0yNTBmMmI3MzA2MTFkMDhmJmN0eXBlPTMwJnNpZD0zNDQ1MjU3MzQwNjIyMzBiYmExZDYmdG9rZW49MTI1NiZldj0xJm9pcD0yMDcxNzc3NjM0JmRpZD03YjRlMDEzZDUyMjI5OTA2NzI3MzJmYzRmNTRiMDJhYSZlcD1RQUNYblAyV21KaVJMZ1YwU1NsUnBaVVRqcnh4UzJTeTE1UlhXTjE2ZWlncW53dno1QkJraVZMRzJTcEpJJTJCYVo/ykpxy.m3u8
10-19 20:22:21.724: I/(1379): setDataSource('http://127.0.0.1:8191/ykProxy/cGwyLmNwMzEub3R0LmNpYm50di5uZXQvcGxheWxpc3QvbTN1OD90cz0xNDQ1MjU3MzQwJmtleWZyYW1lPTEmdmlkPVhNVE0yTVRJeE5qZ3pNZz09JnR5cGU9bXA0Jmd1aWQ9N2I0ZTAxM2Q1MjIyOTkwNjcyNzMyZmM0ZjU0YjAyYWEmdmVyPTEuMy4yJnBpZD0yNTBmMmI3MzA2MTFkMDhmJmN0eXBlPTMwJnNpZD0zNDQ1MjU3MzQwNjIyMzBiYmExZDYmdG9rZW49MTI1NiZldj0xJm9pcD0yMDcxNzc3NjM0JmRpZD03YjRlMDEzZDUyMjI5OTA2NzI3MzJmYzRmNTRiMDJhYSZlcD1RQUNYblAyV21KaVJMZ1YwU1NsUnBaVVRqcnh4UzJTeTE1UlhXTjE2ZWlncW53dno1QkJraVZMRzJTcEpJJTJCYVo/ykpxy.m3u8')
10-19 20:22:21.724: I/LiveSession(1379): onConnect 'http://127.0.0.1:8191/ykProxy/cGwyLmNwMzEub3R0LmNpYm50di5uZXQvcGxheWxpc3QvbTN1OD90cz0xNDQ1MjU3MzQwJmtleWZyYW1lPTEmdmlkPVhNVE0yTVRJeE5qZ3pNZz09JnR5cGU9bXA0Jmd1aWQ9N2I0ZTAxM2Q1MjIyOTkwNjcyNzMyZmM0ZjU0YjAyYWEmdmVyPTEuMy4yJnBpZD0yNTBmMmI3MzA2MTFkMDhmJmN0eXBlPTMwJnNpZD0zNDQ1MjU3MzQwNjIyMzBiYmExZDYmdG9rZW49MTI1NiZldj0xJm9pcD0yMDcxNzc3NjM0JmRpZD03YjRlMDEzZDUyMjI5OTA2NzI3MzJmYzRmNTRiMDJhYSZlcD1RQUNYblAyV21KaVJMZ1YwU1NsUnBaVVRqcnh4UzJTeTE1UlhXTjE2ZWlncW53dno1QkJraVZMRzJTcEpJJTJCYVo/ykpxy.m3u8'
zhouqian
2015-10-19 20:46:53 +08:00
/t/173569
跟这个情况一样。
march1993
2015-10-19 22:59:58 +08:00
from pid 3337 看下这个什么进程
miclushine
2015-10-19 23:13:37 +08:00
同志你们也是全志开发板吗
zhouqian
2015-10-20 10:46:05 +08:00
@march1993 当我查询的时候,这个进程已经没了。
zhouqian
2015-10-20 10:46:20 +08:00
@miclushine 全志和 RK 都有。
miclushine
2015-10-20 11:08:13 +08:00
我们当时是认为局域网内有 pc 中毒, adb 链接所有设备自动安装这个软件。 windows 的电脑安装了某某手机助手之类的,后来准备排查的时候,反而没再出现这个问题。
zhouqian
2015-10-20 12:36:55 +08:00
@miclushine 原来我们怀疑是 DNS 污染或者 http 劫持引起的,但是仔细考虑这种可能性,感觉不是,因为总要用安装者的。再后来也没什么头绪了。不过你说的这个可行性比我们推断的高多了。感谢。
zhouqian
2015-10-20 13:25:25 +08:00
@miclushine 问题是在其他同事电脑上面出现的,刚才让他杀毒,扫描出来了这个。 https://ooo.0o0.ooo/2015/10/20/5625d059a1869.png
miclushine
2015-10-20 13:46:39 +08:00
可能是这个吧, CIBN 貌似是优酷出的东西,联系到这种公司的尿性,真是呵呵。谷歌搜下有挺多机顶盒设备的用户被自动安装这个东西的。
zhouqian
2015-10-20 14:41:13 +08:00
@miclushine 是,我前一段也看到网上有很多人反应,但是一直没有确切的答案。
zhaohui318
2015-10-23 09:17:42 +08:00
有意思
goldgunner
2016-03-21 12:49:39 +08:00
安卓手机也会出现以上情况是怎么回事呢?
zhouqian
2016-03-21 22:12:07 +08:00
@goldgunner 因为网络调试模式

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/229330

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX