流氓软件 CIBN,板子被强制安装 CIBN 应用 - V2EX
首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
zhouqian
V2EX    Android

流氓软件 CIBN,板子被强制安装 CIBN 应用

  •  1      
  •   zhouqian 2015-10-19 20:26:48 +08:00 14619 次点击
    这是一个创建于 3728 天前的主题,其中的信息可能已经有所发展或是发生改变。
    公司安卓板子,类似于广告机,批量出去之后,有用户投诉被安装 CIBN ,刚开始以为板子厂商留了后门,但是,后来发现我们不同的厂商的板子出去之后,个别板子都被强制安装了 CIBN 。经过跟厂商反复确认,不是后门问题。他们通过 root 权限安装上去的,因为我们已经限制了正常模式安装。 root 权限是因为我们开发的应用也有用到所以一直放开的。

    板子,用户肯定没有操作,也没有下载东西,就一直放再那里,莫名奇妙的就安装了 CIBN ,跟牛皮癣一样。

    在此,问一下,有没有人遇到相似的情况。和解决方法?

    难道是宽带劫持什么的?
    实在是没什么头绪, log 日志又不是那么容易抓取到。
  • 板子
  • cibn
  • 安装
  • root
    14 条回复    2016-03-21 22:12:07 +08:00
    zhouqian
        1
    zhouqian  
    OP
       2015-10-19 20:33:09 +08:00
    获取到的部分 log 信息

    10-19 19:14:49.244: W/ActivityManager(2412): No content provider found for permission revoke: file:///data/local/tmp/TVAssistantServer_1.1_101000_201510101638.apk
    10-19 19:14:49.244: W/ActivityManager(2412): No content provider found for permission revoke: file:///data/local/tmp/TVAssistantServer_1.1_101000_201510101638.apk

    10-19 20:21:37.524: I/ActivityManager(2412): START u0 {cmp=com.cibn.tv/com.youku.player.YoukuTVNewPlayerActivity (has extras)} from pid 3337
    10-19 20:21:41.094: V/MediaPlayerFactory(1379): MediaPlayerFactory::getPlayerType: url = http://127.0.0.1:8191/ykProxy/cGwyLmNwMzEub3R0LmNpYm50di5uZXQvcGxheWxpc3QvbTN1OD90cz0xNDQ1MjU3Mjk5JmtleWZyYW1lPTEmdmlkPVhNVE0yTVRJd09ETTRNQT09JnR5cGU9bXA0Jmd1aWQ9N2I0ZTAxM2Q1MjIyOTkwNjcyNzMyZmM0ZjU0YjAyYWEmdmVyPTEuMy4yJnBpZD0yNTBmMmI3MzA2MTFkMDhmJmN0eXBlPTMwJnNpZD01NDQ1MjU3Mjk5Njc0MzA2OGEyZTgmdG9rZW49MjY3NyZldj0xJm9pcD0zNjczNjc5OTg2JmRpZD03YjRlMDEzZDUyMjI5OTA2NzI3MzJmYzRmNTRiMDJhYSZlcD1yJTJGS203bmJtZjlKdGxQdjlGVyUyRmlqYjlEOHR0blpuMmcwT0g4VE5RMzM2bW1LbHJhNVJ0RlpRbFQ5N3JOdGRKcw/ykpxy.m3u8
    10-19 20:21:41.094: I/(1379): setDataSource('http://127.0.0.1:8191/ykProxy/cGwyLmNwMzEub3R0LmNpYm50di5uZXQvcGxheWxpc3QvbTN1OD90cz0xNDQ1MjU3Mjk5JmtleWZyYW1lPTEmdmlkPVhNVE0yTVRJd09ETTRNQT09JnR5cGU9bXA0Jmd1aWQ9N2I0ZTAxM2Q1MjIyOTkwNjcyNzMyZmM0ZjU0YjAyYWEmdmVyPTEuMy4yJnBpZD0yNTBmMmI3MzA2MTFkMDhmJmN0eXBlPTMwJnNpZD01NDQ1MjU3Mjk5Njc0MzA2OGEyZTgmdG9rZW49MjY3NyZldj0xJm9pcD0zNjczNjc5OTg2JmRpZD03YjRlMDEzZDUyMjI5OTA2NzI3MzJmYzRmNTRiMDJhYSZlcD1yJTJGS203bmJtZjlKdGxQdjlGVyUyRmlqYjlEOHR0blpuMmcwT0g4VE5RMzM2bW1LbHJhNVJ0RlpRbFQ5N3JOdGRKcw/ykpxy.m3u8')
    10-19 20:21:42.094: I/LiveSession(1379): onConnect 'http://127.0.0.1:8191/ykProxy/cGwyLmNwMzEub3R0LmNpYm50di5uZXQvcGxheWxpc3QvbTN1OD90cz0xNDQ1MjU3Mjk5JmtleWZyYW1lPTEmdmlkPVhNVE0yTVRJd09ETTRNQT09JnR5cGU9bXA0Jmd1aWQ9N2I0ZTAxM2Q1MjIyOTkwNjcyNzMyZmM0ZjU0YjAyYWEmdmVyPTEuMy4yJnBpZD0yNTBmMmI3MzA2MTFkMDhmJmN0eXBlPTMwJnNpZD01NDQ1MjU3Mjk5Njc0MzA2OGEyZTgmdG9rZW49MjY3NyZldj0xJm9pcD0zNjczNjc5OTg2JmRpZD03YjRlMDEzZDUyMjI5OTA2NzI3MzJmYzRmNTRiMDJhYSZlcD1yJTJGS203bmJtZjlKdGxQdjlGVyUyRmlqYjlEOHR0blpuMmcwT0g4VE5RMzM2bW1LbHJhNVJ0RlpRbFQ5N3JOdGRKcw/ykpxy.m3u8'
    10-19 20:22:21.724: V/MediaPlayerFactory(1379): MediaPlayerFactory::getPlayerType: url = http://127.0.0.1:8191/ykProxy/cGwyLmNwMzEub3R0LmNpYm50di5uZXQvcGxheWxpc3QvbTN1OD90cz0xNDQ1MjU3MzQwJmtleWZyYW1lPTEmdmlkPVhNVE0yTVRJeE5qZ3pNZz09JnR5cGU9bXA0Jmd1aWQ9N2I0ZTAxM2Q1MjIyOTkwNjcyNzMyZmM0ZjU0YjAyYWEmdmVyPTEuMy4yJnBpZD0yNTBmMmI3MzA2MTFkMDhmJmN0eXBlPTMwJnNpZD0zNDQ1MjU3MzQwNjIyMzBiYmExZDYmdG9rZW49MTI1NiZldj0xJm9pcD0yMDcxNzc3NjM0JmRpZD03YjRlMDEzZDUyMjI5OTA2NzI3MzJmYzRmNTRiMDJhYSZlcD1RQUNYblAyV21KaVJMZ1YwU1NsUnBaVVRqcnh4UzJTeTE1UlhXTjE2ZWlncW53dno1QkJraVZMRzJTcEpJJTJCYVo/ykpxy.m3u8
    10-19 20:22:21.724: I/(1379): setDataSource('http://127.0.0.1:8191/ykProxy/cGwyLmNwMzEub3R0LmNpYm50di5uZXQvcGxheWxpc3QvbTN1OD90cz0xNDQ1MjU3MzQwJmtleWZyYW1lPTEmdmlkPVhNVE0yTVRJeE5qZ3pNZz09JnR5cGU9bXA0Jmd1aWQ9N2I0ZTAxM2Q1MjIyOTkwNjcyNzMyZmM0ZjU0YjAyYWEmdmVyPTEuMy4yJnBpZD0yNTBmMmI3MzA2MTFkMDhmJmN0eXBlPTMwJnNpZD0zNDQ1MjU3MzQwNjIyMzBiYmExZDYmdG9rZW49MTI1NiZldj0xJm9pcD0yMDcxNzc3NjM0JmRpZD03YjRlMDEzZDUyMjI5OTA2NzI3MzJmYzRmNTRiMDJhYSZlcD1RQUNYblAyV21KaVJMZ1YwU1NsUnBaVVRqcnh4UzJTeTE1UlhXTjE2ZWlncW53dno1QkJraVZMRzJTcEpJJTJCYVo/ykpxy.m3u8')
    10-19 20:22:21.724: I/LiveSession(1379): onConnect 'http://127.0.0.1:8191/ykProxy/cGwyLmNwMzEub3R0LmNpYm50di5uZXQvcGxheWxpc3QvbTN1OD90cz0xNDQ1MjU3MzQwJmtleWZyYW1lPTEmdlkPVhNVE0yTVRJeE5qZ3pNZz09JnR5cGU9bXA0Jmd1aWQ9N2I0ZTAxM2Q1MjIyOTkwNjcyNzMyZmM0ZjU0YjAyYWEmdmVyPTEuMy4yJnBpZD0yNTBmMmI3MzA2MTFkMDhmJmN0eXBlPTMwJnNpZD0zNDQ1MjU3MzQwNjIyMzBiYmExZDYmdG9rZW49MTI1NiZldj0xJm9pcD0yMDcxNzc3NjM0JmRpZD03YjRlMDEzZDUyMjI5OTA2NzI3MzJmYzRmNTRiMDJhYSZlcD1RQUNYblAyV21KaVJMZ1YwU1NsUnBaVVRqcnh4UzJTeTE1UlhXTjE2ZWlncW53dno1QkJraVZMRzJTcEpJJTJCYVo/ykpxy.m3u8'
    zhouqian
        2
    zhouqian  
    OP
       2015-10-19 20:46:53 +08:00
    /t/173569
    跟这个情况一样。
    march1993
        3
    march1993  
       2015-10-19 22:59:58 +08:00
    from pid 3337 看下这个什么进程
    miclushine
        4
    miclushine  
       2015-10-19 23:13:37 +08:00
    同志你们也是全志开发板吗
    zhouqian
        5
    zhouqian  
    OP
       2015-10-20 10:46:05 +08:00
    @march1993 当我查询的时候,这个进程已经没了。
    zhouqian
        6
    zhouqian  
    OP
       2015-10-20 10:46:20 +08:00
    @miclushine 全志和 RK 都有。
    miclushine
        7
    miclushine  
       2015-10-20 11:08:13 +08:00   1
    我们当时是认为局域网内有 pc 中毒, adb 链接所有设备自动安装这个软件。 windows 的电脑安装了某某手机助手之类的,后来准备排查的时候,反而没再出现这个问题。
    zhouqian
        8
    zhouqian  
    OP
       2015-10-20 12:36:55 +08:00 via Android
    @miclushine 原来我们怀疑是 DNS 污染或者 http 劫持引起的,但是仔细考虑这种可能性,感觉不是,因为总要用安装者的。再后来也没什么头绪了。不过你说的这个行性比我们推断的高多了。感谢。
    zhouqian
        9
    zhouqian  
    OP
       2015-10-20 13:25:25 +08:00
    @miclushine 问题是在其他同事电脑上面出现的,刚才让他杀毒,扫描出来了这个。 https://ooo.0o0.ooo/2015/10/20/5625d059a1869.png
    miclushine
        10
    miclushine  
       2015-10-20 13:46:39 +08:00   1
    可能是这个吧, CIBN 貌似是优酷出的东西,联系到这种公司的尿性,真是呵呵。谷歌搜下有挺多机顶盒设备的用户被自动安装这个东西的。
    zhouqian
        11
    zhouqian  
    OP
       2015-10-20 14:41:13 +08:00
    @miclushine 是,我前一段也看到网上有很多人反应,但是一直没有确切的答案。
    zhaohui318
        12
    zhaohui318  
       2015-10-23 09:17:42 +08:00
    有意思
    goldgunner
        13
    goldgunner  
       2016-03-21 12:49:39 +08:00 via Android
    安卓手机也会出现以上情况是怎么回事呢?
    zhouqian
        14
    zhouqian  
    OP
       2016-03-21 22:12:07 +08:00
    @goldgunner 因为网络调试模式
    关于     帮助文档     自助推广系统     博客     API     FAQ     Solana     905 人在线   最高记录 6679       Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 26ms UTC 18:38 PVG 02:38 LAX 10:38 JFK 13:38
    Do have faith in what you're doing.
    ubao msn snddm index pchome yahoo rakuten mypaper meadowduck bidyahoo youbao zxmzxm asda bnvcg cvbfg dfscv mmhjk xxddc yybgb zznbn ccubao uaitu acv GXCV ET GDG YH FG BCVB FJFH CBRE CBC GDG ET54 WRWR RWER WREW WRWER RWER SDG EW SF DSFSF fbbs ubao fhd dfg ewr dg df ewwr ewwr et ruyut utut dfg fgd gdfgt etg dfgt dfgd ert4 gd fgg wr 235 wer3 we vsdf sdf gdf ert xcv sdf rwer hfd dfg cvb rwf afb dfh jgh bmn lgh rty gfds cxv xcv xcs vdas fdf fgd cv sdf tert sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf shasha9178 shasha9178 shasha9178 shasha9178 shasha9178 liflif2 liflif2 liflif2 liflif2 liflif2 liblib3 liblib3 liblib3 liblib3 liblib3 zhazha444 zhazha444 zhazha444 zhazha444 zhazha444 dende5 dende denden denden2 denden21 fenfen9 fenf619 fen619 fenfe9 fe619 sdf sdf sdf sdf sdf zhazh90 zhazh0 zhaa50 zha90 zh590 zho zhoz zhozh zhozho zhozho2 lislis lls95 lili95 lils5 liss9 sdf0ty987 sdft876 sdft9876 sdf09876 sd0t9876 sdf0ty98 sdf0976 sdf0ty986 sdf0ty96 sdf0t76 sdf0876 df0ty98 sf0t876 sd0ty76 sdy76 sdf76 sdf0t76 sdf0ty9 sdf0ty98 sdf0ty987 sdf0ty98 sdf6676 sdf876 sd876 sd876 sdf6 sdf6 sdf9876 sdf0t sdf06 sdf0ty9776 sdf0ty9776 sdf0ty76 sdf8876 sdf0t sd6 sdf06 s688876 sd688 sdf86