freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

在被窝就能打卡?虚拟定位“神器”了解一下
2019-03-17 08:30:18

最近天气迟迟不转晴,导致我和被子的感情越来越深,看看上个月的考勤表:上班20天,迟到18天,事假2天

这到底是谁给我的勇气???

就在这时,妮美说要救我于水火之中,给我推荐了一则广告......

远程打卡神器

作为一个每天抵抗“被内外巨大温差”的起床困难户,不停在迟到边缘疯狂试探,看到这则广告仿佛看到了救星...

广告里介绍了一系列超神的牛X功能应用:

虚拟定位考勤打卡

微信实时共享位置

微信朋友圈代购

平台直播改定位吸粉

娱乐游戏改位置

......

3.png

而想要拥有这个神器的不止我一人。首先劳苦的广大上班族对此就有极大的需求量,躺在被窝就能打卡成功,想想都有点激动啊。

4.png

许多面对领导查岗、老婆查岗的人,也似乎非常想要这款产品...

5.png

于是,顺着广告信息,我联系上一位售卖相关产品的客服小王。

据她介绍,这个产品主要分为安卓和iOS两个系统,根据机型不同价格也不等。安卓的价格在60-200元左右,比如小米机型购买相关软件就是88元永久包售后,而苹果相关软件就是489元一年,或者包月买90元一个月。

6.png

下载之后测试了一下,不仅可以修改定位,还可以模拟行为路径。看来这不光能打卡,云健身甚至都行啊!

虚拟定位改机

上能远程定位打卡,下能微信分享位置防查岗,看来这个“虚拟定位”还是很强大的。那背后的技术操作成本高吗?

我们首先看看正常的定位原理是什么样的:

GPS 定位

基站定位

WI-FI定位

通过系统->定位模块->应用->构造数据->发送网络请求确定位置,而黑产实现修改虚拟定位也是在这几个环节篡改上层代码来操作的。

7.png

所谓的“虚拟定位”在安卓系统中主要分为root和未root两种情况,在iOS系统中分为越狱和未越狱。

root和已越狱,相当于已经获取系统最高权限,可以直接修改"系统->定位模块", 或者"定位模块->应用->构造数据->发送网络请求"环节上的代码。

免root和免越狱都是在未获取最高权限的情况下, 可以修改"定位模块->应用->构造数据->发送网络请求"这个环节上的数据或者代码, 以创造虚假的位置信息被提交。

简单来说,就是无论什么系统、是否root、越狱,都可以通过一定方式拦截GPS定位、WI-FI、基站进行模拟返回,从而达到偷梁换柱的效果。之后类似打卡软件等第三方应用获取的数据就是模拟位置的定位数据。

8.png

那么问题来了,成功修改定位之后,是否就万事大吉了呢?

并不是。如今类似钉钉、企业微信等考勤打卡软件针对虚拟定位等作弊软件作出许多监测、防御手段。

结合人工智能,推出类似“笑脸打卡”等功能;

对于异常软件、账号进行监测,对恶意软件、分身代打卡等行为检测处理;

针对黑产修改定位过程中获取开发者权限,钉钉采取检测“是否打开开发者权限”,此项举措对于市面上70%的虚拟定位软件可以实现防御。

9.png

图片来自知乎

神器背后的黑产营生

个人的远程打卡、躲避查岗、朋友圈装X都只是小打小闹,但是后面黑产也盯上了。

首先就是贩卖相关软件,在微博上、微信上、知乎上、技术论坛上,搜索相关关键词随处可见黑灰产的引流广告。

其次,出现了不少打车软件司机借此刷单的行为。类似“司机助手”之类的软件,完全包含正常打车软件的全部功能,并且完全一致。在此基础上还可以进行“设置虚拟位置”、“接单、拒单”、“乘客筛选”三大功能,并可以详细设置参数,达到改变接单地点、拒绝接单、乘客筛选的目的。

12.png

无论是制作相关软件还是贩卖、传播都已经属于违法行为。就在2019年2月26日,一则关于“团队破解考勤APP加虚拟定位获刑”,一个小的作案团伙半年售出产品就有2646个,一年盈利超过百万。最终以涉嫌“提供侵入、非法控制计算机信息系统程序、工具罪”被逮捕。

13.png

不仅如此,重重暴利背后,还隐藏着不少风险:

工作风险,当你在车上焦急的使用虚拟定位打卡成功时,很可能在后台hr已经穿过屏幕watching you...

影响家庭幸福风险,小心你刚刚给老婆发的公司位置假定位,老婆就通过安装在你车上的定位软件知道你去浪了(微笑脸)。

人设崩塌风险,如果你在朋友圈通过虚拟定位营造出一个每天全球浪的人设,那么打脸的时候可能会很疼...

隐私泄漏风险,无论是修改定位过程中获取开发者权限、还是读取手机信息,都存在巨大隐患。

病毒风险,这些虚拟定位的软件大多是未经应用商店审核的产品,用户下载过程中,通过也不会理会”风险未知“的提醒,一旦出现恶意病毒,就会面临信息、财产安全等更多危险。

....

所以总的来说,我们是非常不推荐开发、使用、传播相关软件的。

*本文作者:GEETEST极验,转载请注明来自FreeBuf.COM

# 黑产 # 虚拟定位
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者