【图多预警】“install app in silent”。。。真不想鞭尸百度云OS

欢乐小白熊

        事情是这样的，前段时间好基友找到我，跟我说他老丈人的手机会无故多出其他软件，求他眼中的“大神”——我，来帮他看看是怎么回事。
本着基友的事儿就是我的事儿，基友老婆就是我老婆，基友老丈人就是我老丈人的原则，本人决定帮这个忙。

        本着基友的事儿就是我的事儿，基友老婆就是我老婆，基友老丈人就是我老丈人的原则，本人决定帮这个忙。

        打开手机，快速找了一圈。


   



        恩，手机里挺干净啊？恩，陌陌？老爷子还好这个！





        都是正版，没有被修改的盗版软件，没有问题。

         又了解到老爷子除了把私自被安装的软件卸载了之外，再也没卸过其他软件。难道是系统软件有问题？

欢乐小白熊

再看看进程。


这个“系统更新”非常可疑啊！


话不多说，立马开始逆向。

把这个软件包导出，在assets路径下的res.apk和impl两个文件比较可疑。

欢乐小白熊

通过分析排除掉了res.apk，还有一个impl，本身是加密的，再看主代码classes.dex

欢乐小白熊

发现impl文件是软件启动后解密释放并加载的。

经过一系列超级复杂的解密算法后，解密还原了impl文件。（好吧，其实没那么复杂，是dump出来的）



广告！满眼看过去都是广告！

下方高能预警！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！

欢乐小白熊

居然还赤裸裸的写着“install app in silent”！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！

欢乐小白熊

原来这个打着“系统更新”名义的系统预置软件就是胡乱推广的凶手！
那么它是怎么预装到手机系统里的？
查看这个文件的签名，貌似是百度系统的





而在“关于手机”里也显示百度云OS，难道是百度的ROM包预置流氓推广软件？

欢乐小白熊

为了进一步验证这一点，在征得基友的同意后，决定重新刷机。


首先下载百度云OS的刷机客户端，官网：http://os.baidu.com/p/home

客户端安装文件：BaiduCloudROMFlash_2.2.5_setup.exe

下载链接：http://nj.bs.baidu.com/platform- ... ash_2.2.5_setup.exe

md5: fcc13c48121b5c847fdfcd2eb495e139




找到华为C8816机型，选择默认选项下载ROM：
C8816_R_2.3.67.20.zip
MD5：47489154c5ca27297fd00f4818da0449

欢乐小白熊

刷机后显示的系统版本




查看手机内置软件，会发现同样也有“系统更新”。
软件MD5：3498b368601decd1c4ff1dd93a4f2179




导出软件安装包后查看签名，和之前看到的签名一样！再看assets路径下文件，同样也有impl！

如此铁证如山，证明了百度云OS的系统中预置可以进行流氓推广的软件！而且还是百度自己做的！

我和我的小伙伴都惊呆了！

欢乐小白熊

为了进一步确认，本人再次从百度云OS客户端上又随意下载了9个不同手机的ROM，一共有4个ROM包都带有这个“系统更新”，比例高达40%！

欢乐小白熊

就在前几天，百度云OS宣布，因业务调整暂停更新和维护，但据业内人士反映，实际上已经被百度放弃。可当前的情况是，ROM包仍然能够下载，流氓软件仍然会被刷到用户的手机中，请广大刷机爱好者特别注意。同时在此严重鄙视百度，作为一个大公司公然在ROM中预置伪装成系统的流氓软件！






最后用前两天刷机精灵新闻里的一句话送给百度：且行且珍惜！