ToTok事件与样本简要分析

 

ToTok是阿联酋的一种手机通讯应用程序,已有数百万台手机下载并安装。

而阿联酋,是一个禁用诸如WhatsApp和Skype之类的聊天APP的国家,因此ToTok的出现引领了一股下载风潮。但据熟悉机密情报评估和对该应用程序及其开发者进行调查的美国官员说,ToTok实际上是一种间谍工具。阿拉伯联合酋长国政府使用它来尝试跟踪将其安装在手机上的人们的每一次对话,动向,关系,约会,声音和图像。

 

事件分析

仅仅几个月前推出的ToTok,中东,欧洲,亚洲,非洲和北美的用户已经从Apple和Google应用商店下载了数百万次。根据应用排名和研究公司App Annie的数据,虽然ToTok的大部分用户都在阿联酋,但上周却迅速成为美国下载量最大的社交应用之一。

ToTok的受欢迎程度已超出阿联酋航空。根据最近的Google Play排名,它是沙特阿拉伯,英国,印度,瑞典和其他国家/地区排名前50位的免费应用程序之一。一些分析家说,它在中东特别受欢迎,因为它至少在表面上与阿联酋无关。

也正因为如此,美国展开了调查。

ToTok相当于网络战对抗中的最新手法,结果显而易见,当一个APP开始流行于各国时,他们便达成了目的。这种方便便捷的“渗透”手法变相进入了家家户户,包括他们感兴趣的外国对手,犯罪和恐怖主义者,新闻工作者和评论家,这些努力已经使全世界人民陷入了他们的监视网络中。

诸如沙特阿拉伯,阿联酋和卡塔尔之类的波斯湾国家以前曾求助于包括以色列和美国承包商在内的私人公司,以攻击竞争对手,并攻击其本国公民。专家说,ToTok的发展表明,政府可以切断中介机构以直接监视其目标,而目标政府可以在不知不觉中自愿交出其信息。

那么问题来了,中介机构是指什么呢?为什么能够发现该APP与阿联酋的关系呢?

一项技术分析和计算机安全专家的采访表明,Breej Holding是ToTok背后的公司,隶属于DarkMatter公司。

而DarkMatter是一家位于阿布扎比的网络智能和黑客公司,阿联酋情报官员,前国家安全局雇员和前者以色列军事情报特工在里面工作。据前雇员和执法人员称,DarkMatter 正在接受联邦调查局的调查,调查可能存在网络犯罪。美国情报评估和技术分析还将ToTok与Pax AI相联系,Pax AI是一家总部位于阿布扎比的数据挖掘公司,似乎与DarkMatter相关。

Pax AI的总部与阿联酋的信号情报机构位于阿布扎比的同一座大楼内,直到最近这家公司还是DarkMatter的总部。

尽管该应用程序是阿联酋政府的工具,但其背后的公司之间的确切关系却模糊不清。Pax的员工由欧洲,亚洲和阿联酋的数据科学家组成,该公司由爱尔兰数据科学家安德鲁·杰克逊(Andrew Jackson)经营,他曾在硅谷公司Palantir工作,该公司与五角大楼和美国间谍机构合作。

其附属公司DarkMatter实际上是阿联酋政府的分支机构。它的行动包括入侵伊朗,卡塔尔和土耳其的政府部门;世界足球组织FIFA的高管;记者和持不同政见者。

上个月,阿联酋政府宣布,DarkMatter将与另外两家公司合并,创建一个专注于抵制网络攻击的国防企业集团。

知情人士说,联邦调查局正在调查DarkMatter的美国员工是否存在网络犯罪。在为该公司工作的前国家安全局黑客越来越关注其活动并与该局联系之后,调查工作愈演愈烈。路透社首先报道了他们从事的项目Raven项目。

在Pax,数据科学家公开称赞他们在LinkedIn上的工作。一位将自己的头衔列为“数据科学团队负责人”的人说,他创建了一个“消息情报平台”,该平台可以读取数十亿条“消息”。

下图为阿联酋阿布扎比的Aldar大楼设有的办公室,阿联酋的信号情报机构和与ToTok关联的数据挖掘公司Pax AI都在这里办公

 

涉事ToTok样本

由于目前,苹果和谷歌都已经将该应用下架,阿联酋居民对他们将无法再使用该应用表示担忧。奇安信威胁情报中心通过公开渠道,获取了一份ToTok最新版样本,并对此进行了简单分析之后发现,该APP确实存在过多的权限获取,用户信息收集以及上传信息行为。

过多权限申请。

对应解释

获取用户数据,并上传至 https://app-measurement.com/a

下图便是获取的用户数据类型,从命名可见收集的如位置信息,系统版本,

测试结果表明,当APP打开后,他便会回传数据

从表面上看,ToTok通过提供准确的天气预报来跟踪用户的位置。每当用户打开应用程序时,它就会以其帮助与朋友联系的方式来寻找新联系人,就像Instagram如何标记Facebook朋友一样。它可以访问用户的麦克风,相机,日历和其他电话数据。甚至它的名字还仿照了中国应用程序TikTok。

尽管被称为“快速而安全”,但ToTok并未使用WhatsApp,Signal或Skype等端到端加密。该应用程序的隐私政策中仅有一条信息:“我们可能会与公司共享您的个人数据。”

 

总结

阿联酋是美国在中东最亲密的盟友之一,被特朗普政府视为抵制伊朗的堡垒,也是反恐伙伴。它的统治家族使该国成为一个现代,温和的阿拉伯国家的典范,但它也一直处于使用监视技术来镇压内部异议的最前沿,包括通过黑客技术入侵西方记者,清空评论家的银行账户以及对人权活动家的Facebook帖子进行长期单独封禁。

该政府封锁了WhatsApp和Skype等应用程序的特定功能,这一事实使ToTok在该国特别有吸引力。

排除外界原因,实践分析表明,该APP确实存在恶意行为操作。而其幕后运营商与阿联酋情报局的关系,以及APP变得愈发流行,用户激增,导致用户的各类行为暴露在国家的监听之下,这也足以证明,在如今万物互联,用户大数据时代,数据为王,无论对外还是对内都是一股利剑,足以傲视群雄。就如前些日子纽约时报报道的隐私项目,其中提及了一份位置追踪文件。信息来自2016年和2017年期间的1200多万美国人的智能手机精确位置,数据涵盖超过500亿个定位信号。

通过分析这些数据,美国很多名人、政要的行踪都被暴露无遗,包括情报人员、五角大楼官员,同时美国总统特朗普的行踪,都可以被精确追踪到。

可想而知,这些数据,必定有很大一部分必定来自这些奇怪来源的APP。

因此,奇安信威胁情报中心在此强调:请尽量安装国产且多人使用的APP,且尽量通过官方渠道下载,对于境外的APP需要保持防备之心,防止不法分子通过数据分析侵犯个人财产造成不可逆转的损失。

 

IOC

https://app-measurement.com/a

 

参考链接:

https://www.nytimes.com/2019/12/22/us/politics/totok-app-uae.html

(完)