文章來源:安全客
原文鏈接:在被窩就能打卡?虛擬定位「神器」了解一下 - 安全客,安全資訊平台
最近天氣遲遲不轉晴,導致我和被子的感情越來越深,看看上個月的考勤表:
上班20天,遲到18天,事假2天
這到底是誰給我的勇氣???
就在這時,妮美說要救我於水火之中,給我推薦了一則廣告……
作為一個每天抵抗「被內外巨大溫差」的起床困難戶,不停在遲到邊緣瘋狂試探,看到這則廣告彷彿看到了救星…
廣告里介紹了一系列超神的牛X功能應用:
虛擬定位考勤打卡微信實時共享位置微信朋友圈代購平台直播改定位吸粉娛樂遊戲改位置……
虛擬定位考勤打卡
而想要擁有這個神器的不止我一人。首先勞苦的廣大上班族對此就有極大的需求量,躺在被窩就能打卡成功,想想都有點激動啊。
許多面對領導查崗、老婆查崗的人,也似乎非常想要這款產品…
於是,順著廣告信息,我聯繫上一位售賣相關產品的客服小王。
據她介紹,這個產品主要分為安卓和iOS兩個系統,根據機型不同價格也不等。安卓的價格在60-200元左右,比如小米機型購買相關軟體就是88元永久包售後,而蘋果相關軟體就是489元一年,或者包月買90元一個月。
下載之後測試了一下,不僅可以修改定位,還可以模擬行為路徑。看來這不光能打卡,雲健身甚至都行啊!
上能遠程定位打卡,下能微信分享位置防查崗,看來這個「虛擬定位」還是很強大的。那背後的技術操作成本高嗎?
我們首先看看正常的定位原理是什麼樣的:
GPS 定位基站定位WI-FI定位
GPS 定位
通過系統->定位模塊->應用->構造數據->發送網路請求確定位置,而黑產實現修改虛擬定位也是在這幾個環節篡改上層代碼來操作的。
所謂的「虛擬定位」在安卓系統中主要分為root和未root兩種情況,在iOS系統中分為越獄和未越獄。
1.root和已越獄,相當於已經獲取系統最高許可權,可以直接修改」系統->定位模塊」, 或者」定位模塊->應用->構造數據->發送網路請求」環節上的代碼。
2.免root和免越獄都是在未獲取最高許可權的情況下, 可以修改」定位模塊->應用->構造數據->發送網路請求」這個環節上的數據或者代碼, 以創造虛假的位置信息被提交。
簡單來說,就是無論什麼系統、是否root、越獄,都可以通過一定方式攔截GPS定位、WI-FI、基站進行模擬返回,從而達到偷梁換柱的效果。之後類似打卡軟體等第三方應用獲取的數據就是模擬位置的定位數據。
那麼問題來了,成功修改定位之後,是否就萬事大吉了呢?並不是。如今類似釘釘、企業微信等考勤打卡軟體針對虛擬定位等作弊軟體作出許多監測、防禦手段。
· 結合人工智慧,推出類似「笑臉打卡」等功能;· 對於異常軟體、賬號進行監測,對惡意軟體、分身代打卡等行為檢測處理;· 針對黑產修改定位過程中獲取開發者許可權,釘釘採取檢測「是否打開開發者許可權」,此項舉措對於市面上70%的虛擬定位軟體可以實現防禦。
· 結合人工智慧,推出類似「笑臉打卡」等功能;
個人的遠程打卡、躲避查崗、朋友圈裝X都只是小打小鬧,但是後面黑產也盯上了。
首先就是販賣相關軟體,在微博上、微信上、知乎上、技術論壇上,搜索相關關鍵詞隨處可見黑灰產的引流廣告。
其次,出現了不少打車軟體司機藉此刷單的行為。類似「司機助手」之類的軟體,完全包含正常打車軟體的全部功能,並且完全一致。在此基礎上還可以進行「設置虛擬位置」、「接單、拒單」、「乘客篩選」三大功能,並可以詳細設置參數,達到改變接單地點、拒絕接單、乘客篩選的目的。
無論是製作相關軟體還是販賣、傳播都已經屬於違法行為。就在2019年2月26日,一則關於「團隊破解考勤APP加虛擬定位獲刑」,一個小的作案團伙半年售出產品就有2646個,一年盈利超過百萬。最終以涉嫌「提供侵入、非法控制計算機信息系統程序、工具罪」被逮捕。
不僅如此,重重暴利背後,還隱藏著不少風險:
工作風險,當你在車上焦急的使用虛擬定位打卡成功時,很可能在後台hr已經穿過屏幕watching you…
影響家庭幸福風險,小心你剛剛給老婆發的公司位置假定位,老婆就通過安裝在你車上的定位軟體知道你去浪了(微笑臉)。
人設崩塌風險,如果你在朋友圈通過虛擬定位營造出一個每天全球浪的人設,那麼打臉的時候可能會很疼…
隱私泄漏風險,無論是修改定位過程中獲取開發者許可權、還是讀取手機信息,都存在巨大隱患。
病毒風險,這些虛擬定位的軟體大多是未經應用商店審核的產品,用戶下載過程中,通過也不會理會」風險未知「的提醒,一旦出現惡意病毒,就會面臨信息、財產安全等更多危險。
….
所以總的來說,我們是非常不推薦開發、使用、傳播相關軟體的。(我是不會告訴你後台回復「打卡」會有驚喜的…)
推薦閱讀: