流氓软件 CIBN，板子被强制安装 CIBN 应用

This topic created in 3859 days ago, the information mentioned may be changed or developed.

公司安卓板子，类似于广告机，批量出去之后，有用户投诉被安装 CIBN ，刚开始以为板子厂商留了后门，但是，后来发现我们不同的厂商的板子出去之后，个别板子都被强制安装了 CIBN 。经过跟厂商反复确认，不是后门问题。他们通过 root 权限安装上去的，因为我们已经限制了正常模式安装。 root 权限是因为我们开发的应用也有用到所以一直放开的。

板子，用户肯定没有操作，也没有下载东西，就一直放再那里，莫名奇妙的就安装了 CIBN ，跟牛皮癣一样。

在此，问一下，有没有人遇到相似的情况。和解决方法？

难道是宽带劫持什么的？
实在是没什么头绪， log 日志又不是那么容易抓取到。

板子

cibn

安装

root

14 replies • 2016-03-21 22:12:07 +08:00

zhouqian

Oct 19, 2015

获取到的部分 log 信息

10-19 19:14:49.244: W/ActivityManager(2412): No content provider found for permission revoke: file:///data/local/tmp/TVAssistantServer_1.1_101000_201510101638.apk
10-19 19:14:49.244: W/ActivityManager(2412): No content provider found for permission revoke: file:///data/local/tmp/TVAssistantServer_1.1_101000_201510101638.apk

10-19 20:21:37.524: I/ActivityManager(2412): START u0 {cmp=com.cibn.tv/com.youku.player.YoukuTVNewPlayerActivity (has extras)} from pid 3337
10-19 20:21:41.094: V/MediaPlayerFactory(1379): MediaPlayerFactory::getPlayerType: url = http://127.0.0.1:8191/ykProxy/cGwyLmNwMzEub3R0LmNpYm50di5uZXQvcGxheWxpc3QvbTN1OD90cz0xNDQ1MjU3Mjk5JmtleWZyYW1lPTEmdmlkPVhNVE0yTVRJd09ETTRNQT09JnR5cGU9bXA0Jmd1aWQ9N2I0ZTAxM2Q1MjIyOTkwNjcyNzMyZmM0ZjU0YjAyYWEmdmVyPTEuMy4yJnBpZD0yNTBmMmI3MzA2MTFkMDhmJmN0eXBlPTMwJnNpZD01NDQ1MjU3Mjk5Njc0MzA2OGEyZTgmdG9rZW49MjY3NyZldj0xJm9pcD0zNjczNjc5OTg2JmRpZD03YjRlMDEzZDUyMjI5OTA2NzI3MzJmYzRmNTRiMDJhYSZlcD1yJTJGS203bmJtZjlKdGxQdjlGVyUyRmlqYjlEOHR0blpuMmcwT0g4VE5RMzM2bW1LbHJhNVJ0RlpRbFQ5N3JOdGRKcw/ykpxy.m3u8
10-19 20:21:41.094: I/(1379): setDataSource('http://127.0.0.1:8191/ykProxy/cGwyLmNwMzEub3R0LmNpYm50di5uZXQvcGxheWxpc3QvbTN1OD90cz0xNDQ1MjU3Mjk5JmtleWZyYW1lPTEmdmlkPVhNVE0yTVRJd09ETTRNQT09JnR5cGU9bXA0Jmd1aWQ9N2I0ZTAxM2Q1MjIyOTkwNjcyNzMyZmM0ZjU0YjAyYWEmdmVyPTEuMy4yJnBpZD0yNTBmMmI3MzA2MTFkMDhmJmN0eXBlPTMwJnNpZD01NDQ1MjU3Mjk5Njc0MzA2OGEyZTgmdG9rZW49MjY3NyZldj0xJm9pcD0zNjczNjc5OTg2JmRpZD03YjRlMDEzZDUyMjI5OTA2NzI3MzJmYzRmNTRiMDJhYSZlcD1yJTJGS203bmJtZjlKdGxQdjlGVyUyRmlqYjlEOHR0blpuMmcwT0g4VE5RMzM2bW1LbHJhNVJ0RlpRbFQ5N3JOdGRKcw/ykpxy.m3u8')
10-19 20:21:42.094: I/LiveSession(1379): onConnect 'http://127.0.0.1:8191/ykProxy/cGwyLmNwMzEub3R0LmNpYm50di5uZXQvcGxheWxpc3QvbTN1OD90cz0xNDQ1MjU3Mjk5JmtleWZyYW1lPTEmdmlkPVhNVE0yTVRJd09ETTRNQT09JnR5cGU9bXA0Jmd1aWQ9N2I0ZTAxM2Q1MjIyOTkwNjcyNzMyZmM0ZjU0YjAyYWEmdmVyPTEuMy4yJnBpZD0yNTBmMmI3MzA2MTFkMDhmJmN0eXBlPTMwJnNpZD01NDQ1MjU3Mjk5Njc0MzA2OGEyZTgmdG9rZW49MjY3NyZldj0xJm9pcD0zNjczNjc5OTg2JmRpZD03YjRlMDEzZDUyMjI5OTA2NzI3MzJmYzRmNTRiMDJhYSZlcD1yJTJGS203bmJtZjlKdGxQdjlGVyUyRmlqYjlEOHR0blpuMmcwT0g4VE5RMzM2bW1LbHJhNVJ0RlpRbFQ5N3JOdGRKcw/ykpxy.m3u8'
10-19 20:22:21.724: V/MediaPlayerFactory(1379): MediaPlayerFactory::getPlayerType: url = http://127.0.0.1:8191/ykProxy/cGwyLmNwMzEub3R0LmNpYm50di5uZXQvcGxheWxpc3QvbTN1OD90cz0xNDQ1MjU3MzQwJmtleWZyYW1lPTEmdmlkPVhNVE0yTVRJeE5qZ3pNZz09JnR5cGU9bXA0Jmd1aWQ9N2I0ZTAxM2Q1MjIyOTkwNjcyNzMyZmM0ZjU0YjAyYWEmdmVyPTEuMy4yJnBpZD0yNTBmMmI3MzA2MTFkMDhmJmN0eXBlPTMwJnNpZD0zNDQ1MjU3MzQwNjIyMzBiYmExZDYmdG9rZW49MTI1NiZldj0xJm9pcD0yMDcxNzc3NjM0JmRpZD03YjRlMDEzZDUyMjI5OTA2NzI3MzJmYzRmNTRiMDJhYSZlcD1RQUNYblAyV21KaVJMZ1YwU1NsUnBaVVRqcnh4UzJTeTE1UlhXTjE2ZWlncW53dno1QkJraVZMRzJTcEpJJTJCYVo/ykpxy.m3u8
10-19 20:22:21.724: I/(1379): setDataSource('http://127.0.0.1:8191/ykProxy/cGwyLmNwMzEub3R0LmNpYm50di5uZXQvcGxheWxpc3QvbTN1OD90cz0xNDQ1MjU3MzQwJmtleWZyYW1lPTEmdmlkPVhNVE0yTVRJeE5qZ3pNZz09JnR5cGU9bXA0Jmd1aWQ9N2I0ZTAxM2Q1MjIyOTkwNjcyNzMyZmM0ZjU0YjAyYWEmdmVyPTEuMy4yJnBpZD0yNTBmMmI3MzA2MTFkMDhmJmN0eXBlPTMwJnNpZD0zNDQ1MjU3MzQwNjIyMzBiYmExZDYmdG9rZW49MTI1NiZldj0xJm9pcD0yMDcxNzc3NjM0JmRpZD03YjRlMDEzZDUyMjI5OTA2NzI3MzJmYzRmNTRiMDJhYSZlcD1RQUNYblAyV21KaVJMZ1YwU1NsUnBaVVRqcnh4UzJTeTE1UlhXTjE2ZWlncW53dno1QkJraVZMRzJTcEpJJTJCYVo/ykpxy.m3u8')
10-19 20:22:21.724: I/LiveSession(1379): onConnect 'http://127.0.0.1:8191/ykProxy/cGwyLmNwMzEub3R0LmNpYm50di5uZXQvcGxheWxpc3QvbTN1OD90cz0xNDQ1MjU3MzQwJmtleWZyYW1lPTEmdmlkPVhNVE0yTVRJeE5qZ3pNZz09JnR5cGU9bXA0Jmd1aWQ9N2I0ZTAxM2Q1MjIyOTkwNjcyNzMyZmM0ZjU0YjAyYWEmdmVyPTEuMy4yJnBpZD0yNTBmMmI3MzA2MTFkMDhmJmN0eXBlPTMwJnNpZD0zNDQ1MjU3MzQwNjIyMzBiYmExZDYmdG9rZW49MTI1NiZldj0xJm9pcD0yMDcxNzc3NjM0JmRpZD03YjRlMDEzZDUyMjI5OTA2NzI3MzJmYzRmNTRiMDJhYSZlcD1RQUNYblAyV21KaVJMZ1YwU1NsUnBaVVRqcnh4UzJTeTE1UlhXTjE2ZWlncW53dno1QkJraVZMRzJTcEpJJTJCYVo/ykpxy.m3u8'

zhouqian

Oct 19, 2015

/t/173569
跟这个情况一样。

march1993

Oct 19, 2015

from pid 3337 看下这个什么进程

miclushine

Oct 19, 2015

同志你们也是全志开发板吗

zhouqian

Oct 20, 2015

@march1993 当我查询的时候，这个进程已经没了。

zhouqian

Oct 20, 2015

@miclushine 全志和 RK 都有。

miclushine

Oct 20, 2015

我们当时是认为局域网内有 pc 中毒， adb 链接所有设备自动安装这个软件。 windows 的电脑安装了某某手机助手之类的，后来准备排查的时候，反而没再出现这个问题。

zhouqian

Oct 20, 2015 via Android

@miclushine 原来我们怀疑是 DNS 污染或者 http 劫持引起的，但是仔细考虑这种可能性，感觉不是，因为总要用安装者的。再后来也没什么头绪了。不过你说的这个可行性比我们推断的高多了。感谢。

zhouqian

Oct 20, 2015

@miclushine 问题是在其他同事电脑上面出现的，刚才让他杀毒，扫描出来了这个。 https://ooo.0o0.ooo/2015/10/20/5625d059a1869.png

miclushine

Oct 20, 2015

可能是这个吧， CIBN 貌似是优酷出的东西，联系到这种公司的尿性，真是呵呵。谷歌搜下有挺多机顶盒设备的用户被自动安装这个东西的。

zhouqian

Oct 20, 2015

@miclushine 是，我前一段也看到网上有很多人反应，但是一直没有确切的答案。

bqbkbz

Oct 23, 2015

有意思

goldgunner

Mar 21, 2016 via Android

安卓手机也会出现以上情况是怎么回事呢？

zhouqian

Mar 21, 2016

@goldgunner 因为网络调试模式