小木頭報案,紅米手機幾天前開始陷入瘋狂吃電狀態,即使關掉螢幕放著,手機一小時就掉電 60% 並發燙。

依據茶包射手準則第四章,調查 SOP 的第一步當然要詢問當事人:「最近有動了什麼變成這樣嗎?」而當事人依報案者檢調詢問攻防指南第三條,自然要回答「沒有,沒做什麼不知為何就變成這樣。」很好,完全符合大自然的運行規律,摸摸鼻子自己查案吧。

嘗試重開機,關閉所有執行中 App,耗電依舊。但發現只要關閉 WiFi 後耗電量明顯下降,手機溫度也恢復正常。莫非有程式在背景偷傳東西?挖比特幣?木馬?側錄?愈想愈毛。

小米手機有個功能,上方狀態列有即時網路傳輸量顯示,成為本次調查的重要指標。實測即使關閉所有 App,手機仍會維持每秒 10KB - 30KB 的網路流量,懷疑就是大量掉電及發熱的原因:

手機不比 PC 有各式各樣網路偵錯程式,我找到一個 Netstat Plus App,藉此觀察到有大量連至 *.fackbook.com 的連線。但 App 顯示內容只有連線 IP 及累積傳輸量,不足以構成長期傳送大量資料的鐵證:

祭出大絕,打算用筆電架無線基地台,手機改連筆電上網,再以 Wireshark 監看傳輸封包。正煩惱要去哪找模擬基地台軟體,驚喜發現 Windows 10 就內建行動熱點(Mobile Hotspot)功能:

輕輕按一下,筆電一秒變身無線基地台,超酷!

將手機流量導至筆電,開 Wireshark 蒐集封包,跑了約五分鐘(304秒),傳輸數字出爐,兇手現形:

有兩條連至 start*.c10r.facebook 的連線超可疑,監聽過程 304 秒全程都存在(其中有一半時間螢幕關閉),各下載超過 300KB;而另一條連至 googleapis.l.google.com 的連線則上傳了 205KB。

IPFQDN持續時間下載上傳
31.13.87.1star.c10r.facebook.com全程存在,共304秒303KB84KB
31.13.87.36star-mini.c10r.facebook.com全程存在,共304秒301KB84KB
172.217.27.138googleapis.l.google.com75秒起,約148秒57KB205KB

實驗從系統設定介面強制中止 Facebook 程序,流量立即趨零,由此推論 Facebook App 是害手機掉電及發熱的兇手。從 Wireshark 檢視封包內容,其連線屬 HTTPS 看不出內容,費點手腳應該有機會像 Fiddler 一樣搞 MITM (Man In The Middle) 解密內容,但老人家熱血有限,這部分留待以後再玩,眼前先解問題要緊。

移除 Facebook App 並重新安裝後,網路流量及耗電恢復正常。至於 Facebook App 為何有此異常行為?下載內容為何?在老年茶包射手的怠惰之下,就此成謎~

【補充】Mobile01 最近有紅米發熱狂掉電的討論串,懷疑問題與 Google Duo(影音通訊 App) 有關,一併提供參考。特此感謝 Aska(蘇老)提供情資。

Sniffing Android traffic


Comments

Be the first to post a comment

Post a comment


49 + 32 =