文章总结: 报告深入分析了某车机UI魔改包,揭示其利用Magisk挂载替换系统文件并破解签名校验的原理。核心发现是作者在SystemUI中植入勒索代码,未授权即实施全屏水印锁屏。外挂模块滥用高权限控制车辆,并在局域网开放无鉴权端口,存在被恶意利用风险。报告定性其为挟持系统的强付费寄生模块,建议用户警惕安全隐患。 综合评分: 85 文章分类: 逆向分析,车联网安全,漏洞分析,恶意软件
全AI分析某B*D 4.* UI 魔改包报告
原创
吾爱小白 吾爱小白
小白技术社
2026年3月11日 14:57 北京
B*D 4.5 UI 魔改包分析报告
本报告基于对“4.5 UI”车机魔改固件包的脱壳与源码反编译分析,旨在揭示该 UI 套件的真实运作机制及其控制逻辑,帮助车主了解其背后的原理与风险。
1. 核心原理:Magisk (面具) 是如何“偷梁换柱”的?
结论:这套 4.* UI 纯粹是基于比亚迪官方原厂系统文件进行“解包、换皮、注毒、重打包”的产物。
作者并未独立开发一套全新的车载桌面系统,这是因为原厂车机系统被锁定在了“只读 (Read-Only)”的 /system 分区中。为了强行修改官方界面且不破坏原厂系统分区,作者利用了Magisk 模块的虚拟文件系统 (Magic Mask) 挂载机制。
Magisk 动态挂载流程图
#
挂载了哪些特权组件?
通过 Magisk 的挂载目录(由本次提取的 18-4.5Ui 文件夹结构可知),作者强行覆盖并替换了原车的以下核心系统文件:
- **破解系统底座 (
framework.jar,services.jar)**:去除了原厂安卓特有的“APK 签名校验”,也就是废除了保安。没有这一步,后续改过代码的官方文件都会因为签名对不上而无限闪退变砖。 - **桌面系统 (
Launcher3.apk)**:被修改以支持视频动态壁纸等定制卡片。 - 状态栏系统 (
SystemUIWithLegacyRecents.apk):全局 UI 的核心神经中枢,所有的勒索与外挂代码都埋在它里面。 - 视觉与交互组件:负一屏 (
BydNegativeScreen.apk)、屏保 (ScreenSaver.apk)、音乐小组件 (MusicWidget.apk) 等。
除了以上负责“展示效果”的官方组件,作者还会将他独立开发的计费与发令“大脑外挂”—— **BydModule.apk**,一起塞进车机的 system/app 目录下,摇身一变成了系统的特级内置应用。
2. “勒索式”控制逻辑:UI是如何被绑架的?
通过对所有系统组件的反编译排查,我们发现虽然所有的 UI 组件外壳都被美化了,但真正的“恶意控制代码”仅被精准植入在了一个地方:官方状态栏 (SystemUI.apk) 中。
监控与弹窗机制
在 SystemUI 的状态栏构建流程中,作者强行安插了一个名为 MemberQuery 的工具类。只要车机开机加载出状态栏,这个寄生代码就会触发以下行为:
- 无限跨进程查岗:它会在系统后台启动一个定时器,每隔 60 秒就静默跨进程访问一次外挂 APP (
BydM.apk),查询用户的“VIP 授权状态”。 - 暴力锁屏水印:一旦查询到用户未安装外挂 APP 或并未激活付费 VIP,它会利用系统的最高悬浮窗权限,在车机屏幕的任何画面最顶层强行绘制一个无法消除的红色水印 “UI未激活”。
- 强制拉起付款:除了贴水印,它还会不停地在后台自动拉起外挂 APP 的用户注册/激活页面,中断你的正常导航或娱乐体验。
原厂 SystemUI 状态栏 (StatusBar.java) 被植入的核心代码片段:
// ...这是官方原本初始化状态栏的流程...
QuickUtils.getInstance(context).register();
// 这行是作者强行插入的:启动系统级别的定时任务,无限循环查岗跨进程 VIP 授权
MemberQuery.externalAppVipCheck(context);
外挂类 MemberQuery.java 负责执行全屏勒索水印的核心代码段:
// 每隔60秒(DELAY_MILLIS)执行一次查询和强制绘制水印
public static void externalAppVipCheck(Context context) {
EXTERNAL_VIP_CHECK_TASK = new Runnable() {
public void run() {
MemberQuery.executeVipCheck(applicationContext);
MemberQuery.getMainHandler().postDelayed(this, MemberQuery.DELAY_MILLIS);
}
};
getMainHandler().postDelayed(EXTERNAL_VIP_CHECK_TASK, DELAY_MILLIS);
}
这意味着,这并非一套单纯的主题包,而是一个带有勒索性质的霸王条款。即使你删掉他的验证 APP,只要你不把系统刷回原厂,深埋在状态栏里的监控器就会永远用弹窗和水印折磨你。
3. 外挂大脑 BydModule.apk 的真实能力
作为整个闭环的收费核心,这个看似不起眼的辅助程序其实握有极高的系统底权,它不仅负责收钱,还能强行控制你的车。
核心行为分析:
-
开机不死白名单:它会在代码里通过反射写死原厂底库表(如
bd_autostart_white_list),不管你怎么去车机管家里剥夺它的自启权限,它每次一开机都会把自己强行洗回白名单里。 -
劫持原厂权限:为了能正常贴水印并管理组件,它在后台有一个看门狗服务。只要检测到它自己掉了全局悬浮窗等高级权限,就会利用系统的
pm grant命令在后台偷偷给自己重新赋权。 -
私有 API 深度接管:为了实现所谓的自动开启座椅按键、跟随音乐律动闪烁的氛围灯,它反编译并重写调用了比亚迪官方严格保密的底层车控接口(
BYDAutoSettingDevice等)。 -
本地局域网开放端口:
-
它在车机的局域网内私底下开放了 HTTP 通信端口(TCP 8877)和 WebSocket 端口(TCP 8888)。
-
通过这两个端口,它可以源源不断地向外部广播你车机当前播放的音乐和精确到毫秒的歌词进度(用于支持其悬浮歌词功能)。
-
同时留有接口接收外部的指令(如小地图控制和缩放等)。
4. 安全隐患评估(有没有后门?)
经过全面的逆向分析,我们并未发现作者留有远程通过云端服务器下发静默安装恶意包、执行危险 Shell 指令或远程锁死车辆的“后门代码”。
它的网络行为相对克制:
- 它主要向后端服务器(
https://ui-api.***.cn等)发送你的车架号 (VIN) 和网卡 MAC 地址,仅仅用于它自己的盗版授权校验和 VIP 注册计费。 - 为了防止你修改请求抓包白嫖,它还在底层加了一套极为复杂的 C++ 原生加密算法 (
libXXX_se.so 算法已经还原)。
唯一的漏洞也是由于他在车机本地利用开源的 AndServer 开启了局域网服务。
🚨 理论上存在的“局域网控制”后门
外挂 APP (com.***.b*ds) 一直在后台运行独立的 Http 服务器 (端口: 8877bao) 和 WebSocket 服务 (端口: 8888)。
漏洞利用代码示例(只需知道你车机的内网IP,例如手机连着车机的热点):如果在局域网内任意设备执行这条 GET 请求:
curl http://你车机的局域网IP:8877/cmd?cmd=Z3JvdXBOA==&value=Mw==
这个请求会被车机后台的 CmdController.java 直接无条件受理:
@GetMapping(path = {"/cmd"})
public String get(@RequestParam(name = "cmd") String str,
@RequestParam(name = "value") String str2) {
// 获取请求参数并尝试解码执行
String decodeCmd = new String(Base64.decode(str, 0));
String decodeVal = new String(Base64.decode(str2, 0));
commandRegistry.execute(decodeCmd, decodeVal);
// ...
}
由于它的接口完全没有任何 Token 鉴权机制,这就意味着:只要黑客手机和你的车机连在同一个 WiFi 内,或者别的恶意 APP 获取了局域网权限,就可以随便调用它的 /cmd 接口。虽然作者目前注册在 CommandRegistry 里的命令很克制(只有放大、缩小桌面微缩地图的指令,由于我们没有拿到所有的命令枚举类),但不排除后续通过更新加入类似升降车窗、开关门锁的底层指令。如果开放了危险指令,这将导致车机局域网穿透的重大后门。
5. 总结
这是一款套在“优美主题”皮囊下,实则用流氓软控制手段挟持了原厂系统核心组件的强付费寄生模块。作者凭借深厚的安卓逆向开发功底,极其精准地切断了原厂的安全机制,并把他的收费点牢牢焊死在了你每一次看状态栏的必经之路上。如果没有他提供的外挂解药,这套 UI 就会成为折磨车机的定时炸弹。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:小白技术社 吾爱小白 吾爱小白《全AI分析某BD 4. UI 魔改包报告》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论