{"id":251937,"date":"2021-04-07T11:41:35","date_gmt":"2021-04-07T09:41:35","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=251937"},"modified":"2021-04-13T18:07:04","modified_gmt":"2021-04-13T16:07:04","slug":"vorlufige-analyse-des-gigaset-malware-angriffs-durch-auto-installer-in-der-firmware","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/04\/07\/vorlufige-analyse-des-gigaset-malware-angriffs-durch-auto-installer-in-der-firmware\/","title":{"rendered":"Vorl&auml;ufige Analyse des Gigaset Malware-Angriffs durch Auto-Installer in der Firmware"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/04\/smartphone.jpg\" width=\"62\" height=\"84\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/04\/08\/vorlufige-analyse-des-gigaset-malware-angriffs-durch-auto-installer-in-der-firmware\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Ich fasse mal vorab einige Erkenntnisse zusammen, die Sicherheitsanalysten von Malwarebytes zum Malware-Angriff auf die Gigaset Android-Smartphones dokumentiert haben. Die Infektion konnte aus einer Kombination eines infizierten Update-Servers in Verbindung mit der in der Firmware der Gigaset-Android-Smartphones installierten Auto Installers c<em>om.redstone.ota.ui <\/em>(auch als <em>Android\/PUP.Riskware.Autoins.Redstone <\/em>bezeichnet) erfolgen.<\/p>\n<p><!--more--><\/p>\n<h2>R\u00fcckblick: Malware auf Gigaset Android-Ger\u00e4ten<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/a2d30c12d57344a5a4e39a0c770f8054\" alt=\"\" width=\"1\" height=\"1\" \/>Seit ca. Gr\u00fcndonnerstag (1. April 2021) gab es ein massives Problem mit Gigaset Android-Ger\u00e4ten, die pl\u00f6tzlich durch Malware befallen wurden. Es wurden automatisch unerw\u00fcnschte Apps installiert, die ihr Eigenleben auf den Smartphones f\u00fchren. Das Ganze wurde von mir ja in diversen Blog-Beitr\u00e4gen (siehe Artikelende) dokumentiert (siehe <a href=\"https:\/\/borncity.com\/blog\/2021\/04\/03\/gigaset-gehackt-android-update-server-liefern-wohl-malware-aus\/\">Gigaset Android-Update-Server liefern vermutlich Malware aus<\/a>).<\/p>\n<p>Bei Malwarebytes gab es noch <a href=\"https:\/\/forums.malwarebytes.com\/topic\/272474-malware-in-system-partition\/\" target=\"_blank\" rel=\"noopener\">diesen Post<\/a>\u00a0 im Malwarebytes-Forum zum Thema, was ich ebenfalls verlinkt hatte. Parallel hatte ich Malwarebytes per Twitter auf die Thematik bei Gigaset hingewiesen und meinen englischsprachigen Blog-Beitrag als Referenz verlinkt. Sicherheitsforscher von ESET waren auch von mir kontaktiert worden &#8211; eine direkte R\u00fcckmeldung gab es \u00fcber Twitter aber noch nicht. Von Gigaset liegt mir auch noch keine technische Analyse vor.<\/p>\n<h2>MalwareBytes dokumentiert den Fall<\/h2>\n<p>\u00dcber einen Artikel bei The Hacker News, den ich im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2021\/04\/06\/update-zum-malware-befall-bei-gigaset-android-gerten-6-4-2021\/\">Update zum Malware-Befall bei Gigaset Android-Ger\u00e4ten (6.4.2021)<\/a> kurz erw\u00e4hnt habe, bin ich dann aber auf den Malwarebytes-Sicherheitsspezialisten Nathan Collier aufmerksam geworden. Collier hat vor wenigen Stunden eine detailliertere Analyse im Blog-Beitrag <a href=\"https:\/\/blog.malwarebytes.com\/android\/2021\/04\/pre-installed-auto-installer-threat-found-on-android-mobile-devices-in-germany\/\" target=\"_blank\" rel=\"noopener\">Pre-installed auto installer threat found on Android mobile devices in Germany<\/a> vorgelegt. Zitat aus seinem Beitrag:<\/p>\n<blockquote><p>Der \u00dcbelt\u00e4ter, der diese Malware-Apps installiert, ist die Update-App mit dem Paketnamen <em>com.redstone.ota.ui<\/em>, die eine vorinstallierte System-App ist. Diese App ist nicht nur der System-Updater des Mobilger\u00e4ts, sondern auch ein Auto-Installer.<\/p><\/blockquote>\n<p>Dieser Auto-Installer ist der System-Updater vieler Android-Mobilger\u00e4te aus chinesischer Produktion und auf dem Ger\u00e4t werksseitig vorinstalliert. Sicherheitsforscher bezeichnen das Paket <em>com.redstone.ota.ui<\/em> auch als <em>Android\/PUP.Riskware.Autoins.Redstone<\/em>, also als Riskware<em>. <\/em>Laut Nathan Collier installiert dieser Auto-Installer drei Versionen des <em>Android\/Trojan.Downloader.Agent.WAGD. <\/em><\/p>\n<ul>\n<li>Package name: <em>com.wagd.gem; <\/em>App name: <em>gem<\/em><\/li>\n<li>Package name: <em>com.wagd.smarter; <\/em>App name: <em>smart<\/em><\/li>\n<li>Package name: <em>com.wagd.xiaoan; <\/em>App name: <em>xiaoan<\/em><\/li>\n<\/ul>\n<p>Das deckt sich mit den Beschreibungen in meinen Blog-Beitr\u00e4gen (siehe <a href=\"https:\/\/borncity.com\/blog\/2021\/04\/05\/malwareangriff-was-gigaset-android-gertebesitzer-jetzt-machen-sollten\/\">Malwareangriff: Was Gigaset Android-Ger\u00e4tebesitzer jetzt machen sollten<\/a>, wobei weitere Schad-Apps vorkommen k\u00f6nnen). Collier hat einige Screenshots der Apps von Mobilger\u00e4ten im Blog-Beitrag ver\u00f6ffentlicht.<\/p>\n<p><img decoding=\"async\" title=\"PUP.Riskware.Autoins.Redstone\" src=\"https:\/\/i.imgur.com\/5prPTiC.png\" alt=\"PUP.Riskware.Autoins.Redstone\" \/>(Quelle: Malwarebytes)<\/p>\n<p>Verkn\u00fcpfe ich meine Informationen von Gigaset mit den Erkenntnissen, ist es Angreifern wohl gelungen, den Update-Server (von Adups) so zu kompromittieren, dass dieser \u00fcber den Prozess <em>com.redstone.ota.ui<\/em>\u00a0 die Trojaner installiert. Im Blog-Beitrag listet Nathan Collier die aus seiner Sicht betroffenen Android-Ger\u00e4te auf (es sind also nicht nur Gigasets):<\/p>\n<ul>\n<li>Gigaset GS270; Android OS 8.1.0<\/li>\n<li>Gigaset GS160; Android OS 8.1.0<\/li>\n<li>Siemens GS270; Android OS 8.1.0<\/li>\n<li>Siemens GS160; Android OS 8.1.0<\/li>\n<li>Alps P40pro; Android OS 9.0<\/li>\n<li>Alps S20pro+; Android OS 10.0<\/li>\n<\/ul>\n<p>Ich w\u00fcrde aber meine Hand nicht daf\u00fcr ins Feuer legen, das nicht aufgef\u00fchrte Gigaset Modelle nicht betroffen seien (die Nutzerschaft hier im Blog meldet mehr Gigaset-Modelle als betroffen. Collier hat nur einige Testger\u00e4te genannt, auf denen er den Auto-Updater gefunden hat.<\/p>\n<blockquote><p>Hier wird das grunds\u00e4tzliche Problem sichtbar, welches auch schon von Blog-Leser Bolko in den Kommentaren angesprochen wurde. Einerseits braucht eigentlich jedes Android-Ger\u00e4t einen Updater f\u00fcr die Firmware und die Apps. Aber mir w\u00e4re eindeutig wohler, wenn diese Updater unter Kontrolle von Firmen wie Google oder Samsung stehen. Anderseits ist die bittere Wahrheit: Wir haben in der Firmware vieler chinesischer Android-Ger\u00e4te einen Auto-Updater, der von Sicherheitsforschern als Riskware klassifiziert wird.<\/p>\n<p>Sprich: Da ist einerseits eine Sollbruchstelle f\u00fcr Infektionen eingebaut. Andererseits bedeutet das auch: Wenn eine Organisation Zugriff auf die Update-Infrastruktur bekommt, kann sie, ja nach Gusto alle Ger\u00e4te stilllegen, verwanzen oder mit Trojanern ausstatten. Ich lasse das jetzt einfach mal wirken &#8211; auch mit dem Gedanken im Hinterkopf, dass auch hier im Blog schon mal hei\u00df diskutiert wurde, ob bestimmte Unternehmen in der G5-Infrastruktur eingesetzt werden d\u00fcrfen (der Zug ist imho doch l\u00e4ngst abgefahren &#8211; und die Leute sind ganz stolz, wenn Sie Android-Ger\u00e4te als wei\u00dfe Ware bei Alibaba und Co. ergattern k\u00f6nnen).<\/p><\/blockquote>\n<h2>Die Implikationen f\u00fcr WhatsApp<\/h2>\n<p>Da hier im Blog viele Nutzer aufschlagen, deren WhatsApp-Konto bzw. Telefonnummer geblockt wurde und die nach einer erneuten Freischaltung mit WhatsApp-Nachrichten aus Afrika, S\u00fcdamerika oder Asien bombadiert werden, greife ich mal die Erkenntnisse in Bezug auf diesen Dienst bzw. die App auf. Colier schreibt in seinem Blog-Beitrag:<\/p>\n<ul>\n<li>dass der <em>Android\/Trojan.Downloader.Agent.WAGD <\/em>in der Lage ist, b\u00f6sartige Nachrichten \u00fcber WhatsApp zu versenden, neue Registerkarten im Standard-Webbrowser zu Spiel-Websites zu \u00f6ffnen, weitere b\u00f6sartige Apps herunterzuladen und m\u00f6glicherweise andere b\u00f6sartige Verhaltensweisen auszuf\u00fchren. Die b\u00f6sartigen WhatsApp-Nachrichten dienen h\u00f6chstwahrscheinlich dazu, die Infektion auf andere mobile Ger\u00e4te weiter zu verbreiten.<\/li>\n<li>das einige Benutzer zudem erleben mussten, dass auch <em>Android\/Trojan.SMS.Agent.YHN4 <\/em>auf ihren mobilen Ger\u00e4ten installiert wurde. Das Herunterladen und die Installation dieses SMS-Agenten ist darauf zur\u00fcckzuf\u00fchren, dass<em> Android\/Trojan.Downloader.Agent.WAGD<\/em> Spiele-Websites besucht, die b\u00f6sartige Apps enthalten. Daraufhin enth\u00e4lt das Mobilger\u00e4t Malware, die in der Lage ist, b\u00f6sartige SMS-Nachrichten zu versenden. Wie bei den b\u00f6sartigen WhatsApp-Nachrichten kann er zus\u00e4tzlich b\u00f6sartige SMS-Nachrichten senden, um die Infektion weiter zu verbreiten.<\/li>\n<\/ul>\n<p>Damit ist das Kind also in den Brunnen gefallen &#8211; meiner aktuellen Einsch\u00e4tzung nach sind die Ger\u00e4te maximal kompromittiert und meine Empfehlungen im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2021\/04\/05\/malwareangriff-was-gigaset-android-gertebesitzer-jetzt-machen-sollten\/\">Malwareangriff: Was Gigaset Android-Ger\u00e4tebesitzer jetzt machen sollten<\/a>, das Ger\u00e4t still zu legen, erweisen sich als richtig. Ob Gigaset es schafft, dieses Sammelsurium an Trojanern zu bereinigen, da habe ich meine Zweifel. Zudem beschleicht mich das Gef\u00fchlt, dass eine Re-Infektion \u00fcber per WhatsApp-Nummern oder Schad-SMS kontaktierte andere Android-Ger\u00e4te passieren kann.<\/p>\n<h2>Was man tun sollte<\/h2>\n<p>Wer auf Nummer Sicher gehen will, legt sein Gigaset-Android-Ger\u00e4t endg\u00fcltig still, entfernt die SIM-Karte und benutzt diese auch nicht mehr. Denn wer will ausschlie\u00dfen, dass pl\u00f6tzlich \u00fcber WhatsApp oder eine SMS eine Schad-Funktion zur\u00fcck kommt. Und an dieser Stelle noch eine Wiederholung meines Hinweises:<\/p>\n<blockquote><p>Sollten Gigaset-Ger\u00e4te f\u00fcr berufliche Zwecke genutzt werden, ist die datenschutzrechtliche Relevanz des Malware-Befalls zu evaluieren. Es ist eventuell die zust\u00e4ndige Datenschutzaufsicht \u00fcber einen m\u00f6glichen DSGVO-Vorfall binnen 72 Stunden zu informieren. Ich spreche diesen Punkt an, da einige Nutzer \u00fcber gesperrte WhatsApp-Konten berichten \u2013 ich gehe also davon aus, dass die Malware auf WhatsApp zugegriffen hat und dann aktiv etwas gepostet hat. Wer WhatsApp auf beruflich genutzten Ger\u00e4ten installiert hat, steht \u00fcbrigens vor einem weiteren Problem \u2013 diese App und der Dienst konnte nicht DSGVO-konform genutzt werden.<\/p><\/blockquote>\n<p>Ich hatte im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2021\/04\/05\/malwareangriff-was-gigaset-android-gertebesitzer-jetzt-machen-sollten\/\">Malwareangriff: Was Gigaset Android-Ger\u00e4tebesitzer jetzt machen sollten<\/a> ja bereits darauf hingewiesen, dass man Passw\u00f6rter f\u00fcr Online-Konten vorsorglich \u00e4ndern sollte. Erg\u00e4nzend sei darauf hingewiesen, dass Mehrwertdienste oder der SMS-Versand an Premium-Nummern sowie die Begleichung von App-Buchungen beim Mobilfunkprovider f\u00fcr den Vertrag gesperrt werden sollte. Denn es scheint, dass Premium-SMS die nicht per Flat-Rate abgedeckt sind, sowie kostenpflichtige Optionen bei Spiele-Apps oder Spiele-Seiten automatisch gebucht wurden (siehe <a href=\"https:\/\/www.heise.de\/forum\/heise-online\/Kommentare\/Gigaset-Malware-Befall-von-Android-Geraeten-des-Herstellers-gibt-Raetsel-auf\/Auch-Optionsbuchungen-erfolgen-unerlaubt\/thread-6709197\/\" target=\"_blank\" rel=\"noopener\">diesen Kommentare<\/a> im heise-Forum).<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/PlayProtextyhn4621.jpg\" alt=\"Play Protect-Warnung\" \/><\/p>\n<p>Obiger Screenshot zeigt eine Warnung von Google Play Protect vor dem installierten Trojaner\u00a0<em>com.yhn4621.ujm0317<\/em>.<\/p>\n<h3>Kann ich das Ger\u00e4t s\u00e4ubern?<\/h3>\n<p>Der Beitrag von Nathan Collier enth\u00e4lt noch einige Informationen, dass man den System-Updater nicht so einfach entfernen kann &#8211; in meinem Blog-Beitr\u00e4gen und den Kommentaren ist ja beschrieben, dass man ADB benutzen kann. Collier verweist in seinem Beitrag auf die Schritte, um die Schadfunktionen per ADB zu entfernen.<\/p>\n<p>Ich sage es mal so: Wer sehr erfahren und risikofreudig ist, kann das Bereinigen versuchen. Ich w\u00fcrde mir das aber &#8211; bei dem Strau\u00df an m\u00f6glichen Kompromittierungen &#8211; nicht zutrauen.<\/p>\n<p>Sondern die Vorgehensweise w\u00e4re: Du bekommst ein sauberes Image der Gigaset Firmware sowie eine Anweisung, was Du an Partitionen wie auf dem Speicher des Mobilger\u00e4ts l\u00f6schen musst. Dann installierst Du dieses saubere Firmware-Image, l\u00f6schst die diversen Cache-Speicher, wechselst die SIM-Karte und \u00e4nderst alle Online-Zugangsdaten. Auf WhatsApp w\u00fcrde ich verzichten &#8211; und eingehende SMS-Nachrichten sollten mit gr\u00f6\u00dfter Vorsicht angefasst werden &#8211; speziell von unbekannten Absendern.<\/p>\n<p>Das ist nat\u00fcrlich eine Extremposition. Aktuell bleibt den meisten Nutzern nur abzuwarten, was Gigaset noch an Details rausr\u00fcckt &#8211; mein Bauchgef\u00fchl sagt mir \"der K\u00e4s ist gegessen, da ist nix mehr zu machen\" &#8211; ich lasse mich aber gerne \u00fcberzeugen, dass es den Zauberstab gibt, mit dem sich der Vorfall per Finger-Schnipp g\u00e4nzlich ungeschehen machen l\u00e4sst. Nur sollte sich niemand vom Prinzip Hoffnung, dass es schon irgendwo gut geht, leiten lassen.<\/p>\n<p><strong>Erg\u00e4nzung:<\/strong> Ein ausf\u00fchrlicher Blog-Beitrag zu den Informationen, die im Artikel \u00a0<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/08\/kurzinfo-gigaset-pressemitteilung-zum-malware-befall-der-android-gerte-8-4-2021\/\">Kurzinfo: Gigaset-Pressemitteilung zum Malware-Befall der Android-Ger\u00e4te (8.4.2021)<\/a> bereitgestellt wurden samt meiner Einsch\u00e4tzung folgt.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2021\/04\/03\/gigaset-gehackt-android-update-server-liefern-wohl-malware-aus\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Gigaset Android-Update-Server liefern vermutlich Malware aus<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/04\/neues-zum-gigaset-android-smartphone-malware-befall\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Neues zum Gigaset Android-Smartphone Malware-Befall (April 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/05\/malwareangriff-was-gigaset-android-gertebesitzer-jetzt-machen-sollten\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Malwareangriff: Was Gigaset Android-Ger\u00e4tebesitzer jetzt machen sollten<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/06\/update-zum-malware-befall-bei-gigaset-android-gerten-6-4-2021\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Update zum Malware-Befall bei Gigaset Android-Ger\u00e4ten (6.4.2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/07\/vorlufige-analyse-des-gigaset-malware-angriffs-durch-auto-installer-in-der-firmware\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Vorl\u00e4ufige Analyse des Gigaset Malware-Angriffs durch Auto-Installer in der Firmware<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/08\/kurzinfo-gigaset-pressemitteilung-zum-malware-befall-der-android-gerte-8-4-2021\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Kurzinfo: Gigaset-Pressemitteilung zum Malware-Befall der Android-Ger\u00e4te (8.4.2021)<\/a><\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2021\/04\/08\/malwarebefall-von-gigaset-android-gerten-analysen-und-handlungsoptionen-8-4-2021\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Malwarebefall von Gigaset Android-Ger\u00e4ten: Analysen und Handlungsoptionen (8.4.2021)<\/a>\u00a0\u2013 Teil 1<br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/08\/malwarebefall-von-gigaset-android-gerten-analysen-und-handlungsoptionen-8-4-2021-teil\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Malwarebefall von Gigaset Android-Ger\u00e4ten: Analysen und Handlungsoptionen (8.4.2021)<\/a>\u00a0\u2013 Teil 2<br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/12\/gigaset-hrden-beim-bereinigen-des-malwarebefalls-12-april-2021\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Gigaset: H\u00fcrden beim Bereinigen des Malwarebefalls (12. April 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/13\/gigaset-malwarebefall-und-das-whatsapp-sim-problem\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Gigaset-Malwarebefall und das WhatsApp\/SIM-Problem<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Ich fasse mal vorab einige Erkenntnisse zusammen, die Sicherheitsanalysten von Malwarebytes zum Malware-Angriff auf die Gigaset Android-Smartphones dokumentiert haben. Die Infektion konnte aus einer Kombination eines infizierten Update-Servers in Verbindung mit der in der Firmware der Gigaset-Android-Smartphones installierten Auto Installers &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/04\/07\/vorlufige-analyse-des-gigaset-malware-angriffs-durch-auto-installer-in-der-firmware\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[131,426,1376],"tags":[4308,1018,4328,4345],"class_list":["post-251937","post","type-post","status-publish","format-standard","hentry","category-android","category-sicherheit","category-smartphone","tag-android","tag-malware","tag-sicherheit","tag-smartphone"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/251937","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=251937"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/251937\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=251937"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=251937"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=251937"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}