隱私保護!27%的Android手機APP越界獲取用戶隱私許可權
2017年,通付盾移動安全實驗室對Android移動應用隱私狀況追蹤,對信息竊取類移動應用數據進行匯總分析,發布了《2017年度移動應用隱私安全報告》。報告指出,27.8%的Android手機App越界獲取用戶隱私許可權,其中包括知名企業如阿里、騰訊、百度等旗下APP均涉及越界獲取用戶隱私許可權。針對APP越界獲取用戶隱私許可權問題,我們做了相關研究並將相關數據及結論公布,供廣大用戶、企業及監管機構參考:
各種APP正在不斷方便我們的生活:如出行的百度地圖、看電影的美團購票、打字的搜狗輸入法……在APP使用率增多的背後卻是不斷被獲取的許可權和個人信息。用戶在安裝常用APP時,發現每安裝一款APP都有調用許可權的提示:本機識別碼、位置、攝像頭、運動數據、日程……
為什麼一個手電筒需要讀取聯繫人?一個輸入法要讀取位置許可權?這些被調用的許可權會不會泄露自己隱私?
答案是肯定的!手機擁有過多私人信息,也讓它成為強大的潛在間諜。通過用戶同意被調用的位置、通訊錄、攝像機等許可權,APP開發者知道用戶有什麼朋友,去了哪裡,跟誰打了電話……即便看似無害的數據,比如氣壓計讀數的微小變化,也能暴露用戶的海拔,即用戶當前具體位置信息。
通付盾移動安全專家針對全渠道應用檢測平台600萬+移動應用數據進行專項分析,基於通付盾移動應用檢測技術,發現移動APP越界獲取用戶隱私許可權現象嚴重,尤其越界讀取位置信息、越界讀取通話記錄、越界訪問聯繫人等侵犯用戶核心隱私許可權問題突出。
圖1 基於通付盾移動應用檢測產品的分析結果
應用許可權過多也是移動APP當前普遍現狀,一個APP往往會獲取近百個許可權,而其中大部分都是無必要的許可權。
圖2UC瀏覽器的許可權列表中多個不明所以的許可權
應用許可權過多不僅導致用戶隱私被窺探,同時也容易造成用戶信息泄露事件發生。通付盾移動安全專家發現不少越界獲取用戶許可權造成用戶信息竊取的案例。
劍俠掛機案例分析該應用是由遊戲開發商趣味天下所開發的一款角色扮演類手游應用,存在資費消耗,信息竊取等惡意行為。
圖3 《劍俠掛機》遊戲界面
經分析,該文件含有獲取並記錄多種設備信息、簡訊信息的代碼,此外,該應用還具有主動發送簡訊、獲取運營商簡訊內容等行為。其中一部分造成信息泄露的代碼分析如下:
獲取設備信息類com.snowfish.a.a.ad的函數 ae f()含有獲取設備硬體信息的代碼:
圖4獲取設備信息代碼截圖
收集隱私信息com.snowfish.a.a.cf類的函數void a()調用上面的函數f()獲取設備信息,並且同時獲取多種其他隱私信息:
圖5獲取設備信息代碼截圖
之後通過函數void a(int, String)、經過一系列函數調用,將這些信息收集至com.snowfish.a.a.dk類的欄位public byte[] a:
圖6收集用戶信息代碼過程圖
信息泄露類com.snowfish.a.a.dk的函數void a(OutputStream)將保存各種隱私信息的欄位a輸出到某個輸出流(傳入的參數):
圖7 信息泄露函數
該函數被com.snowfish.a.a.cX類的成員函數void b()調用,使得隱私數據通過網路被發送,造成信息泄露:
圖8發送隱私數據代碼截圖
通付盾移動安全專家從技術角度對移動APP越界許可權訪問做了深入分析與解讀,認為大部分的應用許可權都沒有很強的必要性。
以「微信」為例。微信啟動時會彈出地理位置、本地存儲許可權、電話許可權的提示窗,如果拒絕三者中任何一個許可權申請就會停止工作。
圖8微信的電話許可權提示窗
微信的基礎聊天功能根本不需要用到地理位置,即便拒絕了微信的地理位置許可權,微信也可以通過基站定位出用戶位置。更佳的做法是允許用戶拒絕,並在需要獲取地理位置時再次彈窗。
存儲許可權也是各大應用的標配,但是安全專家指出,即便用戶拒絕了存儲許可權,應用也可以在自己的ExternalFilesDir和ExternalCacheDir目錄讀寫,不影響程序自身的數據寫入讀取。而作為用來識別用戶唯一性的設備ID在很多app上都變成了強制獲取。
針對APP隨意調用手機許可權、侵犯用戶隱私等行為,國家網信辦明確規定APP不得隨意調用用戶手機許可權;國內外主要相關企業及手機安全廠商也在積極制定安卓統一推送服務(Unified Push Service,簡稱UPS)技術標準;而為了改變這一現狀,最新消息已表明,安卓9.0(初步代號定為Pistachio Ice Cream,Android P)也將禁止空閑後台應用訪問智能手機的相機或麥克風。隨著各界對越界獲取用戶隱私許可權問題的日益重視,相信不久的將來,APP的越界許可權訪問問題能夠得到進一步解決。
通付盾移動安全實驗室專註移動安全,為廣大移動用戶、企業及監管部門提供專業的移動安全防護服務和解決方案,通付盾移動安全實驗室願聯合社會各界力量,一起攜手,共同維護移動互聯網安全,助力推進移動互聯網安全產業健康有序發展。
TAG:通付盾移動安全實驗室 |