近日，字節(jié)跳動(dòng)無恒實(shí)驗(yàn)室的隱私保護(hù)研究議題亮相Black Hat Asia 2023（亞洲黑帽大會(huì)），議題分享了關(guān)于重新審視Android應(yīng)用程序的隱私敏感信息收集行為的現(xiàn)狀研究。

Black Hat大會(huì)被公認(rèn)為世界信息安全行業(yè)的頂級(jí)盛會(huì)，每年分別在美國、歐洲、亞洲各舉辦一次安全信息技術(shù)峰會(huì)。此前Black Hat Asia2021大會(huì)上，無恒實(shí)驗(yàn)室的安全研究《Do Apps Respect Your Privacy as TheyClaim?》也入選演講，議題同樣著眼于用戶隱私保護(hù)?？梢钥吹?，無恒實(shí)驗(yàn)室多年來在移動(dòng)安全和隱私安全方向持續(xù)投入，助力用戶隱私保護(hù)的安全建設(shè)。

(資料圖)

近年來，隨著用戶隱私數(shù)據(jù)保護(hù)在全球范圍內(nèi)引起廣泛關(guān)注，各國政府也相繼制定了以隱私為重點(diǎn)的數(shù)據(jù)保護(hù)法規(guī)，嚴(yán)格規(guī)范用戶隱私數(shù)據(jù)的收集和利用，如歐盟制定的GDPR，企業(yè)若侵犯用戶隱私可能會(huì)導(dǎo)致巨額罰款，GDPR規(guī)定最高達(dá)2000萬歐元的罰款，或者企業(yè)全球年收入的4%，可見用戶的隱私數(shù)據(jù)保護(hù)已達(dá)到空前的重視程度。

Android隱私數(shù)據(jù)保護(hù)的演進(jìn)

Google從Android 6 開始增加對(duì)隱私保護(hù)的建設(shè)，如增加運(yùn)行時(shí)權(quán)限，當(dāng)需要獲取設(shè)備唯一標(biāo)識(shí)、位置信息、相機(jī)等數(shù)據(jù)時(shí)均需要拿到運(yùn)行時(shí)權(quán)限。在Android10時(shí)繼續(xù)加大隱私保護(hù)力度，如限制應(yīng)用獲取IMEI等設(shè)備唯一標(biāo)識(shí)符。Android 12開始，用戶可以設(shè)置限制追蹤禁止APP獲取GAID(谷歌廣告ID)。同時(shí)，無恒實(shí)驗(yàn)室也注意到，對(duì)于iOS系統(tǒng)來說，從iOS 14.5開始，App想要獲取 IDFA，也需要用戶手動(dòng)授權(quán)。

綜上看來，主流操作系統(tǒng)對(duì)于用戶隱私保護(hù)似乎已經(jīng)做的很不錯(cuò)了，但是事實(shí)真的是這樣嗎？這幾年無恒實(shí)驗(yàn)室一直帶著這些疑問對(duì)系統(tǒng)和APP的隱私問題做了持續(xù)性研究，發(fā)現(xiàn)在WebView、廣告ID、唯一標(biāo)識(shí)符等方面，無論是在Android設(shè)備還是APP中還是存在一些不足，這些不足都嚴(yán)重影響著用戶的隱私數(shù)據(jù)保護(hù)，造成用戶敏感信息泄露。

研究發(fā)現(xiàn)：若WebView沒做合適的開發(fā)配置，用戶數(shù)據(jù)仍不安全

根據(jù)研究發(fā)現(xiàn)，一旦WebView沒有進(jìn)行合適的開發(fā)配置，那用戶的敏感數(shù)據(jù)如位置信息、麥克風(fēng)、攝像頭等可能被不法利用。同時(shí)，關(guān)于廣告ID，大多數(shù)用戶對(duì)廣告ID也很困惑，雖然廣告 ID被設(shè)計(jì)成可重置的廣告ID，但重置意義不大，只要廣告 ID還在，便可以用來跟蹤用戶，比如在兩個(gè)應(yīng)用中交叉跟蹤用戶依舊可以實(shí)現(xiàn)的。

同時(shí)，幾乎所有的敏感信息在傳遞到應(yīng)用程序之前都會(huì)被編碼成一個(gè)字符串。在這個(gè)背景下，無恒實(shí)驗(yàn)室自研了一種相對(duì)簡單的檢測方法來解決隱私泄露的問題，即通過HookString的構(gòu)造函數(shù)方式，便可以檢查在移動(dòng)設(shè)備上構(gòu)造的所有字符串，這種策略看似簡單但是很全面，因?yàn)闊o論惡意應(yīng)用程序以任何方式獲取敏感數(shù)據(jù)字符串，都可以監(jiān)控到。

無恒實(shí)驗(yàn)室將這種方法包裝成一個(gè)工具，并用它來分析某些在Android設(shè)備中預(yù)裝的應(yīng)用程序。該工具發(fā)現(xiàn)了在很多場景下的用戶信息被非法獲取，目前已經(jīng)將上述問題提交給相關(guān)制造商，并獲得制造商的認(rèn)可與致謝。值得一提的是，該工具有個(gè)顯著優(yōu)勢，即調(diào)用者如果使用0day或者Nday，也一樣可以被檢查到敏感信息被調(diào)用。同時(shí)工具也有不足，即如果大量的字符串被hook后，會(huì)導(dǎo)致APP運(yùn)行卡死，該不足無恒實(shí)驗(yàn)室也在持續(xù)優(yōu)化中。

漏洞已提交至相關(guān)廠商

無恒實(shí)驗(yàn)室秉持負(fù)責(zé)任的漏洞披露政策，已將上述所有發(fā)現(xiàn)的漏洞提交至相關(guān)廠商，并獲得CVE認(rèn)可。無恒實(shí)驗(yàn)室也希望借助演講推動(dòng)隱私保護(hù)的建設(shè)步伐。

同時(shí)也可以看到，從Android 10開始，已經(jīng)不允許第三方應(yīng)用獲取設(shè)備的唯一標(biāo)識(shí)，如果要獲取，則該應(yīng)用程序必須利用0day或者Nday，已經(jīng)大幅提高利用門檻，Android12也增加了刪除廣告ID的能力。當(dāng)然一些問題還始終存在，如應(yīng)用程序的WebView沒有正確處理權(quán)限，會(huì)被用來獲取用戶敏感數(shù)據(jù)。一些OEM廠商沒有嚴(yán)格按照AOSP權(quán)限策略，也會(huì)導(dǎo)致唯一標(biāo)識(shí)被非法獲取，另外廣告ID在某種程度上也變成了持久化的ID，從設(shè)備第一次開機(jī)到手機(jī)恢復(fù)出廠設(shè)置，都可以持續(xù)跟蹤用戶。

這些仍然存在的問題依舊是隱私保護(hù)建設(shè)上的新挑戰(zhàn)，無恒實(shí)驗(yàn)室愿攜手行業(yè)，呼吁監(jiān)管機(jī)構(gòu)、廠商和開發(fā)者等加強(qiáng)合作，共同打造一個(gè)安全合規(guī)的Android生態(tài)，為用戶的安全和隱私保駕護(hù)航。

據(jù)悉，無恒實(shí)驗(yàn)室 (https://security.bytedance.com/security-lab)是由字節(jié)跳動(dòng)資深安全研究人員組成的專業(yè)攻防研究實(shí)驗(yàn)室，致力于為字節(jié)跳動(dòng)旗下產(chǎn)品與業(yè)務(wù)保駕護(hù)航。通過實(shí)戰(zhàn)演練、漏洞挖掘、黑產(chǎn)打擊、應(yīng)急響應(yīng)等手段，不斷提升公司基礎(chǔ)安全、業(yè)務(wù)安全水位，極力降低安全事件對(duì)業(yè)務(wù)和公司的影響程度。

無恒實(shí)驗(yàn)室持續(xù)在前沿安全技術(shù)加大投入，近年來無恒實(shí)驗(yàn)室已有多篇研究成果發(fā)布在包括NDSS、MobiCom、BlackHat等頂會(huì)會(huì)議和期刊。未來，無恒實(shí)驗(yàn)室將持續(xù)深耕移動(dòng)安全和隱私安全，持續(xù)與業(yè)界持續(xù)共享研究成果，協(xié)助企業(yè)避免遭受安全風(fēng)險(xiǎn)，亦望能與業(yè)內(nèi)同行共同合作，為網(wǎng)絡(luò)安全行業(yè)的發(fā)展做出貢獻(xiàn)。（作者：黃恒）

關(guān)鍵詞：