移動(dòng)終端隱私保護(hù)

隱私泄露與防護(hù)東南大學(xué)信息安全研究中心李濤目錄三、隱私泄露檢測(cè)一、終端概念二、終端安全概述四、隱私泄露安全防護(hù)終端定義終端是一個(gè)相對(duì)概念，對(duì)互聯(lián)網(wǎng)而言，終端泛指一切可以接入網(wǎng)絡(luò)的計(jì)算設(shè)備，比如：個(gè)人電腦、手機(jī)、PDA等，用來(lái)讓用戶(hù)輸入數(shù)據(jù)，及顯示其計(jì)算結(jié)果的機(jī)器；終端可以移動(dòng)，也可以固定；可以通過(guò)終端操作系統(tǒng)、是否移動(dòng)、大小、難易等不同方式對(duì)終端進(jìn)行分類(lèi)；終端是新的邊界Android簡(jiǎn)介AndroidLinux-2.6WebkitSQliteopencoreopenGLSkiaBLuezopensslFreetype…Android是一種基于Linux內(nèi)核的綜合操作環(huán)境。從開(kāi)發(fā)人員角度看，Android是一個(gè)大型應(yīng)用程序，將各種開(kāi)源項(xiàng)目的應(yīng)用組織在一起，整合成有綜合功能的系統(tǒng)。Android框架JNIJAVAC/C++/匯編目錄三、隱私泄露檢測(cè)一、終端概念二、終端安全概述四、隱私泄露安全防護(hù)移動(dòng)智能終端隱私問(wèn)題我們真的可以信賴(lài)當(dāng)前移動(dòng)智能操作系統(tǒng)的安全性？移動(dòng)終端威脅目標(biāo)：欺騙用戶(hù)安裝木馬程序活動(dòng)監(jiān)控和數(shù)據(jù)檢索非授權(quán)撥號(hào)、SMS、付款非授權(quán)網(wǎng)絡(luò)連接界面?zhèn)窝b系統(tǒng)篡改邏輯、時(shí)間炸彈移動(dòng)終端脆弱點(diǎn)敏感數(shù)據(jù)泄漏敏感數(shù)據(jù)的不安全存儲(chǔ)敏感數(shù)據(jù)的不安全傳輸密碼（密鑰）的硬件編碼移動(dòng)終端的接口移動(dòng)智能終端隱私數(shù)據(jù)保護(hù)需求智能終端存儲(chǔ)了越來(lái)越多的敏感信息，這些信息都和個(gè)人隱私乃至企業(yè)、國(guó)家的安全相關(guān)。然而，移動(dòng)智能操作系統(tǒng)大都存在隱私數(shù)據(jù)保護(hù)不力的問(wèn)題移動(dòng)智能終端隱私數(shù)據(jù)保護(hù)機(jī)制主流移動(dòng)智能操作系統(tǒng)例如Android和iOS，均采用了權(quán)限控制方式來(lái)管理隱私數(shù)據(jù)Android安全機(jī)制(一)

Android是一個(gè)多進(jìn)程系統(tǒng)，有普通應(yīng)用程序和系統(tǒng)應(yīng)用程序之分，應(yīng)用會(huì)在自己的進(jìn)程中運(yùn)行；Android是一個(gè)權(quán)限分離的系統(tǒng)，充分利用Linux已有的權(quán)限管理機(jī)制，從Android4.3版本開(kāi)始會(huì)增加SELinux安全機(jī)制；Android安全架構(gòu)中一個(gè)中心思想就是：應(yīng)用程序在默認(rèn)的情況下不可以執(zhí)行任何對(duì)其他應(yīng)用程序、系統(tǒng)或者用戶(hù)帶來(lái)負(fù)面影響的操作；Android安全機(jī)制(二)Linux賬戶(hù)管理機(jī)制借鑒：通過(guò)為每一個(gè)Application分配不同的uid和gid，從而使得不同的Application之間的私有數(shù)據(jù)和訪問(wèn)達(dá)到隔離的目的；Android安全機(jī)制(三)permission機(jī)制：主要是用來(lái)對(duì)Application可以執(zhí)行的某些具體操作進(jìn)行權(quán)限細(xì)分和訪問(wèn)控制；簽名機(jī)制：所有的Android應(yīng)用程序（apk文件）必須用證書(shū)進(jìn)行簽名認(rèn)證，而這個(gè)證書(shū)的私鑰是由開(kāi)發(fā)者保有的。

軟件簽名和優(yōu)化命令示例：

移動(dòng)智能終端隱私數(shù)據(jù)泄漏途徑系統(tǒng)及應(yīng)用程序主動(dòng)泄漏系統(tǒng)內(nèi)置后門(mén)應(yīng)用程序收集操作系統(tǒng)及應(yīng)用程序漏洞系統(tǒng)權(quán)限漏洞應(yīng)用程序組件暴露數(shù)據(jù)的不安全存儲(chǔ)與傳輸物理接觸移動(dòng)智能設(shè)備丟失基于線(xiàn)纜連接的數(shù)據(jù)泄漏系統(tǒng)內(nèi)置后門(mén)CarrierIQ運(yùn)營(yíng)商Verizon和Sprint在其多款手機(jī)中預(yù)裝了CarrierIQ軟件，涉及Android、Symbian和BlackBerry三個(gè)平臺(tái)。受影響設(shè)備數(shù)量達(dá)1.41億。多個(gè)著名的第三方定制ROM提供商，例如CyanogenMod，也曾采用這一軟件能夠?qū)崟r(shí)監(jiān)控用戶(hù)使用手機(jī)情況，及記錄用戶(hù)所處位置信息。不通過(guò)用戶(hù)批準(zhǔn)，就會(huì)自動(dòng)啟用并收集手機(jī)上的數(shù)據(jù)（如按鍵信息、短信內(nèi)容、圖片、視頻等）。由于該軟件是內(nèi)核級(jí)的監(jiān)控軟件，普通用戶(hù)無(wú)法關(guān)閉該功能iOS地理位置追蹤iOS4.3之前的版本，會(huì)持續(xù)記錄并儲(chǔ)存用戶(hù)地理位信息，并將地理位置數(shù)據(jù)庫(kù)文件consolidated.db備份到iTunes上。應(yīng)用程序收集Android應(yīng)用程序Android應(yīng)用程序在安裝前會(huì)一次性申請(qǐng)各種需要權(quán)限，大部分程序常常會(huì)申請(qǐng)非必要的權(quán)限，而用戶(hù)很難判定權(quán)限申請(qǐng)是否合理事實(shí)上，大部分國(guó)內(nèi)電子市場(chǎng)上的Android應(yīng)用程序被重打包，重打包過(guò)程中往往加入了惡意代碼和更多的權(quán)限申請(qǐng)iOS應(yīng)用程序iOS采取的是不透明的VettingProcess審查機(jī)制，除了蘋(píng)果公司沒(méi)有人了解其應(yīng)用程序?qū)彶榧?xì)節(jié)。越獄后的設(shè)備，任何程序均可運(yùn)行，完全沒(méi)有監(jiān)管機(jī)制操作系統(tǒng)漏洞Android：非授權(quán)獲得root權(quán)限系統(tǒng)級(jí)漏洞與具體廠商相關(guān)的漏洞（如Samsung硬件處理器相關(guān)的漏洞）iOS：破壞原有安全機(jī)制各種越獄相關(guān)漏洞應(yīng)用程序組件暴露數(shù)據(jù)不安全存儲(chǔ)與傳輸存儲(chǔ)安全問(wèn)題明文存儲(chǔ)敏感數(shù)據(jù)，導(dǎo)致直接被攻擊者復(fù)制不恰當(dāng)存儲(chǔ)登陸憑證，導(dǎo)致攻擊者利用此數(shù)據(jù)竊取網(wǎng)絡(luò)賬戶(hù)隱私數(shù)據(jù)傳輸安全問(wèn)題不使用加密傳輸使用加密傳輸?shù)雎宰C書(shū)驗(yàn)證環(huán)節(jié)物理接觸手機(jī)丟失iPhone：利用越獄漏洞破解加密數(shù)據(jù)線(xiàn)纜連接安全問(wèn)題iOS：iTunes會(huì)自動(dòng)備份數(shù)據(jù)Android：若adb調(diào)試開(kāi)關(guān)被打開(kāi)，可通過(guò)usb線(xiàn)纜直接訪問(wèn)內(nèi)部數(shù)據(jù)問(wèn)題：正使用應(yīng)用中，突然攝像頭被惡意應(yīng)用打開(kāi)，然后咔嚓，信息外泄。靜音作用是防止被用戶(hù)察覺(jué)。步驟：Android常見(jiàn)安全問(wèn)題（一）--靜音拍照偽裝常見(jiàn)界面打開(kāi)攝像頭靜音+拍照關(guān)閉攝像頭保存或指定服務(wù)器提交問(wèn)題：通過(guò)釣魚(yú)程序自動(dòng)獲取用戶(hù)賬戶(hù)密碼等信息；步驟：（以登錄淘寶為例說(shuō)明）1、通過(guò)log或反編譯apk能獲得包和類(lèi)信息；Android常見(jiàn)安全問(wèn)題（二）--釣魚(yú)程序Android常見(jiàn)安全問(wèn)題（二）--釣魚(yú)程序

2、監(jiān)聽(tīng)包和類(lèi)名，應(yīng)用啟動(dòng)后釣魚(yú)程序提前截獲；3、仿造實(shí)現(xiàn)一個(gè)登錄頁(yè)面，等待用戶(hù)輸入；4、獲取用戶(hù)賬戶(hù)和密碼后不再監(jiān)聽(tīng)，并通過(guò)網(wǎng)絡(luò)發(fā)出信息；5、提示用戶(hù)“服務(wù)器忙，請(qǐng)重新登錄！”，退出釣魚(yú)程序，進(jìn)入正常應(yīng)用界面；

6、為防止一直監(jiān)聽(tīng)功耗偏大，還監(jiān)視屏幕是否亮屏，決定是否監(jiān)控；問(wèn)題：利用開(kāi)機(jī)時(shí)發(fā)出的ent.action.BOOT_COMPLETED廣播以及廣播處理優(yōu)先級(jí)進(jìn)行提前啟動(dòng)，植入病毒或垃圾服務(wù)步驟：Android常見(jiàn)安全問(wèn)題（三）--搶先開(kāi)機(jī)啟動(dòng)注冊(cè)一個(gè)Receiver（優(yōu)先級(jí)提升）響應(yīng)廣播onReceiver中添加病毒或垃圾服務(wù)Android常見(jiàn)安全問(wèn)題（四）--短信攔截問(wèn)題：利用收到短信廣播消息以及提升該廣播消息處理優(yōu)先級(jí)攔截短信步驟：攔截短信有幾個(gè)關(guān)鍵點(diǎn)：1、程序只要在自己的Manifest.xml里加有"接收"SMS的權(quán)限；<uses-permissionandroid:name="android.permission.RECEIVE_SMS"></uses-permission>

2、要寫(xiě)個(gè)廣播接收類(lèi)；publicclasssmsreceiveandmaskextendsBroadcastReceiver{ @OverridepublicvoidonReceive(Contextcontext,Intentintent){

}Android常見(jiàn)安全問(wèn)題（四）--短信攔截3、重要的是要在這個(gè)intent-filter上加上priority優(yōu)先級(jí)，以使自己接收到SMS優(yōu)先于系統(tǒng)或其它軟件，飛信就是在這邊劫殺短信處理的<receiverandroid:name=".smsreceiveandmask">

<intent-filterandroid:priority="1000"> <actionandroid:name="vider.Telephony.SMS_RECEIVED"/> </intent-filter> </receiver>4、當(dāng)自己的程序接收到要屏蔽的SMS后，用this.abortBroadcast()；來(lái)結(jié)束廣播的繼續(xù)發(fā)給別的程序，這樣系統(tǒng)就不會(huì)收到短信廣播了，Notification也不會(huì)有提示了

問(wèn)題：有無(wú)數(shù)用戶(hù)覺(jué)得root沒(méi)有什么風(fēng)險(xiǎn)，或者風(fēng)險(xiǎn)不會(huì)降臨到自己頭上，其實(shí)擁有root權(quán)限的手機(jī)風(fēng)險(xiǎn)很大，安全非常差，一般Android手機(jī)終端出廠都是user權(quán)限。舉例：病毒軟件---制作兩個(gè)apk，一個(gè)是真正目的的（病毒，假設(shè)為：real.apk），另一個(gè)是假的殼子（假設(shè)為：fake.apk）。步驟：1、real.apk復(fù)制到fake.apk壓縮包assets目錄下；

Android常見(jiàn)安全問(wèn)題（五）--Root風(fēng)險(xiǎn)2、請(qǐng)求root權(quán)限，然后將real.apk惡意安裝給用戶(hù)；

3、最終，real.apk會(huì)以系統(tǒng)應(yīng)用顯示，用戶(hù)很難懷疑，不會(huì)輕易清除，尤其再取個(gè)與正常系統(tǒng)應(yīng)用相似的名字時(shí)；目錄三、隱私泄露檢測(cè)一、終端概念二、終端安全概述四、隱私泄露安全防護(hù)已有研究工作Android各類(lèi)安全軟件信息流追蹤：TaintDroid權(quán)限設(shè)置：TISSA應(yīng)用程序重寫(xiě)：Aurasium進(jìn)程間通訊控制：ComDroid系統(tǒng)級(jí)隔離：TrustDroid等iOS控制流分析：PiOS硬件加密：基于硬件加密處理器的全磁盤(pán)加密2023/2/634監(jiān)控第三方軟件行為用戶(hù)自定義程序能接觸到的信息程度重打包，監(jiān)控敏感操作保護(hù)IPC過(guò)程內(nèi)核級(jí)別的系統(tǒng)隔離對(duì)APP進(jìn)行細(xì)粒度的數(shù)據(jù)使用管理已有研究工作需要用戶(hù)進(jìn)行合理性判斷對(duì)原有應(yīng)用程序進(jìn)行更改iOS安全軟件需要越獄支持2023/2/635用戶(hù)一般不具備專(zhuān)業(yè)安全知識(shí)程序來(lái)源廣泛，發(fā)布方眾多越獄本身破壞安全機(jī)制動(dòng)機(jī)提供檢測(cè)服務(wù)告之用戶(hù)敏感數(shù)據(jù)何時(shí)被什么應(yīng)用泄漏到哪去分析無(wú)線(xiàn)智能終端上數(shù)據(jù)業(yè)務(wù)層的敏感數(shù)據(jù)的訪問(wèn)歷史和流向，形成信息泄露的痕跡報(bào)告，給出危害來(lái)源和修復(fù)建議服務(wù)個(gè)人用戶(hù)、應(yīng)用商店、移動(dòng)終端開(kāi)發(fā)者、檢測(cè)機(jī)構(gòu)等2023/2/636研究?jī)?nèi)容根據(jù)平臺(tái)開(kāi)放性的不同，進(jìn)行不同程度的研究iOS和WinPhone：外圍檢測(cè)，進(jìn)行接口數(shù)據(jù)包的分析Android2023/2/637離線(xiàn)分析實(shí)時(shí)檢測(cè)接口分析敏感數(shù)據(jù)泄漏途徑離線(xiàn)自動(dòng)化分析主要針對(duì)在Android系統(tǒng)應(yīng)用中植入木馬、病毒等導(dǎo)致的敏感數(shù)據(jù)泄漏。檢測(cè)已安裝的應(yīng)用，離線(xiàn)分析應(yīng)用可能的威脅行為。2023/2/638靜態(tài)分析離線(xiàn)分析動(dòng)態(tài)分析2023/2/639動(dòng)態(tài)分析生成報(bào)告靜態(tài)分析1.反編譯apk文件2.AndroidManifest3.敏感APIs4.StaticResult1.DroidBox2.自動(dòng)化測(cè)試3.DynamicResult格式：.xml內(nèi)容：1.AndroidManifest2.靜態(tài)分析日志3.動(dòng)態(tài)分析日志動(dòng)態(tài)分析2023/2/640動(dòng)態(tài)分析2023/2/6411.計(jì)算矩形控件四角的絕對(duì)坐標(biāo)2.計(jì)算矩形中心的絕對(duì)坐標(biāo)通過(guò)ViewServer獲取ViewTree(x,y)與ViewId一一對(duì)應(yīng)，通過(guò)與模擬器的交互完成對(duì)控件的點(diǎn)擊計(jì)算坐標(biāo)自動(dòng)點(diǎn)擊獲取ViewTree動(dòng)態(tài)分析定義22種污點(diǎn)（定位、聯(lián)系人、手機(jī)號(hào)、SIM卡數(shù)據(jù)、設(shè)備號(hào)……）一旦訪問(wèn)敏感數(shù)據(jù)，會(huì)自動(dòng)為敏感數(shù)據(jù)標(biāo)記污點(diǎn)污染跟蹤，污點(diǎn)伴隨敏感數(shù)據(jù)傳播記錄所測(cè)應(yīng)用程序的行為，并在系統(tǒng)邊界處（短信、文件、網(wǎng)絡(luò)）做污點(diǎn)監(jiān)測(cè)2023/2/642靜態(tài)分析反編譯APK獲取應(yīng)用程序的四大組件：ActivityServiceContentProviderBroadcastReceiver

獲取應(yīng)用程序的權(quán)限獲取敏感API2023/2/643基于邊界的敏感數(shù)據(jù)泄漏檢測(cè)對(duì)四種平臺(tái)（iOS、Android、WinPhone、Symbian）網(wǎng)絡(luò)邊界接口（3G、GPRS、WiFi、Bluetooth）的IP層數(shù)據(jù)進(jìn)行監(jiān)測(cè)，對(duì)其數(shù)據(jù)進(jìn)行解析匹配。2023/2/644傳輸數(shù)據(jù)匹配2023/2/645IMEI、IMSI、手機(jī)型號(hào)、聯(lián)系人姓名、手機(jī)號(hào)、短信、圖片、文件名……確定敏感信息寫(xiě)入庫(kù)文件抓包，重組匹配大小寫(xiě)、倒序、MD5加密、base64編碼變換敏感信息庫(kù)2023/2/646敏感數(shù)據(jù)實(shí)時(shí)檢測(cè)2023/2/647報(bào)文數(shù)據(jù)匹配到手機(jī)型號(hào)數(shù)據(jù)包信息（時(shí)間，源端口號(hào)，目的ip，包含的敏感數(shù)據(jù)）敏感數(shù)據(jù)泄漏實(shí)時(shí)監(jiān)控軟件監(jiān)控對(duì)象API調(diào)用發(fā)起者時(shí)間行為2023/2/648系統(tǒng)監(jiān)控2023/2/649監(jiān)控應(yīng)用程序?qū)嶋H上是監(jiān)控消息在系統(tǒng)中的傳遞，Android的IPC（Inter-ProcessCommunication，進(jìn)程間通信）主要的機(jī)制是Binder。系統(tǒng)監(jiān)控選擇關(guān)鍵入口點(diǎn)ServiceManager系統(tǒng)進(jìn)程作為注入的對(duì)象，替換ServiceManager中的關(guān)鍵函數(shù)為我們自己寫(xiě)的函數(shù)2023/2/650系統(tǒng)監(jiān)控2023/2/6511)先用ptrace調(diào)試目標(biāo)進(jìn)程2)在目標(biāo)進(jìn)程開(kāi)辟內(nèi)存空間3)將代碼拷貝到目標(biāo)進(jìn)程內(nèi)存空間4)替換原函數(shù)地址，跳轉(zhuǎn)到我們自定義函數(shù)系統(tǒng)監(jiān)控監(jiān)控手機(jī)內(nèi)所有應(yīng)有程序的涉及用戶(hù)數(shù)據(jù)泄露的行為，可查看監(jiān)控日志和統(tǒng)計(jì)圖表2023/2/652文件追蹤對(duì)SD卡文件以及系統(tǒng)數(shù)據(jù)敏感文件的監(jiān)聽(tīng)用戶(hù)可以選擇添加一個(gè)或者多個(gè)文件作為監(jiān)聽(tīng)對(duì)象短信數(shù)據(jù)庫(kù)文件和聯(lián)系人數(shù)據(jù)庫(kù)作為默認(rèn)監(jiān)聽(tīng)對(duì)象監(jiān)聽(tīng)記錄這些對(duì)象被訪問(wèn)的時(shí)間，供最終的安全分析提供數(shù)據(jù)2023/2/653文件追蹤使用Android的API提供的文件監(jiān)聽(tīng)類(lèi)FileObserve，繼承FileObserve中的函數(shù)，可以實(shí)現(xiàn)對(duì)訪問(wèn)文件ACCESS操作的記錄重寫(xiě)其中的開(kāi)始監(jiān)聽(tīng)startwacthing函數(shù)、操作事件onEvent函數(shù)實(shí)現(xiàn)有效監(jiān)聽(tīng)2023/2/654文件追蹤指定監(jiān)控對(duì)象，追蹤這些文件被訪問(wèn)的動(dòng)作和時(shí)間2023/2/655目錄三、隱私泄露檢測(cè)一、終端概念二、終端安全概述四、隱私泄露安全防護(hù)完善的終端安全防護(hù)體系應(yīng)當(dāng)具備什么條件？實(shí)時(shí)檢測(cè)、攔截和移除主動(dòng)針對(duì)零時(shí)差攻擊提供保護(hù)主動(dòng)攔截對(duì)已禁止使用設(shè)備訪問(wèn)檢測(cè)和攔截其他未知外部威脅數(shù)據(jù)過(guò)濾及時(shí)更新防護(hù)系統(tǒng)完善的終端安全防護(hù)體系應(yīng)當(dāng)具備什么條件？完善的終端安全防護(hù)體系應(yīng)當(dāng)具備什么條件？智能手機(jī)防護(hù)技術(shù)常見(jiàn)安全防護(hù)技術(shù)常見(jiàn)安全防護(hù)技術(shù)硬件防護(hù)技術(shù)—ARMTrustZone

ARMTrustZone?技術(shù)是系統(tǒng)范圍的安全方法，針對(duì)高性能計(jì)算平臺(tái)上的大量應(yīng)用，包括安全支付、數(shù)字版權(quán)管理(DRM)、企業(yè)服務(wù)和基于Web的服務(wù)?？赏ㄟ^(guò)以下方式確保系統(tǒng)安全：隔離所有SoC硬件和軟件資源，使它們分別位于兩個(gè)區(qū)域（用于安全子系統(tǒng)的安全區(qū)域以及用于存儲(chǔ)其他所有內(nèi)