Android系統(tǒng)“照明彈”功能的技術(shù)及法律規(guī)制

Android系統(tǒng)“照明彈”功能的技術(shù)及法律規(guī)制基于當(dāng)前“照明彈”功能存在的問(wèn)題，本文結(jié)合“照明彈”功能的工作機(jī)制入手，對(duì)當(dāng)前誤報(bào)情況進(jìn)行分析，并結(jié)合相關(guān)問(wèn)題提出照明彈功能的法律規(guī)制建議。編者按：由于Android操作系統(tǒng)本身具有開(kāi)放性，其豐富的編程接口給開(kāi)發(fā)人員提供了極大的便利，不同的手機(jī)廠商可以定制不同的手機(jī)系統(tǒng)，同時(shí)也使得Android平臺(tái)上的應(yīng)用在調(diào)用系統(tǒng)權(quán)限、收集終端用戶數(shù)據(jù)過(guò)程中具有更大的開(kāi)放性。雖然自Android10系統(tǒng)后，普通應(yīng)用軟件將不能獲取IMEI等不可變更的唯一標(biāo)識(shí)符，但仍然存在應(yīng)用在獲取權(quán)限后過(guò)度或頻繁采集數(shù)據(jù)的風(fēng)險(xiǎn)。對(duì)此，多家Android手機(jī)廠商在其操作系統(tǒng)內(nèi)新增了“照明彈”功能，即可以對(duì)手機(jī)中的各個(gè)應(yīng)用調(diào)用權(quán)限、收集數(shù)據(jù)的情況進(jìn)行監(jiān)控，并可以提示用戶或供用戶對(duì)相關(guān)應(yīng)用行為進(jìn)行查詢。為行文之便，本文將該類檢測(cè)功能統(tǒng)稱為“照明彈”功能，該統(tǒng)稱不代表本文針對(duì)任何特定操作系統(tǒng)。Android手機(jī)廠商所定制的類似軟件調(diào)用權(quán)限與收集數(shù)據(jù)行為監(jiān)控的功能在保護(hù)用戶隱私方面做出了積極貢獻(xiàn)，但也存在著檢測(cè)功能不完善，無(wú)法對(duì)應(yīng)用調(diào)用權(quán)限或收集數(shù)據(jù)行為進(jìn)行準(zhǔn)確識(shí)別，甚至出現(xiàn)應(yīng)用并未調(diào)用權(quán)限或收集數(shù)據(jù)而被誤報(bào)為頻繁請(qǐng)求權(quán)限或收集數(shù)據(jù)的情形，導(dǎo)致應(yīng)用的正當(dāng)處理活動(dòng)被該類功能判定頻繁密集調(diào)用權(quán)限、收集數(shù)據(jù)?；诋?dāng)前“照明彈”功能存在的問(wèn)題，本文結(jié)合“照明彈”功能的工作機(jī)制入手，對(duì)當(dāng)前誤報(bào)情況進(jìn)行分析，并結(jié)合相關(guān)問(wèn)題提出照明彈功能的法律規(guī)制建議。1.“照明彈”功能的技術(shù)實(shí)現(xiàn)方式Android操作系統(tǒng)對(duì)軟件行為的監(jiān)控主要是通過(guò)其對(duì)系統(tǒng)API的調(diào)用進(jìn)行檢測(cè)分析來(lái)完成的，檢測(cè)分析有系統(tǒng)調(diào)用劫持、共享庫(kù)注入、Binder通信監(jiān)控等不同實(shí)現(xiàn)方式。其中，常用的方式是共享庫(kù)注入，其主要任務(wù)是將自己編寫(xiě)的共享庫(kù)文件裝載到目標(biāo)應(yīng)用程序進(jìn)程地址空間中，從而對(duì)目標(biāo)應(yīng)用程序調(diào)用權(quán)限與收集數(shù)據(jù)情況進(jìn)行監(jiān)控。方法一：系統(tǒng)調(diào)用劫持該方式主要是先通過(guò)內(nèi)核編譯技術(shù)來(lái)解決一般Android系統(tǒng)不支持自定義內(nèi)核模塊的動(dòng)態(tài)加載問(wèn)題。然后通過(guò)對(duì)應(yīng)用程序系統(tǒng)調(diào)用過(guò)程進(jìn)行劫持，運(yùn)用包含log功能的自定義模塊對(duì)原始系統(tǒng)調(diào)用模塊進(jìn)行替換，進(jìn)而通過(guò)log功能對(duì)應(yīng)用程序調(diào)用API的詳細(xì)過(guò)程進(jìn)行記錄與輸出，從而實(shí)現(xiàn)對(duì)應(yīng)用程序行為的內(nèi)核級(jí)監(jiān)控。方法二：共享庫(kù)注入Zygote是Android系統(tǒng)上所有應(yīng)用程序進(jìn)程的父進(jìn)程，每個(gè)應(yīng)用程序被打開(kāi)時(shí)，fork()函數(shù)被調(diào)用，并生成一個(gè)新的子進(jìn)程，該子進(jìn)程擁有Zygote進(jìn)程所擁有的所有資源。故而本方法通過(guò)將共享庫(kù)文件注入Zygote進(jìn)程中的方式實(shí)現(xiàn)，每當(dāng)新的子進(jìn)程啟動(dòng)時(shí)，該子進(jìn)程就會(huì)自動(dòng)擁有共享庫(kù)文件。共享庫(kù)功能主要是對(duì)Dalvik虛擬機(jī)中一些敏感API進(jìn)行劫持，并重定向到自定義函數(shù)中，自定義函數(shù)通過(guò)log功能對(duì)應(yīng)用程序調(diào)用API的詳細(xì)過(guò)程進(jìn)行記錄與輸出。方法三：Binder通信監(jiān)控Binder機(jī)制是Android平臺(tái)上來(lái)實(shí)現(xiàn)進(jìn)程間通信的新的IPC機(jī)制，其采用Client-Server通信方式。一般而言，應(yīng)用發(fā)出某個(gè)請(qǐng)求時(shí)，會(huì)首先向ServiceManager發(fā)出getService請(qǐng)求，獲取提供相應(yīng)服務(wù)的進(jìn)程的Binder引用，然后通過(guò)這個(gè)Binder引用來(lái)對(duì)相應(yīng)的服務(wù)進(jìn)行訪問(wèn)操作。其中，被請(qǐng)求的服務(wù)要先檢查發(fā)送請(qǐng)求的應(yīng)用程序是否有相應(yīng)權(quán)限。該方法就是在Android權(quán)限訪問(wèn)控制基礎(chǔ)上為需要監(jiān)控的服務(wù)增加了一個(gè)訪問(wèn)控制模塊。這樣，一個(gè)應(yīng)用程序的訪問(wèn)請(qǐng)求就會(huì)首先通過(guò)新增的訪問(wèn)控制模塊，然后再轉(zhuǎn)發(fā)到對(duì)應(yīng)的后臺(tái)服務(wù)模塊，以此完成對(duì)Android軟件行為的監(jiān)控。注：Zygote是一個(gè)Native應(yīng)用程序，是孵化虛擬機(jī)實(shí)例的虛擬機(jī)進(jìn)程，它在ndroid系統(tǒng)啟動(dòng)的時(shí)候就會(huì)產(chǎn)生，實(shí)現(xiàn)虛擬機(jī)的初始化，庫(kù)的加載、初始化等操作。每當(dāng)系統(tǒng)接收到一個(gè)Android應(yīng)用程序執(zhí)行請(qǐng)求時(shí)Zygote就會(huì)fork()出一個(gè)Zygote子進(jìn)程，該Zygote子進(jìn)程會(huì)復(fù)制父進(jìn)程的資源，如Android應(yīng)用框架使用的類和資源等，然后Zygote子進(jìn)程會(huì)動(dòng)態(tài)加載并運(yùn)行Android應(yīng)用。2?“照明彈”檢測(cè)造成的誤判情形(1)照明彈功能自身bug導(dǎo)致誤判某手機(jī)操作系統(tǒng)增加了App“讀取相冊(cè)”和“讀取社交應(yīng)用文件”披露功能，在該系統(tǒng)上運(yùn)行App時(shí)，如果用戶拒絕了“相冊(cè)”或“社交應(yīng)用文件”訪問(wèn)權(quán)限時(shí)，系統(tǒng)會(huì)彈出“已禁止XXXApp讀取社交應(yīng)用文件”的通知，同時(shí)在該系統(tǒng)的應(yīng)用行為記錄中也會(huì)記錄了“XXXApp訪問(wèn)了社交應(yīng)用軟件”。當(dāng)前，在相關(guān)App并未“讀取社交應(yīng)用文件”時(shí)，該系統(tǒng)也會(huì)向用戶提示"App讀取社交應(yīng)用文件"，而導(dǎo)致這一問(wèn)題的原因在于代碼邏輯存在問(wèn)題，即：只要用戶關(guān)閉“社交應(yīng)用權(quán)限”開(kāi)關(guān)，即使訪問(wèn)路徑與社交應(yīng)用文件不匹配，也會(huì)導(dǎo)致一直出現(xiàn)提示“已禁止xxx訪問(wèn)社交應(yīng)用文件”的彈窗。rnaitiEkianfli隕□正購(gòu)注期界;Ifl^9|rnaitiEkianfli隕□正購(gòu)注期界;Ifl^9|爆己草止s噥理集歲IBM呼][fjgl-監(jiān)!■■說(shuō)口1■刖出]弊＞&丘?？傇擰SMsSiLfltJJPWUlI「■書(shū)UHQ^且ISWKflH實(shí)匾上CRJ'!?J.■■朗f^?」廿立玄傅搐■述1■柑疋舊尸pty-ifurifipirx^?rs*匸ci們盲ia世口即齡■忙文咒fhzl由*址丁?前飢秤E力打14空丼晉11?1\尸卒樺曲和貿(mào)*.apiK4*i?a?sji-*Kr.tE.￡miiifi?xna|T?(2)照明彈功能與App兼容問(wèn)題導(dǎo)致誤判某手機(jī)操作系統(tǒng)增加了App“后臺(tái)調(diào)用攝像頭”披露功能，在該系統(tǒng)上運(yùn)行App時(shí)，如果App在后臺(tái)時(shí)仍調(diào)用攝像頭權(quán)限，系統(tǒng)會(huì)提示用戶“App在后臺(tái)拍照或錄像”。當(dāng)前，這一功能可能由于應(yīng)用適配問(wèn)題，導(dǎo)致App僅在毫秒級(jí)未釋放權(quán)限的情況下，仍然向用戶提示“App在后臺(tái)拍照或錄像”。經(jīng)過(guò)分析后發(fā)現(xiàn)，造成該問(wèn)題的原因在于該功能系通過(guò)Cameraservice實(shí)現(xiàn)對(duì)相機(jī)操作的監(jiān)控實(shí)現(xiàn)，CameraService記錄了攝像頭釋放的時(shí)間，回傳給AppOps產(chǎn)生的日志。此時(shí)，如果攝像頭釋放的時(shí)刻大于應(yīng)用切換到后臺(tái)的時(shí)刻(即使為毫秒級(jí))，也會(huì)被記錄并通知用戶。后經(jīng)過(guò)在安卓原生系統(tǒng)測(cè)試，原生系統(tǒng)僅會(huì)在日志中對(duì)這一活動(dòng)進(jìn)行記錄，并記錄未釋放權(quán)限的毫秒級(jí)時(shí)間而不會(huì)對(duì)進(jìn)行通知。由于App在拍攝后通過(guò)不同的導(dǎo)航退出時(shí)，相應(yīng)的釋放時(shí)間差會(huì)有很大不同，且毫秒級(jí)的未釋放權(quán)限對(duì)用戶幾乎無(wú)損害。因此，考慮到技術(shù)所限和用戶體驗(yàn)，APP通常很難做到零延遲釋放攝像頭權(quán)限。(3)照明彈功能檢測(cè)細(xì)粒度較粗導(dǎo)致誤判某手機(jī)操作系統(tǒng)增加了App“調(diào)用地理位置”披露功能，在該系統(tǒng)上運(yùn)行App時(shí)，如果App持續(xù)調(diào)用地理位置信息，該功能將記錄或告知用戶。當(dāng)前，在相關(guān)App在做網(wǎng)絡(luò)性能優(yōu)化時(shí)，網(wǎng)絡(luò)切換會(huì)調(diào)用getConnectionlnfo以獲取WIFI連接狀態(tài)信息，網(wǎng)絡(luò)質(zhì)量探測(cè)模塊也會(huì)調(diào)用這個(gè)接口獲取wifi信號(hào)強(qiáng)度(RSSI)，用來(lái)評(píng)估網(wǎng)絡(luò)質(zhì)量。APP調(diào)用getConnectionlnfo的API接口時(shí)，如果用戶已授權(quán)精確地理位置權(quán)限(ACCESS_FINE_LOCATION)時(shí)，getConnectionlnfo返回的WifiInfo對(duì)象中會(huì)包含有真實(shí)值的SSID、BSSID；但當(dāng)用戶未授權(quán)精確位置權(quán)限時(shí)，則SSID、BSSID兩個(gè)字段為空，但不影響Wifiinfo對(duì)象中的其它字段，包括RSSI等。fitfturn-about亡1卍currentWt-Fic&firw<LloriBifjnyIsfi-ccivCu?電口》Intheco<ifiec,teflst4ter事=￡崎&號(hào)to5SIP頁(yè)唧品w號(hào)idsawpomisfion-s(glinkrff&tScjfflRismltfl},1*ttiich*亡￡命$最isnot{?linkInfvflgat^SiD}wt11rfftmrfi怕u口日bH^unknnnnsid>H)講胡車(^UnkWiiflInFoflgetAS^lb}willreturn相g血”弗：M洽嶺弗曲A}」pgreturAttieW1-F1彳審『0?豪*?卡曲片e-sni-Bi'S^ed1n?1ftlrtlfflJ?flTlUHswifiJflfflg?rC9*ir>9Cti^njnfo(){"Y{rBiurnnSurvic*.gattorwicctionlnfa■；nCont^Ke.gctDpPockag^Nire!)■)：2CAtChi-[RtFrt±^EKC^ipE&n*){thr^Aw?.■"ittliFiwF/?Sy4CfeftSft\SaturnthtfreauLtfidFthtI-atest>ecei,spoint,sejn.^returntlieHatofacc??gKi1nt?fgn日Inthewstrecedesesn..M^pp■w^s:hold■（glirikfest?peri?1百蘭d小戸?血€￡走哲5；.FH忙E.LQC；由TIO坤鼻農(nóng)匚丘55.F走-LQ&iTICW：}1pioraurE日<*tvallari-wl*p-ubldcList^'SicanREM^logetlq-atfi^G^u）--|<ry（returnraSer*vfcie-get&cdm^iesuLtii；咸口ncesT.^etOpP^ck出g離閭沖呂圭（>J|5eateh毘hw啊^氓電“綁酬電）（thrweHrrthrowFr&nSysiipaStrwrC}aI1由此，每當(dāng)進(jìn)行網(wǎng)絡(luò)信號(hào)狀態(tài)判時(shí)，由于調(diào)用了getConnectionlnfo的API接口，可能導(dǎo)致每次判斷網(wǎng)絡(luò)狀態(tài)時(shí)，都被照明彈功能記錄為“App調(diào)用地理位置”。而實(shí)際上，如果該功能可以進(jìn)一步精細(xì)化判斷權(quán)限組和對(duì)應(yīng)接口獲取參數(shù)的問(wèn)題，可以在一定程度上緩解類似誤報(bào)情形。3?“照明彈”功能與App的適配及法律規(guī)制“照明彈”功能無(wú)疑為用戶提供了對(duì)應(yīng)用軟件收集設(shè)備信息的直觀了解方式，對(duì)于用戶實(shí)現(xiàn)數(shù)據(jù)保護(hù)意識(shí)起到了積極的作用。因此這一功能是增強(qiáng)數(shù)據(jù)處理“透明度”的重要技術(shù)抓手，同時(shí)也是中國(guó)手機(jī)等終端設(shè)備廠商重視用戶隱私保護(hù)理念的技術(shù)落地方案。當(dāng)然，從前文中我們也看到，由于技術(shù)條件所限“照明彈”功能可能還有很多不甚完善之處，其中還可能造成用戶的誤解甚至恐慌，也可能給App開(kāi)發(fā)者帶來(lái)很大程度的輿情壓力。因此，為了保障“照明彈”這一隱私保護(hù)框架能夠促健康和可持續(xù)發(fā)展，需要形成廠商、應(yīng)用開(kāi)發(fā)者、行業(yè)監(jiān)管以及用戶的共同參與機(jī)制，進(jìn)一步細(xì)化相關(guān)規(guī)則，避免徒增“隱私焦慮”，進(jìn)而撕裂社會(huì)成員間的信賴?yán)?，并且避免手機(jī)廠商落入“詆毀商業(yè)信譽(yù)”的法律風(fēng)險(xiǎn)之中。(1)細(xì)化照明彈功能對(duì)敏感API監(jiān)控的粒度將應(yīng)用對(duì)敏感API調(diào)用的監(jiān)控粒度盡量細(xì)化，避免對(duì)所有涉及敏感API調(diào)用的事件進(jìn)行統(tǒng)一忽略或統(tǒng)一拒絕。對(duì)于暫時(shí)難以做到細(xì)化的，需要在提示敏感功能被調(diào)用時(shí)，對(duì)可能造成的原因向用戶進(jìn)行提示或說(shuō)明，以避免對(duì)App的處理活動(dòng)造成誤傷。通過(guò)攔截Binder信息監(jiān)控應(yīng)用的方法，需要對(duì)訪問(wèn)控制模塊中攔截的信息進(jìn)行分析過(guò)濾，判斷傳遞的消息是否真正侵犯用戶權(quán)益。根據(jù)Binder信息傳遞機(jī)制，某些系統(tǒng)服務(wù)啟動(dòng)、注冊(cè)等不會(huì)對(duì)用戶個(gè)人信息造成侵害的應(yīng)用行為也會(huì)調(diào)起B(yǎng)inder機(jī)制，若將這些行為統(tǒng)一認(rèn)定為侵犯用戶信息從而傳遞給用戶，將對(duì)應(yīng)用開(kāi)發(fā)者在用戶方面的信譽(yù)造成一定程度上的侵害。建立照明彈功能“沙盒測(cè)試”機(jī)制在照明彈新增功能正式上線測(cè)試前，為開(kāi)發(fā)者(可以加白名單)提供測(cè)試環(huán)境以驗(yàn)證相關(guān)監(jiān)控功能的準(zhǔn)確率是否在容錯(cuò)范圍之內(nèi)，避免新監(jiān)控功能上線后導(dǎo)致大規(guī)模非真實(shí)違規(guī)行為被錯(cuò)誤認(rèn)定。同時(shí)，這一機(jī)制也有助于應(yīng)用開(kāi)發(fā)者更好完善自身應(yīng)用調(diào)用數(shù)據(jù)的規(guī)范性。在這一機(jī)制下，手機(jī)廠商有義務(wù)聽(tīng)取并記錄應(yīng)用開(kāi)發(fā)者反饋意見(jiàn)，對(duì)于不采納的意見(jiàn)應(yīng)當(dāng)予以說(shuō)明并記錄。應(yīng)用開(kāi)發(fā)者也有義務(wù)對(duì)于在測(cè)試中發(fā)現(xiàn)的不合理的調(diào)用權(quán)限、數(shù)據(jù)處理等行為進(jìn)行修正。建立照明彈功能有效性評(píng)估標(biāo)準(zhǔn)對(duì)于照明彈透?jìng)餍畔⑹欠窨茖W(xué)合理，可