近日，字節(jié)跳動無恒實驗室的隱私保護研究議題亮相Black Hat Asia 2023（亞洲黑帽大會），議題分享了關(guān)于重新審視Android應(yīng)用程序的隱私敏感信息收集行為的現(xiàn)狀研究。

Black Hat大會被公認為世界信息安全行業(yè)的頂級盛會，每年分別在美國、歐洲、亞洲各舉辦一次安全信息技術(shù)峰會。此前Black Hat Asia2021大會上，無恒實驗室的安全研究《Do Apps Respect Your Privacy as TheyClaim?》也入選演講，議題同樣著眼于用戶隱私保護。可以看到，無恒實驗室多年來在移動安全和隱私安全方向持續(xù)投入，助力用戶隱私保護的安全建設(shè)。

(資料圖)

近年來，隨著用戶隱私數(shù)據(jù)保護在全球范圍內(nèi)引起廣泛關(guān)注，各國政府也相繼制定了以隱私為重點的數(shù)據(jù)保護法規(guī)，嚴格規(guī)范用戶隱私數(shù)據(jù)的收集和利用，如歐盟制定的GDPR，企業(yè)若侵犯用戶隱私可能會導(dǎo)致巨額罰款，GDPR規(guī)定最高達2000萬歐元的罰款，或者企業(yè)全球年收入的4%，可見用戶的隱私數(shù)據(jù)保護已達到空前的重視程度。

Android隱私數(shù)據(jù)保護的演進

Google從Android 6 開始增加對隱私保護的建設(shè)，如增加運行時權(quán)限，當需要獲取設(shè)備唯一標識、位置信息、相機等數(shù)據(jù)時均需要拿到運行時權(quán)限。在Android10時繼續(xù)加大隱私保護力度，如限制應(yīng)用獲取IMEI等設(shè)備唯一標識符。Android 12開始，用戶可以設(shè)置限制追蹤禁止APP獲取GAID(谷歌廣告ID)。同時，無恒實驗室也注意到，對于iOS系統(tǒng)來說，從iOS 14.5開始，App想要獲取 IDFA，也需要用戶手動授權(quán)。

綜上看來，主流操作系統(tǒng)對于用戶隱私保護似乎已經(jīng)做的很不錯了，但是事實真的是這樣嗎？這幾年無恒實驗室一直帶著這些疑問對系統(tǒng)和APP的隱私問題做了持續(xù)性研究，發(fā)現(xiàn)在WebView、廣告ID、唯一標識符等方面，無論是在Android設(shè)備還是APP中還是存在一些不足，這些不足都嚴重影響著用戶的隱私數(shù)據(jù)保護，造成用戶敏感信息泄露。

研究發(fā)現(xiàn)：若WebView沒做合適的開發(fā)配置，用戶數(shù)據(jù)仍不安全

根據(jù)研究發(fā)現(xiàn)，一旦WebView沒有進行合適的開發(fā)配置，那用戶的敏感數(shù)據(jù)如位置信息、麥克風(fēng)、攝像頭等可能被不法利用。同時，關(guān)于廣告ID，大多數(shù)用戶對廣告ID也很困惑，雖然廣告 ID被設(shè)計成可重置的廣告ID，但重置意義不大，只要廣告 ID還在，便可以用來跟蹤用戶，比如在兩個應(yīng)用中交叉跟蹤用戶依舊可以實現(xiàn)的。

同時，幾乎所有的敏感信息在傳遞到應(yīng)用程序之前都會被編碼成一個字符串。在這個背景下，無恒實驗室自研了一種相對簡單的檢測方法來解決隱私泄露的問題，即通過HookString的構(gòu)造函數(shù)方式，便可以檢查在移動設(shè)備上構(gòu)造的所有字符串，這種策略看似簡單但是很全面，因為無論惡意應(yīng)用程序以任何方式獲取敏感數(shù)據(jù)字符串，都可以監(jiān)控到。

無恒實驗室將這種方法包裝成一個工具，并用它來分析某些在Android設(shè)備中預(yù)裝的應(yīng)用程序。該工具發(fā)現(xiàn)了在很多場景下的用戶信息被非法獲取，目前已經(jīng)將上述問題提交給相關(guān)制造商，并獲得制造商的認可與致謝。值得一提的是，該工具有個顯著優(yōu)勢，即調(diào)用者如果使用0day或者Nday，也一樣可以被檢查到敏感信息被調(diào)用。同時工具也有不足，即如果大量的字符串被hook后，會導(dǎo)致APP運行卡死，該不足無恒實驗室也在持續(xù)優(yōu)化中。

漏洞已提交至相關(guān)廠商

無恒實驗室秉持負責(zé)任的漏洞披露政策，已將上述所有發(fā)現(xiàn)的漏洞提交至相關(guān)廠商，并獲得CVE認可。無恒實驗室也希望借助演講推動隱私保護的建設(shè)步伐。

同時也可以看到，從Android 10開始，已經(jīng)不允許第三方應(yīng)用獲取設(shè)備的唯一標識，如果要獲取，則該應(yīng)用程序必須利用0day或者Nday，已經(jīng)大幅提高利用門檻，Android12也增加了刪除廣告ID的能力。當然一些問題還始終存在，如應(yīng)用程序的WebView沒有正確處理權(quán)限，會被用來獲取用戶敏感數(shù)據(jù)。一些OEM廠商沒有嚴格按照AOSP權(quán)限策略，也會導(dǎo)致唯一標識被非法獲取，另外廣告ID在某種程度上也變成了持久化的ID，從設(shè)備第一次開機到手機恢復(fù)出廠設(shè)置，都可以持續(xù)跟蹤用戶。

這些仍然存在的問題依舊是隱私保護建設(shè)上的新挑戰(zhàn)，無恒實驗室愿攜手行業(yè)，呼吁監(jiān)管機構(gòu)、廠商和開發(fā)者等加強合作，共同打造一個安全合規(guī)的Android生態(tài)，為用戶的安全和隱私保駕護航。

據(jù)悉，無恒實驗室 (https://security.bytedance.com/security-lab)是由字節(jié)跳動資深安全研究人員組成的專業(yè)攻防研究實驗室，致力于為字節(jié)跳動旗下產(chǎn)品與業(yè)務(wù)保駕護航。通過實戰(zhàn)演練、漏洞挖掘、黑產(chǎn)打擊、應(yīng)急響應(yīng)等手段，不斷提升公司基礎(chǔ)安全、業(yè)務(wù)安全水位，極力降低安全事件對業(yè)務(wù)和公司的影響程度。

無恒實驗室持續(xù)在前沿安全技術(shù)加大投入，近年來無恒實驗室已有多篇研究成果發(fā)布在包括NDSS、MobiCom、BlackHat等頂會會議和期刊。未來，無恒實驗室將持續(xù)深耕移動安全和隱私安全，持續(xù)與業(yè)界持續(xù)共享研究成果，協(xié)助企業(yè)避免遭受安全風(fēng)險，亦望能與業(yè)內(nèi)同行共同合作，為網(wǎng)絡(luò)安全行業(yè)的發(fā)展做出貢獻。（作者：黃恒）

關(guān)鍵詞：