移動終端隱私保護

隱私泄露與防護東南大學信息安全研究中心李濤目錄三、隱私泄露檢測一、終端概念二、終端安全概述四、隱私泄露安全防護終端定義終端是一個相對概念，對互聯(lián)網(wǎng)而言，終端泛指一切可以接入網(wǎng)絡的計算設備，比如：個人電腦、手機、PDA等，用來讓用戶輸入數(shù)據(jù)，及顯示其計算結果的機器；終端可以移動，也可以固定；可以通過終端操作系統(tǒng)、是否移動、大小、難易等不同方式對終端進行分類；終端是新的邊界Android簡介AndroidLinux-2.6WebkitSQliteopencoreopenGLSkiaBLuezopensslFreetype…Android是一種基于Linux內核的綜合操作環(huán)境。從開發(fā)人員角度看，Android是一個大型應用程序，將各種開源項目的應用組織在一起，整合成有綜合功能的系統(tǒng)。Android框架JNIJAVAC/C++/匯編目錄三、隱私泄露檢測一、終端概念二、終端安全概述四、隱私泄露安全防護移動智能終端隱私問題我們真的可以信賴當前移動智能操作系統(tǒng)的安全性？移動終端威脅目標：欺騙用戶安裝木馬程序活動監(jiān)控和數(shù)據(jù)檢索非授權撥號、SMS、付款非授權網(wǎng)絡連接界面?zhèn)窝b系統(tǒng)篡改邏輯、時間炸彈移動終端脆弱點敏感數(shù)據(jù)泄漏敏感數(shù)據(jù)的不安全存儲敏感數(shù)據(jù)的不安全傳輸密碼（密鑰）的硬件編碼移動終端的接口移動智能終端隱私數(shù)據(jù)保護需求智能終端存儲了越來越多的敏感信息，這些信息都和個人隱私乃至企業(yè)、國家的安全相關。然而，移動智能操作系統(tǒng)大都存在隱私數(shù)據(jù)保護不力的問題移動智能終端隱私數(shù)據(jù)保護機制主流移動智能操作系統(tǒng)例如Android和iOS，均采用了權限控制方式來管理隱私數(shù)據(jù)Android安全機制(一)

Android是一個多進程系統(tǒng)，有普通應用程序和系統(tǒng)應用程序之分，應用會在自己的進程中運行；Android是一個權限分離的系統(tǒng)，充分利用Linux已有的權限管理機制，從Android4.3版本開始會增加SELinux安全機制；Android安全架構中一個中心思想就是：應用程序在默認的情況下不可以執(zhí)行任何對其他應用程序、系統(tǒng)或者用戶帶來負面影響的操作；Android安全機制(二)Linux賬戶管理機制借鑒：通過為每一個Application分配不同的uid和gid，從而使得不同的Application之間的私有數(shù)據(jù)和訪問達到隔離的目的；Android安全機制(三)permission機制：主要是用來對Application可以執(zhí)行的某些具體操作進行權限細分和訪問控制；簽名機制：所有的Android應用程序（apk文件）必須用證書進行簽名認證，而這個證書的私鑰是由開發(fā)者保有的。

軟件簽名和優(yōu)化命令示例：

移動智能終端隱私數(shù)據(jù)泄漏途徑系統(tǒng)及應用程序主動泄漏系統(tǒng)內置后門應用程序收集操作系統(tǒng)及應用程序漏洞系統(tǒng)權限漏洞應用程序組件暴露數(shù)據(jù)的不安全存儲與傳輸物理接觸移動智能設備丟失基于線纜連接的數(shù)據(jù)泄漏系統(tǒng)內置后門CarrierIQ運營商Verizon和Sprint在其多款手機中預裝了CarrierIQ軟件，涉及Android、Symbian和BlackBerry三個平臺。受影響設備數(shù)量達1.41億。多個著名的第三方定制ROM提供商，例如CyanogenMod，也曾采用這一軟件能夠實時監(jiān)控用戶使用手機情況，及記錄用戶所處位置信息。不通過用戶批準，就會自動啟用并收集手機上的數(shù)據(jù)（如按鍵信息、短信內容、圖片、視頻等）。由于該軟件是內核級的監(jiān)控軟件，普通用戶無法關閉該功能iOS地理位置追蹤iOS4.3之前的版本，會持續(xù)記錄并儲存用戶地理位信息，并將地理位置數(shù)據(jù)庫文件consolidated.db備份到iTunes上。應用程序收集Android應用程序Android應用程序在安裝前會一次性申請各種需要權限，大部分程序常常會申請非必要的權限，而用戶很難判定權限申請是否合理事實上，大部分國內電子市場上的Android應用程序被重打包，重打包過程中往往加入了惡意代碼和更多的權限申請iOS應用程序iOS采取的是不透明的VettingProcess審查機制，除了蘋果公司沒有人了解其應用程序審查細節(jié)。越獄后的設備，任何程序均可運行，完全沒有監(jiān)管機制操作系統(tǒng)漏洞Android：非授權獲得root權限系統(tǒng)級漏洞與具體廠商相關的漏洞（如Samsung硬件處理器相關的漏洞）iOS：破壞原有安全機制各種越獄相關漏洞應用程序組件暴露數(shù)據(jù)不安全存儲與傳輸存儲安全問題明文存儲敏感數(shù)據(jù)，導致直接被攻擊者復制不恰當存儲登陸憑證，導致攻擊者利用此數(shù)據(jù)竊取網(wǎng)絡賬戶隱私數(shù)據(jù)傳輸安全問題不使用加密傳輸使用加密傳輸?shù)雎宰C書驗證環(huán)節(jié)物理接觸手機丟失iPhone：利用越獄漏洞破解加密數(shù)據(jù)線纜連接安全問題iOS：iTunes會自動備份數(shù)據(jù)Android：若adb調試開關被打開，可通過usb線纜直接訪問內部數(shù)據(jù)問題：正使用應用中，突然攝像頭被惡意應用打開，然后咔嚓，信息外泄。靜音作用是防止被用戶察覺。步驟：Android常見安全問題（一）--靜音拍照偽裝常見界面打開攝像頭靜音+拍照關閉攝像頭保存或指定服務器提交問題：通過釣魚程序自動獲取用戶賬戶密碼等信息；步驟：（以登錄淘寶為例說明）1、通過log或反編譯apk能獲得包和類信息；Android常見安全問題（二）--釣魚程序Android常見安全問題（二）--釣魚程序

2、監(jiān)聽包和類名，應用啟動后釣魚程序提前截獲；3、仿造實現(xiàn)一個登錄頁面，等待用戶輸入；4、獲取用戶賬戶和密碼后不再監(jiān)聽，并通過網(wǎng)絡發(fā)出信息；5、提示用戶“服務器忙，請重新登錄！”，退出釣魚程序，進入正常應用界面；

6、為防止一直監(jiān)聽功耗偏大，還監(jiān)視屏幕是否亮屏，決定是否監(jiān)控；問題：利用開機時發(fā)出的ent.action.BOOT_COMPLETED廣播以及廣播處理優(yōu)先級進行提前啟動，植入病毒或垃圾服務步驟：Android常見安全問題（三）--搶先開機啟動注冊一個Receiver（優(yōu)先級提升）響應廣播onReceiver中添加病毒或垃圾服務Android常見安全問題（四）--短信攔截問題：利用收到短信廣播消息以及提升該廣播消息處理優(yōu)先級攔截短信步驟：攔截短信有幾個關鍵點：1、程序只要在自己的Manifest.xml里加有"接收"SMS的權限；<uses-permissionandroid:name="android.permission.RECEIVE_SMS"></uses-permission>

2、要寫個廣播接收類；publicclasssmsreceiveandmaskextendsBroadcastReceiver{ @OverridepublicvoidonReceive(Contextcontext,Intentintent){

}Android常見安全問題（四）--短信攔截3、重要的是要在這個intent-filter上加上priority優(yōu)先級，以使自己接收到SMS優(yōu)先于系統(tǒng)或其它軟件，飛信就是在這邊劫殺短信處理的<receiverandroid:name=".smsreceiveandmask">

<intent-filterandroid:priority="1000"> <actionandroid:name="vider.Telephony.SMS_RECEIVED"/> </intent-filter> </receiver>4、當自己的程序接收到要屏蔽的SMS后，用this.abortBroadcast()；來結束廣播的繼續(xù)發(fā)給別的程序，這樣系統(tǒng)就不會收到短信廣播了，Notification也不會有提示了

問題：有無數(shù)用戶覺得root沒有什么風險，或者風險不會降臨到自己頭上，其實擁有root權限的手機風險很大，安全非常差，一般Android手機終端出廠都是user權限。舉例：病毒軟件---制作兩個apk，一個是真正目的的（病毒，假設為：real.apk），另一個是假的殼子（假設為：fake.apk）。步驟：1、real.apk復制到fake.apk壓縮包assets目錄下；

Android常見安全問題（五）--Root風險2、請求root權限，然后將real.apk惡意安裝給用戶；

3、最終，real.apk會以系統(tǒng)應用顯示，用戶很難懷疑，不會輕易清除，尤其再取個與正常系統(tǒng)應用相似的名字時；目錄三、隱私泄露檢測一、終端概念二、終端安全概述四、隱私泄露安全防護已有研究工作Android各類安全軟件信息流追蹤：TaintDroid權限設置：TISSA應用程序重寫：Aurasium進程間通訊控制：ComDroid系統(tǒng)級隔離：TrustDroid等iOS控制流分析：PiOS硬件加密：基于硬件加密處理器的全磁盤加密2023/2/634監(jiān)控第三方軟件行為用戶自定義程序能接觸到的信息程度重打包，監(jiān)控敏感操作保護IPC過程內核級別的系統(tǒng)隔離對APP進行細粒度的數(shù)據(jù)使用管理已有研究工作需要用戶進行合理性判斷對原有應用程序進行更改iOS安全軟件需要越獄支持2023/2/635用戶一般不具備專業(yè)安全知識程序來源廣泛，發(fā)布方眾多越獄本身破壞安全機制動機提供檢測服務告之用戶敏感數(shù)據(jù)何時被什么應用泄漏到哪去分析無線智能終端上數(shù)據(jù)業(yè)務層的敏感數(shù)據(jù)的訪問歷史和流向，形成信息泄露的痕跡報告，給出危害來源和修復建議服務個人用戶、應用商店、移動終端開發(fā)者、檢測機構等2023/2/636研究內容根據(jù)平臺開放性的不同，進行不同程度的研究iOS和WinPhone：外圍檢測，進行接口數(shù)據(jù)包的分析Android2023/2/637離線分析實時檢測接口分析敏感數(shù)據(jù)泄漏途徑離線自動化分析主要針對在Android系統(tǒng)應用中植入木馬、病毒等導致的敏感數(shù)據(jù)泄漏。檢測已安裝的應用，離線分析應用可能的威脅行為。2023/2/638靜態(tài)分析離線分析動態(tài)分析2023/2/639動態(tài)分析生成報告靜態(tài)分析1.反編譯apk文件2.AndroidManifest3.敏感APIs4.StaticResult1.DroidBox2.自動化測試3.DynamicResult格式：.xml內容：1.AndroidManifest2.靜態(tài)分析日志3.動態(tài)分析日志動態(tài)分析2023/2/640動態(tài)分析2023/2/6411.計算矩形控件四角的絕對坐標2.計算矩形中心的絕對坐標通過ViewServer獲取ViewTree(x,y)與ViewId一一對應，通過與模擬器的交互完成對控件的點擊計算坐標自動點擊獲取ViewTree動態(tài)分析定義22種污點（定位、聯(lián)系人、手機號、SIM卡數(shù)據(jù)、設備號……）一旦訪問敏感數(shù)據(jù)，會自動為敏感數(shù)據(jù)標記污點污染跟蹤，污點伴隨敏感數(shù)據(jù)傳播記錄所測應用程序的行為，并在系統(tǒng)邊界處（短信、文件、網(wǎng)絡）做污點監(jiān)測2023/2/642靜態(tài)分析反編譯APK獲取應用程序的四大組件：ActivityServiceContentProviderBroadcastReceiver

獲取應用程序的權限獲取敏感API2023/2/643基于邊界的敏感數(shù)據(jù)泄漏檢測對四種平臺（iOS、Android、WinPhone、Symbian）網(wǎng)絡邊界接口（3G、GPRS、WiFi、Bluetooth）的IP層數(shù)據(jù)進行監(jiān)測，對其數(shù)據(jù)進行解析匹配。2023/2/644傳輸數(shù)據(jù)匹配2023/2/645IMEI、IMSI、手機型號、聯(lián)系人姓名、手機號、短信、圖片、文件名……確定敏感信息寫入庫文件抓包，重組匹配大小寫、倒序、MD5加密、base64編碼變換敏感信息庫2023/2/646敏感數(shù)據(jù)實時檢測2023/2/647報文數(shù)據(jù)匹配到手機型號數(shù)據(jù)包信息（時間，源端口號，目的ip，包含的敏感數(shù)據(jù)）敏感數(shù)據(jù)泄漏實時監(jiān)控軟件監(jiān)控對象API調用發(fā)起者時間行為2023/2/648系統(tǒng)監(jiān)控2023/2/649監(jiān)控應用程序實際上是監(jiān)控消息在系統(tǒng)中的傳遞，Android的IPC（Inter-ProcessCommunication，進程間通信）主要的機制是Binder。系統(tǒng)監(jiān)控選擇關鍵入口點ServiceManager系統(tǒng)進程作為注入的對象，替換ServiceManager中的關鍵函數(shù)為我們自己寫的函數(shù)2023/2/650系統(tǒng)監(jiān)控2023/2/6511)先用ptrace調試目標進程2)在目標進程開辟內存空間3)將代碼拷貝到目標進程內存空間4)替換原函數(shù)地址，跳轉到我們自定義函數(shù)系統(tǒng)監(jiān)控監(jiān)控手機內所有應有程序的涉及用戶數(shù)據(jù)泄露的行為，可查看監(jiān)控日志和統(tǒng)計圖表2023/2/652文件追蹤對SD卡文件以及系統(tǒng)數(shù)據(jù)敏感文件的監(jiān)聽用戶可以選擇添加一個或者多個文件作為監(jiān)聽對象短信數(shù)據(jù)庫文件和聯(lián)系人數(shù)據(jù)庫作為默認監(jiān)聽對象監(jiān)聽記錄這些對象被訪問的時間，供最終的安全分析提供數(shù)據(jù)2023/2/653文件追蹤使用Android的API提供的文件監(jiān)聽類FileObserve，繼承FileObserve中的函數(shù)，可以實現(xiàn)對訪問文件ACCESS操作的記錄重寫其中的開始監(jiān)聽startwacthing函數(shù)、操作事件onEvent函數(shù)實現(xiàn)有效監(jiān)聽2023/2/654文件追蹤指定監(jiān)控對象，追蹤這些文件被訪問的動作和時間2023/2/655目錄三、隱私泄露檢測一、終端概念二、終端安全概述四、隱私泄露安全防護完善的終端安全防護體系應當具備什么條件？實時檢測、攔截和移除主動針對零時差攻擊提供保護主動攔截對已禁止使用設備訪問檢測和攔截其他未知外部威脅數(shù)據(jù)過濾及時更新防護系統(tǒng)完善的終端安全防護體系應當具備什么條件？完善的終端安全防護體系應當具備什么條件？智能手機防護技術常見安全防護技術常見安全防護技術硬件防護技術—ARMTrustZone

ARMTrustZone?技術是系統(tǒng)范圍的安全方法，針對高性能計算平臺上的大量應用，包括安全支付、數(shù)字版權管理(DRM)、企業(yè)服務和基于Web的服務?？赏ㄟ^以下方式確保系統(tǒng)安全：隔離所有SoC硬件和軟件資源，使它們分別位于兩個區(qū)域（用于安全子系統(tǒng)的安全區(qū)域以及用于存儲其他所有內