『科技头条』谷歌Play上的1000多个Android应用访问了用户数据

尽管有用户的感知,但Android作为移动操作系统实际上是相当安全的。我们通常接受最弱的链接是用户的前提;只要注意安装内容和授予的权限,就可以防止未经授权的访问和数据分发。如果您拒绝某个Android应用访问您的位置,那么该应用就无法确定您的位置或去过的地方。但是,根据国际计算机科学研究所(ICSI)的研究人员,一些应用程序开发人员已经找到了解决Android许可模型的方法。

据CNET称,该研究于去年9月在负责任地向Google和FTC披露后,于上个月在PrivacyCon上发表。尽管在FTC网站上发布的论文并未列出该团队在其分析中标记的确切应用程序(这些详细信息将在下个月的Usenix安全会议上发布),但确实提供了有关其分析方法以及这些应用程序如何使用的详细信息。绕过Android的权限模型。对于价值而言,Google表示Google 在Android Q中引入的安全性和隐私权发生了变化 将关闭这些旁路方法,因此,本文为Google在Android 10中进行的某些平台更改提供了有价值的见解。让我们深入研究。

研究人员区分了两种不同的安全规避技术:侧通道和隐通道。旁道技术涉及以安全机制未涵盖的方式访问特定信息。例如,在Android Pie引入MAC地址随机化之前,应用程序过去一直能够使用MAC地址来跟踪设备的位置。隐蔽通道技术涉及两个服务协作,以从一个具有有效访问权限的服务向一个没有访问权限的服务发送数据;例如,已被授予位置访问权限的应用可以与未被授予访问权限的应用共享该数据。

ICSI团队分析了来自美国Google Play商店的88,113个最流行的Android应用程序,发现了1,000多个应用程序和第三方库,这些应用程序和第三方库使用辅助渠道和/或秘密渠道来规避Android的安全措施,以便他们可以访问位置数据和持久用户设备的标识符。自从该团队定期为要计划分析的88,113个应用的新版本清除Play商店以来,他们的完整数据集包含252,864个APK。他们最初在运行Android 6.0.1棉花糖的Google Nexus 5X上测试了每个应用程序的行为,但后来在运行Android Pie 的Google Pixel 2上重新测试了他们的发现,以证明其发现在本披露之日最新发布之前仍然有效。

团队使用此数据集开发了一种使用动态和静态分析的方法来检测对Android权限模型的规避。换句话说,团队通过审核应用程序的运行时行为(动态分析)或扫描代码以查找潜在的恶意行为(静态分析)来研究应用程序行为。当然,恶意应用程序开发人员会使用代码混淆和动态代码来了解这些技术。加载以使静态分析更加困难,或者通过TLS拦截来检测应用程序何时在虚拟环境中运行,因此ICSI团队在测试中采用了静态和动态分析(混合分析)的混合方式。结果,该团队发现以下数据是由没有所需权限的应用程序抓取的:

IMEI:由于IMEI是唯一的,持久的标识符,因此对于刮刮服务以便跟踪单个设备非常有用。该团队发现Salmonads和百度 SDK正在使用秘密渠道读取IMEI。拥有对IMEI合法访问权限的应用程序将隐藏文件存储在包含设备IMEI的外部存储中,以便其他没有合法访问权限的应用程序可以读取IMEI。以这种方式使用百度SDK的已识别应用包括迪士尼在香港和上海的主题公园应用,三星健康和三星浏览器。

网络MAC地址: 网络MAC地址也是唯一标识符,通常受ACCESS_NETWORK_STATE权限保护。研究人员表示,应用程序正在使用C ++本地代码来“调用许多不受保护的UNIX系统调用”。该团队确定了42个使用Unity SDK打开网络套接字的应用程序和一个ioctl来获取MAC地址,尽管他们指出,在12408个应用程序中,有748个包含相关代码,但缺少ACCESS_NETWORK_STATE权限。

路由器MAC地址: ACCESS_WIFI_STATE权限可以保护BSSID,但是读取/ proc / net / arp中的ARP缓存可以使应用无需任何权限即可获取该数据。研究人员确定OpenX SDK使用了这种边通道技术。

地理位置: 研究人员发现,Shutterfly应用程序正在访问照片的EXIF元数据的位置标签。所需要的只是READ_EXTERNAL_STORAGE权限。

在Android Q中,Google现在要求应用具有READ_PRIVILEGED_PHONE_STATE权限才能读取IMEI。现在,运行Android Q的设备默认会传输随机MAC地址。最后,Android Q的“ 范围存储”更改减轻了应用程序从照片读取位置数据的能力。因此,这些问题已在最新的Android版本中得到解决,但是众所周知,要传播最新的更新还需要一段时间。

总体而言,这项研究为一些应用程序如何访问应在权限后面受到保护的数据提供了启发性的视角。该研究仅考察了Google所谓的“危险”权限的一部分,尤其是跳过了蓝牙,联系人和SMS之类的权限。有关此报告的详细信息,我建议阅读提交给FTC的论文。

本文来源网络由诺记吧(www.nokibar.com)整理发布,转载文章系出于传递更多信息之目的,不希望被转载的可与我们联系,我们将立即进行删除处理。

未经允许不得转载:诺记吧 » 『科技头条』谷歌Play上的1000多个Android应用访问了用户数据

赞 (0) 打赏

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏