科技前沿看點:谷歌Play上的1000多個Android應用訪問了用戶數據

2021-05-10 14:34:29

新時代高科技不計其數越來越發達,小伙伴們看過不少科技新聞吧,在我們生活中應該也用到很多這些高科技東西,有哪些小伙伴值的關注的呢,今天就跟大家分享一篇有關科技方面知識,希望大家會喜歡。

盡管有用戶的感知,但Android作為移動操作系統實際上是相當安全的。我們通常接受最弱的鏈接是用戶的前提;只要注意安裝內容和授予的權限,就可以防止未經授權的訪問和數據分發。如果您拒絕某個Android應用訪問您的位置,那么該應用就無法確定您的位置或去過的地方。但是,根據國際計算機科學研究所(ICSI)的研究人員,一些應用程序開發人員已經找到了解決Android許可模型的方法。

據CNET稱,該研究于去年9月在負責任地向Google和FTC披露后,于上個月在PrivacyCon上發表。盡管在FTC網站上發布的論文并未列出該團隊在其分析中標記的確切應用程序(這些詳細信息將在下個月的Usenix安全會議上發布),但確實提供了有關其分析方法以及這些應用程序如何使用的詳細信息。繞過Android的權限模型。對于價值而言,Google表示Google 在Android Q中引入的安全性和隱私權發生了變化 將關閉這些旁路方法,因此,本文為Google在Android 10中進行的某些平臺更改提供了有價值的見解。讓我們深入研究。

> 1000個應用程序如何繞過Android的權限模型

研究人員區分了兩種不同的安全規避技術:側通道和隱通道。旁道技術涉及以安全機制未涵蓋的方式訪問特定信息。例如,在Android Pie引入MAC地址隨機化之前,應用程序過去一直能夠使用MAC地址來跟蹤設備的位置。隱蔽通道技術涉及兩個服務協作,以從一個具有有效訪問權限的服務向一個沒有訪問權限的服務發送數據;例如,已被授予位置訪問權限的應用可以與未被授予訪問權限的應用共享該數據。

ICSI團隊分析了來自美國Google Play商店的88,113個最流行的Android應用程序,發現了1,000多個應用程序和第三方庫,這些應用程序和第三方庫使用輔助渠道和/或秘密渠道來規避Android的安全措施,以便他們可以訪問位置數據和持久用戶設備的標識符。自從該團隊定期為要計劃分析的88,113個應用的新版本清除Play商店以來,他們的完整數據集包含252,864個APK。他們最初在運行Android 6.0.1棉花糖的Google Nexus 5X上測試了每個應用程序的行為,但后來在運行Android Pie 的Google Pixel 2上重新測試了他們的發現,以證明其發現在本披露之日最新發布之前仍然有效。

團隊使用此數據集開發了一種使用動態和靜態分析的方法來檢測對Android權限模型的規避。換句話說,團隊通過審核應用程序的運行時行為(動態分析)或掃描代碼以查找潛在的惡意行為(靜態分析)來研究應用程序行為。當然,惡意應用程序開發人員會使用代碼混淆和動態代碼來了解這些技術。加載以使靜態分析更加困難,或者通過TLS攔截來檢測應用程序何時在虛擬環境中運行,因此ICSI團隊在測試中采用了靜態和動態分析(混合分析)的混合方式。結果,該團隊發現以下數據是由沒有所需權限的應用程序抓取的:

IMEI:由于IMEI是唯一的,持久的標識符,因此對于刮刮在線服務以便跟蹤單個設備非常有用。該團隊發現Salmonads和百度 SDK正在使用秘密渠道讀取IMEI。擁有對IMEI合法訪問權限的應用程序將隱藏文件存儲在包含設備IMEI的外部存儲中,以便其他沒有合法訪問權限的應用程序可以讀取IMEI。以這種方式使用百度SDK的已識別應用包括迪士尼在香港和上海的主題公園應用,三星健康和三星瀏覽器。

網絡MAC地址: 網絡MAC地址也是唯一標識符,通常受ACCESS_NETWORK_STATE權限保護。研究人員表示,應用程序正在使用C ++本地代碼來“調用許多不受保護的UNIX系統調用”。該團隊確定了42個使用Unity SDK打開網絡套接字的應用程序和一個ioctl來獲取MAC地址,盡管他們指出,在12408個應用程序中,有748個包含相關代碼,但缺少ACCESS_NETWORK_STATE權限。

路由器MAC地址: ACCESS_WIFI_STATE權限可以保護BSSID,但是讀取/ proc / net / arp中的ARP緩存可以使應用無需任何權限即可獲取該數據。研究人員確定OpenX SDK使用了這種邊通道技術。

地理位置: 研究人員發現,Shutterfly應用程序正在訪問照片的EXIF元數據的位置標簽。所需要的只是READ_EXTERNAL_STORAGE權限。

在Android Q中,Google現在要求應用具有READ_PRIVILEGED_PHONE_STATE權限才能讀取IMEI。現在,運行Android Q的設備默認會傳輸隨機MAC地址。最后,Android Q的“ 范圍存儲”更改減輕了應用程序從照片讀取位置數據的能力。因此,這些問題已在最新的Android版本中得到解決,但是眾所周知,要傳播最新的更新還需要一段時間。

結論

總體而言,這項研究為一些應用程序如何訪問應在權限后面受到保護的數據提供了啟發性的視角。該研究僅考察了Google所謂的“危險”權限的一部分,尤其是跳過了藍牙,聯系人和SMS之類的權限。有關此報告的詳細信息,我建議閱讀提交給FTC的論文。

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播更多信息之目的,如作者信息標記有誤,請第一時候聯系我們修改或刪除,多謝
標簽: 谷歌Play上的1000多個Android應用訪問了用戶數據