移动终端隐私保护

隐私泄露与防护东南大学信息安全研究中心李涛目录三、隐私泄露检测一、终端概念二、终端安全概述四、隐私泄露安全防护终端定义终端是一个相对概念，对互联网而言，终端泛指一切可以接入网络的计算设备，比如：个人电脑、手机、PDA等，用来让用户输入数据，及显示其计算结果的机器；终端可以移动，也可以固定；可以通过终端操作系统、是否移动、大小、难易等不同方式对终端进行分类；终端是新的边界Android简介AndroidLinux-2.6WebkitSQliteopencoreopenGLSkiaBLuezopensslFreetype…Android是一种基于Linux内核的综合操作环境。从开发人员角度看，Android是一个大型应用程序，将各种开源项目的应用组织在一起，整合成有综合功能的系统。Android框架JNIJAVAC/C++/汇编目录三、隐私泄露检测一、终端概念二、终端安全概述四、隐私泄露安全防护移动智能终端隐私问题我们真的可以信赖当前移动智能操作系统的安全性？移动终端威胁目标：欺骗用户安装木马程序活动监控和数据检索非授权拨号、SMS、付款非授权网络连接界面伪装系统篡改逻辑、时间炸弹移动终端脆弱点敏感数据泄漏敏感数据的不安全存储敏感数据的不安全传输密码（密钥）的硬件编码移动终端的接口移动智能终端隐私数据保护需求智能终端存储了越来越多的敏感信息，这些信息都和个人隐私乃至企业、国家的安全相关。然而，移动智能操作系统大都存在隐私数据保护不力的问题移动智能终端隐私数据保护机制主流移动智能操作系统例如Android和iOS，均采用了权限控制方式来管理隐私数据Android安全机制(一)

Android是一个多进程系统，有普通应用程序和系统应用程序之分，应用会在自己的进程中运行；Android是一个权限分离的系统，充分利用Linux已有的权限管理机制，从Android4.3版本开始会增加SELinux安全机制；Android安全架构中一个中心思想就是：应用程序在默认的情况下不可以执行任何对其他应用程序、系统或者用户带来负面影响的操作；Android安全机制(二)Linux账户管理机制借鉴：通过为每一个Application分配不同的uid和gid，从而使得不同的Application之间的私有数据和访问达到隔离的目的；Android安全机制(三)permission机制：主要是用来对Application可以执行的某些具体操作进行权限细分和访问控制；签名机制：所有的Android应用程序（apk文件）必须用证书进行签名认证，而这个证书的私钥是由开发者保有的。

软件签名和优化命令示例：

移动智能终端隐私数据泄漏途径系统及应用程序主动泄漏系统内置后门应用程序收集操作系统及应用程序漏洞系统权限漏洞应用程序组件暴露数据的不安全存储与传输物理接触移动智能设备丢失基于线缆连接的数据泄漏系统内置后门CarrierIQ运营商Verizon和Sprint在其多款手机中预装了CarrierIQ软件，涉及Android、Symbian和BlackBerry三个平台。受影响设备数量达1.41亿。多个著名的第三方定制ROM提供商，例如CyanogenMod，也曾采用这一软件能够实时监控用户使用手机情况，及记录用户所处位置信息。不通过用户批准，就会自动启用并收集手机上的数据（如按键信息、短信内容、图片、视频等）。由于该软件是内核级的监控软件，普通用户无法关闭该功能iOS地理位置追踪iOS4.3之前的版本，会持续记录并储存用户地理位信息，并将地理位置数据库文件consolidated.db备份到iTunes上。应用程序收集Android应用程序Android应用程序在安装前会一次性申请各种需要权限，大部分程序常常会申请非必要的权限，而用户很难判定权限申请是否合理事实上，大部分国内电子市场上的Android应用程序被重打包，重打包过程中往往加入了恶意代码和更多的权限申请iOS应用程序iOS采取的是不透明的VettingProcess审查机制，除了苹果公司没有人了解其应用程序审查细节。越狱后的设备，任何程序均可运行，完全没有监管机制操作系统漏洞Android：非授权获得root权限系统级漏洞与具体厂商相关的漏洞（如Samsung硬件处理器相关的漏洞）iOS：破坏原有安全机制各种越狱相关漏洞应用程序组件暴露数据不安全存储与传输存储安全问题明文存储敏感数据，导致直接被攻击者复制不恰当存储登陆凭证，导致攻击者利用此数据窃取网络账户隐私数据传输安全问题不使用加密传输使用加密传输但忽略证书验证环节物理接触手机丢失iPhone：利用越狱漏洞破解加密数据线缆连接安全问题iOS：iTunes会自动备份数据Android：若adb调试开关被打开，可通过usb线缆直接访问内部数据问题：正使用应用中，突然摄像头被恶意应用打开，然后咔嚓，信息外泄。静音作用是防止被用户察觉。步骤：Android常见安全问题（一）--静音拍照伪装常见界面打开摄像头静音+拍照关闭摄像头保存或指定服务器提交问题：通过钓鱼程序自动获取用户账户密码等信息；步骤：（以登录淘宝为例说明）1、通过log或反编译apk能获得包和类信息；Android常见安全问题（二）--钓鱼程序Android常见安全问题（二）--钓鱼程序

2、监听包和类名，应用启动后钓鱼程序提前截获；3、仿造实现一个登录页面，等待用户输入；4、获取用户账户和密码后不再监听，并通过网络发出信息；5、提示用户“服务器忙，请重新登录！”，退出钓鱼程序，进入正常应用界面；

6、为防止一直监听功耗偏大，还监视屏幕是否亮屏，决定是否监控；问题：利用开机时发出的ent.action.BOOT_COMPLETED广播以及广播处理优先级进行提前启动，植入病毒或垃圾服务步骤：Android常见安全问题（三）--抢先开机启动注册一个Receiver（优先级提升）响应广播onReceiver中添加病毒或垃圾服务Android常见安全问题（四）--短信拦截问题：利用收到短信广播消息以及提升该广播消息处理优先级拦截短信步骤：拦截短信有几个关键点：1、程序只要在自己的Manifest.xml里加有"接收"SMS的权限；<uses-permissionandroid:name="android.permission.RECEIVE_SMS"></uses-permission>

2、要写个广播接收类；publicclasssmsreceiveandmaskextendsBroadcastReceiver{ @OverridepublicvoidonReceive(Contextcontext,Intentintent){

}Android常见安全问题（四）--短信拦截3、重要的是要在这个intent-filter上加上priority优先级，以使自己接收到SMS优先于系统或其它软件，飞信就是在这边劫杀短信处理的<receiverandroid:name=".smsreceiveandmask">

<intent-filterandroid:priority="1000"> <actionandroid:name="vider.Telephony.SMS_RECEIVED"/> </intent-filter> </receiver>4、当自己的程序接收到要屏蔽的SMS后，用this.abortBroadcast()；来结束广播的继续发给别的程序，这样系统就不会收到短信广播了，Notification也不会有提示了

问题：有无数用户觉得root没有什么风险，或者风险不会降临到自己头上，其实拥有root权限的手机风险很大，安全非常差，一般Android手机终端出厂都是user权限。举例：病毒软件---制作两个apk，一个是真正目的的（病毒，假设为：real.apk），另一个是假的壳子（假设为：fake.apk）。步骤：1、real.apk复制到fake.apk压缩包assets目录下；

Android常见安全问题（五）--Root风险2、请求root权限，然后将real.apk恶意安装给用户；

3、最终，real.apk会以系统应用显示，用户很难怀疑，不会轻易清除，尤其再取个与正常系统应用相似的名字时；目录三、隐私泄露检测一、终端概念二、终端安全概述四、隐私泄露安全防护已有研究工作Android各类安全软件信息流追踪：TaintDroid权限设置：TISSA应用程序重写：Aurasium进程间通讯控制：ComDroid系统级隔离：TrustDroid等iOS控制流分析：PiOS硬件加密：基于硬件加密处理器的全磁盘加密2023/2/634监控第三方软件行为用户自定义程序能接触到的信息程度重打包，监控敏感操作保护IPC过程内核级别的系统隔离对APP进行细粒度的数据使用管理已有研究工作需要用户进行合理性判断对原有应用程序进行更改iOS安全软件需要越狱支持2023/2/635用户一般不具备专业安全知识程序来源广泛，发布方众多越狱本身破坏安全机制动机提供检测服务告之用户敏感数据何时被什么应用泄漏到哪去分析无线智能终端上数据业务层的敏感数据的访问历史和流向，形成信息泄露的痕迹报告，给出危害来源和修复建议服务个人用户、应用商店、移动终端开发者、检测机构等2023/2/636研究内容根据平台开放性的不同，进行不同程度的研究iOS和WinPhone：外围检测，进行接口数据包的分析Android2023/2/637离线分析实时检测接口分析敏感数据泄漏途径离线自动化分析主要针对在Android系统应用中植入木马、病毒等导致的敏感数据泄漏。检测已安装的应用，离线分析应用可能的威胁行为。2023/2/638静态分析离线分析动态分析2023/2/639动态分析生成报告静态分析1.反编译apk文件2.AndroidManifest3.敏感APIs4.StaticResult1.DroidBox2.自动化测试3.DynamicResult格式：.xml内容：1.AndroidManifest2.静态分析日志3.动态分析日志动态分析2023/2/640动态分析2023/2/6411.计算矩形控件四角的绝对坐标2.计算矩形中心的绝对坐标通过ViewServer获取ViewTree(x,y)与ViewId一一对应，通过与模拟器的交互完成对控件的点击计算坐标自动点击获取ViewTree动态分析定义22种污点（定位、联系人、手机号、SIM卡数据、设备号……）一旦访问敏感数据，会自动为敏感数据标记污点污染跟踪，污点伴随敏感数据传播记录所测应用程序的行为，并在系统边界处（短信、文件、网络）做污点监测2023/2/642静态分析反编译APK获取应用程序的四大组件：ActivityServiceContentProviderBroadcastReceiver

获取应用程序的权限获取敏感API2023/2/643基于边界的敏感数据泄漏检测对四种平台（iOS、Android、WinPhone、Symbian）网络边界接口（3G、GPRS、WiFi、Bluetooth）的IP层数据进行监测，对其数据进行解析匹配。2023/2/644传输数据匹配2023/2/645IMEI、IMSI、手机型号、联系人姓名、手机号、短信、图片、文件名……确定敏感信息写入库文件抓包，重组匹配大小写、倒序、MD5加密、base64编码变换敏感信息库2023/2/646敏感数据实时检测2023/2/647报文数据匹配到手机型号数据包信息（时间，源端口号，目的ip，包含的敏感数据）敏感数据泄漏实时监控软件监控对象API调用发起者时间行为2023/2/648系统监控2023/2/649监控应用程序实际上是监控消息在系统中的传递，Android的IPC（Inter-ProcessCommunication，进程间通信）主要的机制是Binder。系统监控选择关键入口点ServiceManager系统进程作为注入的对象，替换ServiceManager中的关键函数为我们自己写的函数2023/2/650系统监控2023/2/6511)先用ptrace调试目标进程2)在目标进程开辟内存空间3)将代码拷贝到目标进程内存空间4)替换原函数地址，跳转到我们自定义函数系统监控监控手机内所有应有程序的涉及用户数据泄露的行为，可查看监控日志和统计图表2023/2/652文件追踪对SD卡文件以及系统数据敏感文件的监听用户可以选择添加一个或者多个文件作为监听对象短信数据库文件和联系人数据库作为默认监听对象监听记录这些对象被访问的时间，供最终的安全分析提供数据2023/2/653文件追踪使用Android的API提供的文件监听类FileObserve，继承FileObserve中的函数，可以实现对访问文件ACCESS操作的记录重写其中的开始监听startwacthing函数、操作事件onEvent函数实现有效监听2023/2/654文件追踪指定监控对象，追踪这些文件被访问的动作和时间2023/2/655目录三、隐私泄露检测一、终端概念二、终端安全概述四、隐私泄露安全防护完善的终端安全防护体系应当具备什么条件？实时检测、拦截和移除主动针对零时差攻击提供保护主动拦截对已禁止使用设备访问检测和拦截其他未知外部威胁数据过滤及时更新防护系统完善的终端安全防护体系应当具备什么条件？完善的终端安全防护体系应当具备什么条件？智能手机防护技术常见安全防护技术常见安全防护技术硬件防护技术—ARMTrustZone

ARMTrustZone®技术是系统范围的安全方法，针对高性能计算平台上的大量应用，包括安全支付、数字版权管理(DRM)、企业服务和基于Web的服务。可通过以下方式确保系统安全：隔离所有SoC硬件和软件资源，使它们分别位于两个区域（用于安全子系统的安全区域以及用于存储其他所有内