李彬 中国移动通信集团广东有限公司
基于Android的手机隐私窃取问题研究
李彬 中国移动通信集团广东有限公司
伴随着移动互联网的发展,手机隐私安全越来越受到关注,不法分子利用恶意软件窃取用户隐私的安全事件逐年递增,故如何保护用户隐私数据免遭各类恶意应用软件侵蚀,是当前国内外移动安全人员普遍关注的课题。本文着重探讨恶意程序是如何获取用户隐私数据,并针对这一问题提出一种监控发现隐私窃取恶意程序的方法。
手机应用程序 隐私窃取 隐私权限
据市场数据调研显示,国内的安卓手机市场占有率从去年的76.4%上涨到86.4%,涨幅达10%。智能手机给用户带来便利的同时,出现手机用户因为感染隐私窃取手机恶意软件,导致银行资金被窃取的严重问题。隐私窃取的手机恶意软件不断演变,逐渐转型成产业链化、智能化和隐藏化,如何快速监控发现隐私窃取手机恶意软件,保护用户隐私数据,已成为了一个刻不容缓课题。
隐私窃取行为指在用户毫不知情的情况下,获取手机系统的敏感权限,比如联网、读取短信、发送短信等敏感权限,然后通过联网,或通过短信邮件的方式发送到指定的地址的行为。
Android系统中能够获取到隐私数据的权限可大概划分为:通话隐私数据,短信隐私数据,地理位置隐私数据,存储文件隐私数据以及其他隐私数据等,系统在整体架构上是一个权限分离系统。
对APl的权限检查通常包括三个方面:Intenl、content Pmvider及函数调用。当一个程序函数调用另一个程序函数时,需要向被调用的程序发送一个具有Aclion参数的Intent。如果手机应用有申请访问这几类的隐私数据权限时,那么用户就基本存在隐私泄露的风险。
3.1 静态检测
业界静态检测的方法有多种,以基于权限的检测方法为主要代表。除此之外静态恶意代码检测也是其中之一,即用每一种恶意软件样本体含有的特定恶意代码对被检测的对象进行扫描。
3.2 动态检测
在动态分析方面,一般业界都会使用沙箱技术和动态权限跟踪技术对涉嫌隐私窃取的手机应用软件进行分析,通过指标数据定位隐私泄露风险。
4.1 隐私窃取行为过程
隐私窃取行为过程如下图:
通过分析隐私窃取行为的过程大概分为:隐私窃取、隐私泄漏、隐私传递,由此针对这三个先后行为过程,进行监测发现Android手机应用隐私窃取的行为。
4.2 隐私窃取监测
隐私窃取检测主要是检测手机应用中是否获取用户隐私信息,可以通过检测应用是否存在读取短彩信内容、读取通话记录、读取联系人信息、位置信息等关键代码来确定是否有隐私窃行为,而通过查看Android主要API涉嫌隐私窃取的有11类权限,集合成隐私窃取库,作为检查标准。通过对比程序功能与权限申请和API的关系,检测应用程序权限申请是否合理。
4.3 隐私泄露方监测
主要是检测隐私信息泄露过程使用的函数集合,主要包含Internet链接、WiFi蓝牙和短消息等泄露方式,通过组合分析,传递的方式可以有100种以上。
4.4 隐私传递路径监控
隐私窃取和隐私泄露为隐私窃取行为路径的始末,但更重要的是分析隐私信息的传递过程是使用了哪一条路径进行窃取。判断是否存在一条或者多条隐私传递路径是判断手机应用是否存在隐私窃取的最好标准。通过设定关系路径,计算路径向量的最优值,通过已有安全路径向量库的最优值进行对比,进而判断手机应用是否存在隐私窃取行为。
4.5 应用实践
本文提出的手机应用隐私窃取监控方法在某省级运营商应用实践,已成功发现隐私窃取类型手机恶意软件43款,共6594个手机应用样本,并通过多途径通知受影响用户进行查杀,成功保护了手机用户的隐私信息。
随着移动互联网快速发展,Android应用隐私窃取及泄露问题日益严重。隐私窃取是信息诈骗的关键一环,不法分子为了达到诈骗目的,必将不停变换隐私窃取的伎俩,躲避信息安全监测。为了快速有效地检测Android应用的隐私窃取行为,本文提出一种通过隐私窃取行为路径组合来判断手机应用是否合理使用隐私数据行为的方法,后续会进一步优化算法和监测方法,将隐私泄露模型扩展到其它恶意行为的检测与分析。
李彬,1980.1,男,汉族,广东梅州,硕士研究生,中级工程师,中国移动通信集团广东有限公司,网络与信息安全方向。