移动终端隐私保护

内核级别的系统隔离
对APP进行细粒度的数据使用管理
• IOS
• 控制流分析：PIOS
• 硬件加密：基于硬件加密处理器的全磁盘加密
2016/2/16
34
已有研究工作
需要用户进行合理性判断
用户一般不具备专业安全知识 程序来源广泛，发布方众多 越狱本身破坏安全机制
对原有应用程序进行更改
IOS安全软件需要越狱支持
3、重要的是要在这个INTENT-FILTER上加上PRIORITY优先级，以使自己接收到SMS优先于系统或
其它软件，飞信就是在这边劫杀短信处理的
<RECEIVER ANDROID:NAME=".SMSRECEIVEANDMASK" > <INTENT-FILTER ANDROID:PRIORITY="1000"> <ACTION ANDROID:NAME="ANDROID.PROVIDER.TELEPHONY.SMS_RECEIVED" /> </INTENT-FILTER> </RECEIVER>
伪装常见界面
打开摄像头
静音+拍照
关闭摄像头
保存或指定服务器提交
ANDROID常见安全问题（二）--钓鱼程序
问题：通过钓鱼程序自动获取用户账户密码等信息； 步骤：（以登录淘宝为例说明）
1、通过LOG或反编译APK能获得包和类信息；
ANDROID常见安全问题（二）--钓鱼程序
2、监听包和类名，应用启动后钓鱼程序提前截获； 3、仿造实现一个登录页面，等待用户输入； 4、获取用户账户和密码后不再监听，并通过网络发出信息； 5、提示用户“服务器忙，请重新登录！”，退出钓鱼程序，进入正常应用界面； 6、为防止一直监听功耗偏大，还监视屏幕是否亮屏，决定是否监控；
ANDROID常见安全问题（三）--抢先开机启动
问题：利用开机时发出的ANDROID.INTENT.ACTION.BOOT_COMPLETED广播以及广播处理优 先级进行提前启动，植入病毒或垃圾服务 步骤：
注册一个Receiver （优先级提升）
响应广播
onReceiver中添加病毒或垃圾服务
主流移动智能操作系统例如 Android和iOS，均采用了权限控 制方式来管理隐私数据
ANDROID 安全机制(一)
ANDROID是一个多进程系统，有普通应用程序和系统应用程序之分，应用会在自己的进程
中运行；
ANDROID 是一个权限分离的系统 ，充分利用 LINUX 已有的权限管理机制，从ANDROID4.3 版本开始会增加SELINUX安全机制；
Internet Internet
eth0
br0
wlan0 (Soft AP)
Data Analyze
2016/2/16
பைடு நூலகம்
2016/2/16
39
动态分析
2016/2/16
40
动态分析
获取
ViewTree
计算坐标
自动点击
通过 ViewServer 获取 ViewTree
1. 计算矩形控件四 角的绝对坐标 2. 计算矩形中心的 绝对坐标
(x, y) 与 ViewId 一一对应，通过与 模拟器的交互完成 对控件的点击
2016/2/16
ANDROID 安全机制(三)
PERMISSION 机制：主要是用来对APPLICATION 可以执行的某些具体操作进行权限细分和访问控制；
签名机制：所有的ANDROID应用程序（APK文件）必须用证书进行签名认证，而这个证书的私钥是由开 发者保有的。 软件签名和优化命令示例：
移动智能终端隐私数据泄漏途径
可以通过终端操作系统、是否移动、大小、难易等不同方式对终端进行分类；
终端是新的边界
ANDROID是一种基于LINUX内核的综合操作环境。 从开发人员角度看，ANDROID是一个大型应用程序，将各种开源项目的应用组织在一起， 整合成有综合功能的系统。
ANDROID框架
JAVA
JNI
C/C++ /汇编
2、要写个广播接收类； PUBLIC CLASS SMSRECEIVEANDMASK EXTENDS BROADCASTRECEIVER { @OVERRIDE
PUBLIC VOID ONRECEIVE(CONTEXT CONTEXT, INTENT INTENT) {
}
ANDROID常见安全问题（四）--短信拦截
2、请求root权限，然后将real.apk恶意安装给用户；
3、最终，real.apk会以系统应用显示，用户很难怀疑，不会轻易清除，尤其再取 个与正常系统应用相似的名字时；
目录
一、终端概念
二、终端安全概述
三、隐私泄露检测
四、隐私泄露安全防护
已有研究工作
• ANDROID
• 各类安全软件 • 信息流追踪：TAINTDROID • 权限设置：TISSA • 应用程序重写：AURASIUM • 进程间通讯控制：COMDROID • 系统级隔离：TRUSTDROID等 监控第三方软件行为 用户自定义程序能接触到的信息程度 重打包，监控敏感操作 保护IPC过程
• ACTIVITY • SERVICE
• CONTENTPROVIDER
• BROADCASTRECEIVER • 获取应用程序的权限
• 获取敏感API
2016/2/16
43
对四种平台（IOS、ANDROID、WINPHONE、SYMBIAN）网络边 界接口（3G、GPRS、WIFI、BLUETOOTH）的IP层数据进行监测， 对其数据进行解析匹配。
隐私泄露与防护
东南大学信息安全研究中心 李涛
目录
一、终端概念
二、终端安全概述
三、隐私泄露检测
四、隐私泄露安全防护
终端定义
终端是一个相对概念，对互联网而言，终端泛指一切可以接入网络的计算设备，比如：个 人电脑、手机、PDA等，用来让用户输入数据，及显示其计算结果的机器；
终端可以移动，也可以固定；
• IOS地理位置追踪
• IOS 4.3之前的版本，会持续记录并储存用户地理位信息，并将地 理位置数据库文件CONSOLIDATED.DB备份到ITUNES上。
应用程序收集
• ANDROID应用程序
• ANDROID应用程序在安装前会一次性申请各种需要权限，大部分程 序常常会申请非必要的权限，而用户很难判定权限申请是否合理 • 事实上，大部分国内电子市场上的ANDROID应用程序被重打包，重 打包过程中往往加入了恶意代码和更多的权限申请
目录
一、终端概念
二、终端安全概述
三、隐私泄露检测
四、隐私泄露安全防护
移动智能终端隐私问题
我们真的可以信赖当前移动智能操作系统的安全性？
移动终端威胁
• 目标：欺骗用户安装木马程序
• 活动监控和数据检索 • 非授权拨号、SMS、付款 • 非授权网络连接 • 界面伪装 • 系统篡改 • 逻辑、时间炸弹
41
动态分析
• 定义22种污点（定位、联系人、手机号、SIM卡数据、设备号……）
• 一旦访问敏感数据，会自动为敏感数据标记污点
• 污染跟踪，污点伴随敏感数据传播 • 记录所测应用程序的行为，并在系统边界处（短信、文件、网络）做污 点监测
2016/2/16
42
静态分析
• 反编译APK
• 获取应用程序的四大组件：
• IPHONE：利用越狱漏洞破解加密
• 数据线缆连接安全问题
• IOS：ITUNES会自动备份数据 • ANDROID：若ADB调试开关被打开，可通过USB线缆直接 访问内部数据
ANDROID常见安全问题（一）--静音拍照
问题：正使用应用中，突然摄像头被恶意应用打开，然后咔嚓，信息外泄。静音作用是 防止被用户察觉。 步骤：
生成报告 动态分析 静态分析
1.反编译apk文件 2.AndroidManifest 3.敏感APIs 4.StaticResult
1. DroidBox 2. 自动化测试 3. DynamicResult
格式：.xml 内容： 1.AndroidManifest 2.静态分析日志 3.动态分析日志
ANDROID常见安全问题（四）--短信拦截
问题：利用收到短信广播消息以及提升该广播消息处理优先级拦截短信
步骤：
拦截短信有几个关键点： 1、程序只要在自己的MANIFEST.XML里加有"接收"SMS的权限； <USES-PERMISSION ANDROID:NAME="ANDROID.PERMISSION.RECEIVE_SMS"></USES-PERMISSION>
2016/2/16
35
动机
• 提供检测服务
• 告之用户敏感数据何时被什么应用泄漏到哪去 • 分析无线智能终端上数据业务层的敏感数据的访 问历史和流向，形成信息泄露的痕迹报告，给出 危害来源和修复建议 • 服务个人用户、应用商店、移动终端开发者、检 测机构等
2016/2/16 36
研究内容
根据平台开放性的不同，进行不同程度的研究
• IOS应用程序
• IOS采取的是不透明的VETTING PROCESS审查机制，除了苹果公司 没有人了解其应用程序审查细节。 • 越狱后的设备，任何程序均可运行，完全没有监管机制
操作系统漏洞
• ANDROID：非授权获得ROOT权限
• 系统级漏洞 • 与具体厂商相关的漏洞（如SAMSUNG硬件处理器相关的 漏洞）
• IOS：破坏原有安全机制
• 各种越狱相关漏洞
应用程序组件暴露
数据不安全存储与传输
• 存储安全问题
• 明文存储敏感数据，导致直接被攻击者复制
• 不恰当存储登陆凭证，导致攻击者利用此数据窃取网络 账户隐私数据
• 传输安全问题
• 不使用加密传输 • 使用加密传输但忽略证书验证环节
物理接触
• 手机丢失
• 系统及应用程序主动泄漏
• 系统内置后门
• 应用程序收集
• 操作系统及应用程序漏洞
• 系统权限漏洞 • 应用程序组件暴露 • 数据的不安全存储与传输
• 物理接触
• 移动智能设备丢失 • 基于线缆连接的数据泄漏
系统内置后门
• CARRIERIQ
• 运营商VERIZON和SPRINT在其多款手机中预装了CARRIERIQ软件， 涉及ANDROID、SYMBIAN和BLACKBERRY三个平台。受影响设备数量 达1.41亿。多个著名的第三方定制ROM提供商，例如CYANOGENMOD， 也曾采用这一软件 • 能够实时监控用户使用手机情况，及记录用户所处位置信息。不 通过用户批准，就会自动启用并收集手机上的数据（如按键信息、 短信内容、图片、视频等）。由于该软件是内核级的监控软件， 普通用户无法关闭该功能
ANDROID安全架构中一个中心思想就是：应用程序在默认的情况下不可以执行任何对其他 应用程序、系统或者用户带来负面影响的操作；
ANDROID 安全机制(二)
LINUX账户管理机制借鉴：通过为每一个 APPLICATION 分配不同的 UID 和 GID ， 从而 使得不同的 APPLICATION 之间的私有数据和访问达到隔离的目的；
• IOS和WINPHONE：外围检测，进行接口数据包的分析
离线分析
• ANDROID
实时检测
接口分析
2016/2/16 37
• 主要针对在ANDROID系统应用中植入木马、病毒等导致的敏感数据泄漏。
• 检测已安装的应用，离线分析应用可能的威胁行为。
离线分析
静态分析
动态分析
2016/2/16 38
移动终端脆弱点
• 敏感数据泄漏
• 敏感数据的不安全存储 • 敏感数据的不安全传输
• 密码（密钥）的硬件编码
移动终端的接口
移动智能终端隐私数据保护需求
智能终端存储了越来越多的敏感 信息，这些信息都和个人隐私乃 至企业、国家的安全相关。然而， 移动智能操作系统大都存在隐私 数据保护不力的问题
移动智能终端隐私数据保护机制
4、当自己的程序接收到要屏蔽的SMS后，用 THIS.ABORTBROADCAST()；来结束广播的继续发给 别的程序，这样系统就不会收到短信广播了，NOTIFICATION也不会有提示了
ANDROID常见安全问题（五）--ROOT风险
问题：有无数用户觉得ROOT没有什么风险，或者风险不会降临到自己头上，其实拥有ROOT权限的手 机风险很大，安全非常差，一般ANDROID手机终端出厂都是USER权限。 举例：病毒软件---制作两个APK，一个是真正目的的（病毒，假设为：REAL.APK），另一个是假的 壳子（假设为：FAKE.APK）。 步骤： 1、REAL.APK复制到FAKE.APK压缩包ASSETS目录下；