移動(dòng)App個(gè)人信息安全檢測(cè)分析

趙一凡 曹晨業(yè) 劉斌 黃力冶

針對(duì)移動(dòng)應(yīng)用出現(xiàn)的個(gè)人信息非法泄露和使用等問題，提出一種結(jié)合人工滲透測(cè)試和漏洞分析的檢測(cè)方法，通過靜態(tài)和動(dòng)態(tài)檢測(cè)相結(jié)合，針對(duì)移動(dòng)應(yīng)用App進(jìn)行多維度安全檢測(cè)。

隨著信息基礎(chǔ)建設(shè)的發(fā)展和移動(dòng)應(yīng)用的普及，用戶個(gè)人信息在使用過程中被應(yīng)用開發(fā)者大量收集，出現(xiàn)了對(duì)個(gè)人信息的非法泄露和使用問題，嚴(yán)重威脅到了個(gè)人信息安全。據(jù)東部某省2020年App個(gè)人信息違法違規(guī)收集專項(xiàng)行動(dòng)的數(shù)據(jù)顯示，85%的App未明示收集使用個(gè)人信息的目的、方式和范圍，56%的App未經(jīng)用戶同意收集使用個(gè)人信息，37%的App未按法律規(guī)定提供刪除或更正個(gè)人信息功能或未公布投訴、舉報(bào)方式等信息。

為此，筆者針對(duì)移動(dòng)應(yīng)用出現(xiàn)的個(gè)人信息非法泄露和使用等問題，提出一種結(jié)合人工滲透測(cè)試和漏洞分析的檢測(cè)方法。通過靜態(tài)和動(dòng)態(tài)檢測(cè)相結(jié)合，針對(duì)移動(dòng)應(yīng)用App進(jìn)行列的分析，包含基本信息、漏洞信息、收集和使用個(gè)人信息行為、通訊傳輸行為、軟件和技術(shù)供應(yīng)鏈情況、技術(shù)脆弱性、隱私政策規(guī)范性以及App中第三方插件或SDK等進(jìn)行多維度安全檢測(cè)。

靜態(tài)檢測(cè)

靜態(tài)檢測(cè)由信息獲取、重打包檢測(cè)、權(quán)限檢測(cè)和特征檢測(cè)4個(gè)模塊組成，對(duì)應(yīng)用程序的源代碼和文件信息進(jìn)行掃描分析，解讀應(yīng)用程序的行為，具體流程如圖1所示：

信息獲取功能。該功能可獲取應(yīng)用程序的文件信息、權(quán)限的信息和組件信息。APK格式文件也可看作一個(gè)ZIP壓縮文件，通過查看ZIP文件信息就可以獲取文件相關(guān)信息;使用開源工具將Android應(yīng)用程序中Android Manifest.xml文件轉(zhuǎn)換成XML文件，然后使用Python中的XML文件處理功能，來讀取該XML文件中的uses-permission權(quán)限屬性;Activity列表可獲得應(yīng)用的界面的類，服務(wù)是指后的運(yùn)算類，可以通過service列表得到應(yīng)用程序的后臺(tái)運(yùn)算類。

權(quán)限檢測(cè)。權(quán)限檢測(cè)技術(shù)可以提取到申請(qǐng)權(quán)限的Permission信息，根據(jù)Permission信息列表即可得出其敏感權(quán)限。應(yīng)用程序的權(quán)限是安裝時(shí)由用戶確定的，如果一個(gè)應(yīng)用程序在安裝時(shí)未獲得相應(yīng)的權(quán)限，就無法正常運(yùn)行。敏感權(quán)限是指App獲取個(gè)人信息和個(gè)人敏感信息所需要的手機(jī)系統(tǒng)權(quán)限。如果安裝時(shí)應(yīng)用向系統(tǒng)申請(qǐng)了敏感權(quán)限，則應(yīng)該做進(jìn)一步檢測(cè)。

特征檢測(cè)功能。特征檢測(cè)能識(shí)別出應(yīng)用中的惡意代碼，但因?yàn)樘卣鲙斓母虏患皶r(shí)，這種檢測(cè)方法有一定的滯后性。由于惡意行為必須通過系統(tǒng)API序列調(diào)用才能完成，在檢測(cè)時(shí)舍棄二進(jìn)制特征而采用API特征，對(duì)API序列進(jìn)行分析，可以降低傳統(tǒng)特征檢測(cè)技術(shù)的滯后性。APK的特征參數(shù)包括被檢測(cè)APK包含的所有的類以及函數(shù)名、參數(shù)簽名和包名，以此來提高檢測(cè)的全面性和準(zhǔn)確性。

重打包檢測(cè)功能。將APK文件進(jìn)行反編譯，嵌入惡意代碼，再重新打包放在網(wǎng)絡(luò)上供用戶下載，是目前惡意代碼傳播的一種途徑。公鑰信息是由簽名文件生成的，兩個(gè)簽名文件一定會(huì)生成不一致的公鑰信息。重打包檢測(cè)的原理是對(duì)比APK文件中和數(shù)據(jù)庫中的Package Name和公鑰信息，若兩者一致，就判定為安全，如果不一致，則說明APK文件存在被重打包的風(fēng)險(xiǎn)。

動(dòng)態(tài)檢測(cè)

動(dòng)態(tài)檢測(cè)技術(shù)的核心是通過沙箱監(jiān)測(cè)App動(dòng)態(tài)運(yùn)行行為，獲取App代碼中申請(qǐng)和使用的權(quán)限集合。采用的沙箱系統(tǒng)，如沙箱手機(jī)和云手機(jī)，可監(jiān)測(cè)App在運(yùn)行過程中的高達(dá)100+種行為，包括讀取文件、寫入文件、獲取應(yīng)用進(jìn)程、讀取系統(tǒng)配置等行為。同時(shí)行為函數(shù)調(diào)用棧對(duì)行為主體進(jìn)行分析，過濾App或SDK行為，針對(duì)性排查違規(guī)行為主體，定位行為觸發(fā)的代碼位置。

沙箱系統(tǒng)結(jié)合DPI技術(shù)，對(duì)應(yīng)用通訊傳輸數(shù)據(jù)進(jìn)行抓取，分析傳輸數(shù)據(jù)內(nèi)容，訪問服務(wù)器地址、地理位置、網(wǎng)絡(luò)傳輸類型等信息。定位信息接收對(duì)象，分析數(shù)據(jù)內(nèi)容是否包含個(gè)人信息。建立本地websocket服務(wù)，瀏覽器連接上后，啟動(dòng)動(dòng)態(tài)/法規(guī)檢測(cè)，會(huì)給IDB發(fā)啟動(dòng)命令，IDB啟動(dòng)手機(jī)websocket服務(wù)，通過ssh通知手機(jī)連接IDB手機(jī)websocket服務(wù)，IDB下載ipa之后，將ipa移動(dòng)到手機(jī)指定路徑，調(diào)用命令安裝，然后啟動(dòng)。手機(jī)檢測(cè)過程中產(chǎn)生行為數(shù)據(jù)，經(jīng)由IDB轉(zhuǎn)發(fā)到瀏覽器端。

漏洞分析

通過靜態(tài)和動(dòng)態(tài)的檢測(cè)方式對(duì)上述軟件系統(tǒng)權(quán)限進(jìn)行檢測(cè)，能夠發(fā)現(xiàn)常見的一些權(quán)限錯(cuò)配方面的問題，但還需根據(jù)代碼測(cè)試進(jìn)行漏洞的分析，以發(fā)現(xiàn)相關(guān)漏洞帶來的個(gè)人信息安全威脅，具體檢測(cè)漏洞類型見表1。

檢測(cè)分析

檢測(cè)樣本選取。本次App個(gè)人信息安全檢測(cè)對(duì)象為從在東部某省注冊(cè)的7249個(gè)App中隨機(jī)選擇50個(gè)，分別從華為應(yīng)用市場、應(yīng)用寶、安智市場、百度手機(jī)助手、魅族市場、360市場等多個(gè)應(yīng)用商城渠道下載獲取，涵蓋公眾服務(wù)、衛(wèi)生健康、新聞傳媒、出行、互聯(lián)網(wǎng)金融、兒童教育、網(wǎng)絡(luò)游戲等領(lǐng)域，同時(shí)兼顧下載次數(shù)較高、領(lǐng)域內(nèi)代表性強(qiáng)、社會(huì)熱度較高的移動(dòng)應(yīng)用作為本次檢測(cè)的對(duì)象。

檢測(cè)結(jié)果分析。本次對(duì)東部某省App個(gè)人信息安全檢測(cè)的結(jié)果顯示，移動(dòng)App在隱私政策、用戶賬號(hào)、個(gè)人信息收集等方面存在較多問題，具體情況如下：

未在隱私政策中說明個(gè)人信息存儲(chǔ)和超期處理方式：存在未明確個(gè)人信息存放地域（國內(nèi)、國外）、存儲(chǔ)期限（法律規(guī)定范圍內(nèi)最短期限或明確的期限）、超期處理方式的問題。檢測(cè)情況：經(jīng)檢測(cè)有27款應(yīng)用不符合此項(xiàng)要求，占比為54%。

未在隱私政策中明示各項(xiàng)業(yè)務(wù)功能所收集的個(gè)人信息類型：存在未詳細(xì)列舉收集個(gè)人信息的業(yè)務(wù)功能及其收集的個(gè)人信息類型、收集/使用目的、收集具體方式的問題。檢測(cè)情況：經(jīng)檢測(cè)有20款應(yīng)用不符合此項(xiàng)要求，占比為40%。

隱私政策等文件存在免責(zé)等不合理?xiàng)l款：存在App運(yùn)營者在用戶協(xié)議、服務(wù)協(xié)議、隱私政策等文件中出現(xiàn)免除自身責(zé)任、加重用戶責(zé)任、排除用戶主要權(quán)利條款的問題。檢測(cè)情況：經(jīng)檢測(cè)有17款應(yīng)用不符合此項(xiàng)要求，占比為34%。

未在隱私政策中明示收集個(gè)人信息的業(yè)務(wù)功能：存在未逐項(xiàng)列舉收集個(gè)人信息的業(yè)務(wù)功能及其收集的個(gè)人信息類型、收集/使用目的、收集具體方式的問題。檢測(cè)情況：經(jīng)檢測(cè)有17款應(yīng)用不符合此項(xiàng)要求，占比為34%。

不支持用戶注銷賬號(hào)或是否支持用戶查詢、更正或刪除個(gè)人信息：存在未提供App注銷賬號(hào)的途徑，App未提供查詢、更正、刪除個(gè)人信息的途徑，或因共享、轉(zhuǎn)讓、批露涉及第三方的，未通知第三方及時(shí)刪除的問題。檢測(cè)情況：經(jīng)檢測(cè)有16款應(yīng)用不符合此項(xiàng)要求，占比為32%。

未在隱私政策中明示對(duì)外共享、轉(zhuǎn)讓、公開披漏個(gè)人信息規(guī)則：存在個(gè)人信息對(duì)外共享、轉(zhuǎn)讓、公開批露等情況，但在軟件測(cè)試過程中查看隱私政策條款，未明確對(duì)外共享轉(zhuǎn)讓公開批露個(gè)人信息的目的、涉及的個(gè)人信息的類型、接受方類型或身份及承擔(dān)的法律責(zé)任等信息的問題。檢測(cè)情況：經(jīng)檢測(cè)有14款應(yīng)用不符合此項(xiàng)要求，占比為28%。

隨著5G技術(shù)的普及，移動(dòng)App與生活聯(lián)系將越發(fā)緊密，移動(dòng)App個(gè)人信息安全評(píng)估將會(huì)成為信息安全的重要工作。本文中靜態(tài)檢測(cè)和動(dòng)態(tài)檢測(cè)相結(jié)合的方法，可以兼顧測(cè)試結(jié)果的全面性和準(zhǔn)確性。在大數(shù)據(jù)時(shí)代，只有做好個(gè)人信息合規(guī)建設(shè)，才能讓信息更好為人們服務(wù)，移動(dòng)應(yīng)用行業(yè)才能健康發(fā)展。

（作者單位：浙江省電子信息產(chǎn)品檢驗(yàn)研究院）