,,

字節(jié)跳動無恒實驗室隱私保護研究再度入選Black Hat Asia 2023_全球觀焦點

2023-05-22 18:44:11 來源：中關村在線

近日，字節(jié)跳動無恒實驗室的隱私保護研究議題亮相Black Hat Asia 2023（亞洲黑帽大會），議題分享了關于重新審視Android應用程序的隱私敏感信息收集行為的現(xiàn)狀研究。

Black Hat大會被公認為世界信息安全行業(yè)的頂級盛會，每年分別在美國、歐洲、亞洲各舉辦一次安全信息技術(shù)峰會。此前Black Hat Asia2021大會上，無恒實驗室的安全研究《Do Apps Respect Your Privacy as TheyClaim?》也入選演講，議題同樣著眼于用戶隱私保護。可以看到，無恒實驗室多年來在移動安全和隱私安全方向持續(xù)投入，助力用戶隱私保護的安全建設。

(資料圖片僅供參考)

近年來，隨著用戶隱私數(shù)據(jù)保護在全球范圍內(nèi)引起廣泛關注，各國政府也相繼制定了以隱私為重點的數(shù)據(jù)保護法規(guī)，嚴格規(guī)范用戶隱私數(shù)據(jù)的收集和利用，如歐盟制定的GDPR，企業(yè)若侵犯用戶隱私可能會導致巨額罰款，GDPR規(guī)定最高達2000萬歐元的罰款，或者企業(yè)全球年收入的4%，可見用戶的隱私數(shù)據(jù)保護已達到空前的重視程度。

Android隱私數(shù)據(jù)保護的演進

Google從Android 6 開始增加對隱私保護的建設，如增加運行時權(quán)限，當需要獲取設備唯一標識、位置信息、相機等數(shù)據(jù)時均需要拿到運行時權(quán)限。在Android10時繼續(xù)加大隱私保護力度，如限制應用獲取IMEI等設備唯一標識符。Android 12開始，用戶可以設置限制追蹤禁止APP獲取GAID(谷歌廣告ID)。同時，無恒實驗室也注意到，對于iOS系統(tǒng)來說，從iOS 14.5開始，App想要獲取 IDFA，也需要用戶手動授權(quán)。

綜上看來，主流操作系統(tǒng)對于用戶隱私保護似乎已經(jīng)做的很不錯了，但是事實真的是這樣嗎？這幾年無恒實驗室一直帶著這些疑問對系統(tǒng)和APP的隱私問題做了持續(xù)性研究，發(fā)現(xiàn)在WebView、廣告ID、唯一標識符等方面，無論是在Android設備還是APP中還是存在一些不足，這些不足都嚴重影響著用戶的隱私數(shù)據(jù)保護，造成用戶敏感信息泄露。

研究發(fā)現(xiàn)：若WebView沒做合適的開發(fā)配置，用戶數(shù)據(jù)仍不安全

根據(jù)研究發(fā)現(xiàn)，一旦WebView沒有進行合適的開發(fā)配置，那用戶的敏感數(shù)據(jù)如位置信息、麥克風、攝像頭等可能被不法利用。同時，關于廣告ID，大多數(shù)用戶對廣告ID也很困惑，雖然廣告 ID被設計成可重置的廣告ID，但重置意義不大，只要廣告 ID還在，便可以用來跟蹤用戶，比如在兩個應用中交叉跟蹤用戶依舊可以實現(xiàn)的。

同時，幾乎所有的敏感信息在傳遞到應用程序之前都會被編碼成一個字符串。在這個背景下，無恒實驗室自研了一種相對簡單的檢測方法來解決隱私泄露的問題，即通過HookString的構(gòu)造函數(shù)方式，便可以檢查在移動設備上構(gòu)造的所有字符串，這種策略看似簡單但是很全面，因為無論惡意應用程序以任何方式獲取敏感數(shù)據(jù)字符串，都可以監(jiān)控到。

無恒實驗室將這種方法包裝成一個工具，并用它來分析某些在Android設備中預裝的應用程序。該工具發(fā)現(xiàn)了在很多場景下的用戶信息被非法獲取，目前已經(jīng)將上述問題提交給相關制造商，并獲得制造商的認可與致謝。值得一提的是，該工具有個顯著優(yōu)勢，即調(diào)用者如果使用0day或者Nday，也一樣可以被檢查到敏感信息被調(diào)用。同時工具也有不足，即如果大量的字符串被hook后，會導致APP運行卡死，該不足無恒實驗室也在持續(xù)優(yōu)化中。

漏洞已提交至相關廠商

無恒實驗室秉持負責任的漏洞披露政策，已將上述所有發(fā)現(xiàn)的漏洞提交至相關廠商，并獲得CVE認可。無恒實驗室也希望借助演講推動隱私保護的建設步伐。

同時也可以看到，從Android 10開始，已經(jīng)不允許第三方應用獲取設備的唯一標識，如果要獲取，則該應用程序必須利用0day或者Nday，已經(jīng)大幅提高利用門檻，Android12也增加了刪除廣告ID的能力。當然一些問題還始終存在，如應用程序的WebView沒有正確處理權(quán)限，會被用來獲取用戶敏感數(shù)據(jù)。一些OEM廠商沒有嚴格按照AOSP權(quán)限策略，也會導致唯一標識被非法獲取，另外廣告ID在某種程度上也變成了持久化的ID，從設備第一次開機到手機恢復出廠設置，都可以持續(xù)跟蹤用戶。

這些仍然存在的問題依舊是隱私保護建設上的新挑戰(zhàn)，無恒實驗室愿攜手行業(yè)，呼吁監(jiān)管機構(gòu)、廠商和開發(fā)者等加強合作，共同打造一個安全合規(guī)的Android生態(tài)，為用戶的安全和隱私保駕護航。

據(jù)悉，無恒實驗室 (https://security.bytedance.com/security-lab)是由字節(jié)跳動資深安全研究人員組成的專業(yè)攻防研究實驗室，致力于為字節(jié)跳動旗下產(chǎn)品與業(yè)務保駕護航。通過實戰(zhàn)演練、漏洞挖掘、黑產(chǎn)打擊、應急響應等手段，不斷提升公司基礎安全、業(yè)務安全水位，極力降低安全事件對業(yè)務和公司的影響程度。

無恒實驗室持續(xù)在前沿安全技術(shù)加大投入，近年來無恒實驗室已有多篇研究成果發(fā)布在包括NDSS、MobiCom、BlackHat等頂會會議和期刊。未來，無恒實驗室將持續(xù)深耕移動安全和隱私安全，持續(xù)與業(yè)界持續(xù)共享研究成果，協(xié)助企業(yè)避免遭受安全風險，亦望能與業(yè)內(nèi)同行共同合作，為網(wǎng)絡安全行業(yè)的發(fā)展做出貢獻。（作者：黃恒）

關鍵詞：