2016年8月17日,ISC2016移动安全发展分论坛在北京国家会议中心召开,论坛由奇虎360公司与InForSec(网络安全研究国际学术论坛)联合举办。主题是“谁在窥探我的财富和隐私”,论坛旨在从系统安全、数据隐私、移动互联网黑产、移动支付安全等多个备受业内外人士关注的话题出发,揭秘移动生活中面临的重重新威胁,并提供新的解决思路。超过400名安全行业人士与会并参与讨论。
复旦大学系统软件与安全实验室副主任张源在会上做了“移动平台应用软件隐私威胁与保护”的报告。他指出移动应用软件在提供用户便利性和良好体验的同时,也搜集了大量的用户敏感数据,此类数据区别于系统和设备相关的敏感数据(例如SSID,GPS数据),而是与用户自身息息相关(例如用户名、密码、住址),然而目前此类敏感数据还未引起大家的重视。梳理移动应用软件中用户敏感数据的威胁,结合案例呼吁业界对此类数据进行安全性保护,并提出在移动应用软件中识别此类敏感数据的初步方法。他和他的团队采用基于文本分析的方法,较好地识别了一些用户输入类的隐私,更好地保护这些隐私数据。
以下内容为张源副主任报告速记整理全文:
张源:谢谢杨教授的推荐。我是来自复旦大学系统软件与安全实验室的张源。非常荣幸跟大家分享一下我们做的关于软件隐私保护的工作。
先给大家讲一个故事。下面这个截图来自一个国内知名学者的朋友圈,我给大家介绍一个案例,没有任何主观色彩。这个故事是这样的,这个学者收到一个快递电话,跟他说他有快递,要到付30元。快递小哥说了一个地址,感觉像是真的。这个学者很警觉,去看看快递。但是这个快递是一个很小的包裹,收件人地址是非常精确的,但是寄件人是没有名字的,寄件人的地址也是一个让他觉得非常熟悉的地址,这是一个很显然的快递欺诈的包裹,学者拒收了这个快递。他想着如果不给他打电话,可能让家人去收快递了,因为有非常准确的地址。
移动平台上,用户输入的信息是隐私数据的主要来源!
通过这样的例子我们可以看出来,由于历史信息的泄漏,攻击者可以进行精准攻击。在绝大部分情况下,被泄漏的这些地址信息其实是用户由于一些业务的需求,主动的输入给一些网站或者APP,这些APP或者网站没有保护好这些隐私。在移动平台上,这种用户输入的隐私是非常普遍的情况。我们通过交互不断提供一些隐私给APP,从而得到APP更好的服务。所以我们认为在移动平台上,针对用户输入的隐私与否将是隐私保护的重要的区域。
在移动平台上,除了账号信息之外,还有两种比较主流的用户输入信息,地址信息,资金账户信息,这些都是用户特别私密的信息。这类数据有什么样的特点呢?它至少有三个方法的特点。首先,数据格式是特意的,账户就是一个密码,地址就是省、市、街道详细地址,在结构上是不一样的,所以没办法通过输入看出来。第二,每个APP有自己的界面和函数,去获取这样的数据。第三个特点,用户输入的数据,它的获取形式是多样的,有些可能通过输入框,有些是让用户去选。基于这种用户输入数据的三个特点。我们该怎么保护它呢?
我们去分析看,在隐私保护方面的这些工作主要分为两类:
第一类隐私监测的范畴,通过动静态的分析过程,跟踪隐私在APP过程的流转,一旦发现被不安全发送出去就会告诉用户。我们课题组一个是OSDI,一个是网络控制机制,我们通过操作系统和其他手段设置APP访问隐私数据的模式,通过这样一种框架,基于这个规则去控制程序。这两个工作有一个统一的特点就是,它们大部分主要通过一些API获得系统内件。分析之前的特点,这种工作没有直接保护用户输入的隐私,因为用户输入的隐私不是监管过程。那是不是说这些系统工作完全没有办法用于保护数据呢?我们可以分析得到结论是,现有工作主要的问题是它在于没法识别哪些是用户输入的隐私数据。在移动平台上针对用户输入隐私数据的保护而言,哪些数据是用户输入的隐私,这是非常重要的问题。不是所有的用户输入,我们输入的密码是隐私的,但是关键词就没有那么敏感。
二是在保护这些隐私方面,我们必须识别出来这些APP到底有哪些输入的隐私,通过哪些控件输入给APP,这样才能更好地保护这类隐私。这是我今天主要介绍的内容,我们主要设计了自动化的方法,能够识别一个APP中到底它会要求用户输入哪些数据,到底通过哪些控件来输入的隐私输入。
基于这样的工作,我们设计了一个轻量级的隐私数据保护,防止中间人的攻击。我们考虑个问题,APP有很多界面,有很多界面要求输入信息。到底哪个界面可能会输入UIP数据呢?其实是不知道的。这个界面中的控件很多,控件类型也很多,有些通过输入框,有些通过下拉菜单,很难通过自动化的方法去识别出来。当然熟悉安卓开发的同事会提出一种思路,比如输入密码的时候,我们通过输入数据可以识别出来,这肯定是让用户输入密码的隐私框。但是这样是否可行呢?它存在一个问题,首先因为不是每一种隐私,安卓都定义了控件属性,我们很难找到比较全都安装控件的隐私框。二是因为安卓提供的UI组件非常丰富,不是每一个控件都有这样的数据。第三也许开发者根本不用这个,我们是不是不分析它的数据。这样的方法很难很好地应用于这样的问题。
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。