一、布景
2月27日-3月3日,国际安全顶会NDSS 2023在美国加州举办,来自字节跳动无恒实验室的研讨论文《Post-GDPR Threat Hunting on Android Phones: Dissecting OS-level Safeguards of User-unresettable Identifiers》被NDSS 2023收录。
NDSS网络与分布式体系安全会议(the Network and Distributed System Symposium, NDSS ),是国际公认的网络和体系安全四大顶级学术会议(BIG4)之一,录用率终年保持在15%左右,具有非常高的学术影响力。
3月1日,来自无恒实验室的安全研讨员张清在NDSS 2023会议现场宣布讲演,分享关于安卓操作体系在用户身份标识追寻等方面的隐私问题,主要包括WiFi相关,蓝牙相关,以及常见的uuid(IMEI/MEID/Serial number)等信息在获取方面缺点的相关研讨成果,该研讨可促进Android操作体系关于这些信息获取的防护体系建造,助力用户隐私安全维护。
二、研讨介绍
近年来,各国政府越来越重视用户数据与隐私的问题,相继拟定了以隐私为重点的数据维护法规。高度的开放性是安卓的典型特性,但是,开放性也是一把双刃剑,高度的开放性,也随之带来了人们关于Android生态下用户隐私维护的忧虑。同时跟着安卓手机应用的爆发式增加,用户身份辨认信息也随时面临着被走漏的危险。尤其是一些用户不可修正的设备辨认信息,一旦遭到走漏,将带给用户身份追寻方面的困扰,并造成长期的隐私走漏。
据悉,谷歌已经采取措施,施行新的隐私功用,以约束应用程序对用户数据的运用,尤其是在一些用户不可重置的辨认信息 (User-unresettable Identifiers, 后文简称UUI)上,在体系层面针对UUI的读取权限日益收紧,并且从10.0版别开始,第三方Apps被约束,乃至制止读取一些常用的手机设备辨认信息,例如手机序列号,IMEI,ICCID等。
2.1 了解UUI
为了辨认UUI,无恒实验室参考了Android的官方文档和相关文献,确认了六种类型的UUI。本研讨将剖析这六种UUI 是否受到良好维护;并在此根底上,以这六种UUI作为目标,探索一个UUI是怎么被应用程序拜访的,以及还有多少咱们从未见过的UUI存在隐私走漏的危险。
基于上述布景,无恒实验室联合昆士兰大学、新加坡国立大学等科研组织研发了一款名叫U2I2的剖析东西,U2I2 不只评估这六个已知 UUI 的维护状况,还要评估其他以前未陈述的 UUI 的维护状况。经过检测可编程接口,非体系应用程序能够在没有所需权限的状况下,歹意经过该接口拜访 UUI。无恒实验室对市面上多款最新Android设备进行剖析后发现,即运用户的手机安装了最新的Android版别(10.0或更高),一些UUI依然能够被第三方App轻易获取。终究在13款不同类型的Android设备上共发现了65处体系等级(OS-level)的UUI维护缝隙。
(List of 6 recognized Android UUIs)
2.2 主要发现
依据研讨发现,UUI处理不妥的问题在最新的Android手机中依然普遍存在,截止本论文宣布前,总共发现51个独立的缝隙(将多个厂商设备中发现的相同缝隙定义为一个独立缝隙),导致了65次体系级UUI走漏。这51个缝隙中,其中有47个缝隙涉及到咱们预先确定的6个目标UUI,还有18个走漏是经过U2I2剖析东西经过差异剖析后确认的全新UUI(即Misc UUIs)。在剖析获取渠道时,咱们发现有45个缝隙是经过undocumented渠道获取的,同时有30个缝隙是经过读取体系属性完成的。从缝隙产生者角度计算,只要一个独立缝隙是源于AOSP代码的,即Google在编写Android体系时造成的,剩余50个缝隙均为厂商定制ROM过程中产生。AOSP的缝隙也毫不意外地呈现在所有的厂商ROM傍边。
2.3 白名单问题
在研讨过程中,无恒实验室还发现了一个滥用白名单的问题,白名单机制本来不是为第三方App规划,设备厂商更应该谨慎运用该机制。但在对手机厂商剖析过程中,发现存在过度运用白名单机制来规范灵敏API调用的问题, 因为身份验证存在缺点,歹意应用程序能够诈骗白名单机制并绕过权限操控来收集 UUI。 这样会导致处在白名单中的APP能够跳过Android体系对其进行的鉴权机制,在用户不知情的状况下获取其隐私。
三、小结
为了解操作体系等级的UUI维护,无恒实验室联合昆士兰大学、新加坡国立大学等科研组织对Android操作体系中的UUI进行了全面研讨剖析,也将研讨成果补充到关于应用程序级数据收集行为的现有研讨中,助力Android生态体系中的PII维护研讨。
无恒实验室秉持负责任的缝隙发表方针,已将所有发现的缝隙提交至相关厂商,目前已收到8个CVE。同时呼吁监管组织、厂商和开发者等加强协作,一起打造一个安全合规的Android生态,为用户的安全上网保驾护航。
想阅览完好论文的朋友,欢迎点击自取:baigd.github.io/files/NDSS2…
四、关于无恒实验室
无恒实验室(security.bytedance.com/security-la…) 是由字节跳动资深安全研讨人员组成的专业攻防研讨实验室,致力于为字节跳动旗下产品与事务保驾护航。经过实战演练、缝隙挖掘、黑产冲击、应急呼应等手段,不断提高公司根底安全、事务安全水位,竭力降低安全事情对事务和公司的影响程度。
无恒实验室继续在前沿安全技术加大投入,近年来无恒实验室已有多篇文章发布在包括NDSS、MobiCom、Black Hat等顶会会议和期刊。未来,无恒实验室将继续深耕移动安全和隐私安全,继续与业界继续同享研讨成果,帮忙企业避免遭受安全危险,亦望能与业界同行一起协作,为网络安全职业的开展做出奉献。
