G.O.S.S.I.P 阅读推荐 2023-06-09 进击的隐私

移动安全 1年前 (2023) admin
312 0 0

前有上海车展冰淇淋事件,后有国泰航空空乘毛毯事件,今天我们要把矛头对准Android系统,来介绍OnePlus、Redmi和Realme对外国人予以反击的故事

G.O.S.S.I.P 阅读推荐 2023-06-09 进击的隐私

在这篇名为 Android OS Privacy Under the Loupe – A Tale from the East 的WiSec 2023论文读完后,编辑部立马想起来了【G.O.S.S.I.P 学术论文推荐 2021-11-08】里面介绍的那篇SecureComm论文——来自爱尔兰都柏林三一学院的作者使用了Pixel 2手机和iPhone手机对Google和Apple搜集的数据进行了分析,表明两家互联网数据怪兽都在疯狂探听用户数据。而这一回,原来的论文作者又联手了两名爱丁堡大学的研究人员,将分析对象指向了世界第一大单一国家移动智能终端用户群体——也就是我们中国的Android用户群,分析了神秘东方国度的移动终端生态的隐私信息收集问题。

作者选择了OnePlus 9RRedmi NoteRealme Q3 Pro三台手机作为研究的设备(主要是因为这三台设备都能unlock bootloader),给设备植入了根证书,然后按照下图的配置方法进行测试——由于作者在英国,为了抹黑我们伟大的祖国,他们利用了一个可以刷固件的ASUS路由器将手机的流量全部导向一台地理位置在上海的华为云VPS,然后再进行中间人流量捕获,完整记录了所有行为。作者专门提到,这个研究的一个缺陷是没有让GPS信号也全部指向上海。我们充分理解他们(去年)没法来上海做实验

G.O.S.S.I.P 阅读推荐 2023-06-09 进击的隐私

在这个基础上,研究人员还准备了来自国内的手机卡和英国手机卡,并在不同的网络环境下,分别观察手机的静态行为(放在那什么也不做24小时)和特定行为(比如拨打一个电话,然后观察手机上各种服务的网络特征)。最后把收集到的数据集拿出来分析:

数据集:https://github.com/Mobile-Intelligence-Lab/android_CN_trafficdata

除了观察网络行为,作者也对手机的厂商APP(vendor apps)和预装APP(pre-installed apps)进行了静态和动态分析,然后首先引出了第一个问题:

在不同的手机中,预装APP的数量如何?

这个问题的答案,对于中国用户来说其实没啥意外,主要特点就是对一些类别的特定APP(例如输入法、地图这类),厂商喜欢预装一大堆。比如说输入法就会预装百度输入法、搜狗输入法和讯飞输入法,而对于Redmi和Realme的国际版,一般就不会预装太多APP。当然,预装APP是一回事,我们更关心的可能是这些预装APP的权限,这就引出了第二个问题:

厂商定制服务和预装APP请求的数据权限有哪些?

G.O.S.S.I.P 阅读推荐 2023-06-09 进击的隐私

作者发现,同国际版(只测试了Redmi和Realme)相比,国行版的系统中厂商服务过度申请权限的情况是差不多的(比如有个com.goodix.fingerprint服务要求了Calendar、Camera、Contact、Call log、Audio record等敏感权限),但是国行版的预装APP就很明显比国际版的预装APP要“猖狂”很多。不过作者这里分析比较粗糙,只考虑了数量,会有一些过度估计。例如淘宝APP为了兼容性,不管预装在哪家手机上,都会去请求包括魅族、Google、三星、Vivo和华为的一些厂商自定义权限,这导致了统计时权限数量大大增加。

接下来的一个问题就很关键了:

手机厂商默认会给预装APP赋予敏感数据访问权限吗?

G.O.S.S.I.P 阅读推荐 2023-06-09 进击的隐私

在上图中,两大支付服务的底层安全服务SOTER和IFAA默认获得了许多权限,作者表达了担忧,不过我们看到图中那个什么权限都没有请求的com.xunmeng.pinduoduo忍不住放声大笑起来,你以为它什么权限都不需要就不做事情了吗?

除了静态代码分析,作者也进行了动态分析,对系统服务和预装APP进行了插桩,以收集它们上传的网络数据,并回答如下问题:

哪些类型的个人信息数据(personally identifiable information,PII)被收集了?

下表展示了国内Android设备和国际版设备收集个人信息的差别,可以说是赤裸裸地歧视国外用户,凭什么我们非中国用户不配被收集个人信息??!

G.O.S.S.I.P 阅读推荐 2023-06-09 进击的隐私

这里面作者还深入挖掘了一些歧视细节,例如国行版的Redmi在某个POST请求里面就会把isPersonalizedAdEnabled这个字段设置成true,为我国用户提供定制化的广告服务,而海外版用户显然无法得到如此贴心的照顾(虽然作者和我们都没法确认,只能看着这个字段的字面意思顾名思义)。

G.O.S.S.I.P 阅读推荐 2023-06-09 进击的隐私

总体来说,国行版的系统会特别照顾用户,将设备信息、地理位置信息和用户身份标记数据等诸多PII都上传,以便为用户提供更好的服务。那么,下面的问题就来了:

国行版的系统服务和预装APP是否在收集数据时通知了用户?

作者发现,国行版的这些代码,有一个很大的特色,在上传PII信息时不光发给厂商,还要cc给移动运营商一份,具体是为什么也搞不清楚。而且大部分的系统服务和预装APP,对于使用这些数据,给用户提供的选项就是“要么接受,要么就拒绝执行”,用户没有什么选择权。(国内每天都有很多奇奇怪怪的APP被各部门点名收集用户数据,可是为什么没人来点名论文里面提到的这些呢?)而且作者还发现,很多拥有高权限的预装APP是可以持续后台运行的,这进一步为用户提供了良好的服务~

作者还比较了用户数据收集之后上传到哪里:

G.O.S.S.I.P 阅读推荐 2023-06-09 进击的隐私

G.O.S.S.I.P 阅读推荐 2023-06-09 进击的隐私

通过这个比较,我们得出的结论是:上海确实不是一个互联网城市,已经被移动互联网时代所抛弃了(手动狗头,尽管上海有2021年就已经成立的上海数据交易


最后说一个不相关的事件:大家看看下面这则新闻,然后你再去看看评论区,是不是觉得很奇怪?怎么感觉评论和新闻的标题风马牛不相及?实际上,如果你想知道这个2018年3月25日-26日的论坛上到底发生了什么事情,在访问来自澎湃新闻的原始链接 https://www.thepaper.cn/newsDetail_forward_2043041 之外,还可以访问 https://www.geekpark.net/news/227617 去看看细节。

G.O.S.S.I.P 阅读推荐 2023-06-09 进击的隐私


论文:https://arxiv.org/pdf/2302.01890.pdf


原文始发于微信公众号(安全研究GoSSIP):G.O.S.S.I.P 阅读推荐 2023-06-09 进击的隐私

版权声明:admin 发表于 2023年6月9日 下午10:23。
转载请注明:G.O.S.S.I.P 阅读推荐 2023-06-09 进击的隐私 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...