2 月 27 日-3 月 3 日,国际安全顶会 NDSS 2023 在美国加州举办,来自字节跳动无恒实验室的研究论文《Post-GDPR Threat Hunting on Android Phones: Dissecting OS-level Safeguards of User-unresettable Identifiers》被 NDSS 2023 收录。
2 月 27 日-3 月 3 日,国际安全顶会 NDSS 2023 在美国加州举办,来自字节跳动无恒实验室的研究论文《Post-GDPR Threat Hunting on Android Phones: Dissecting OS-level Safeguards of User-unresettable Identifiers》被 NDSS 2023 收录。
NDSS 网络与分布式系统安全会议(the Network and Distributed System Symposium, NDSS ),是国际公认的网络和系统安全四大顶级学术会议(BIG4)之一,录用率常年保持在 15% 左右,具有非常高的学术影响力。
3 月 1 日,无恒实验室的安全研究员张清在 NDSS 2023 会议现场发表演讲,分享关于安卓操作系统在用户身份标识追踪等方面的隐私问题,主要包括 WiFi 相关,蓝牙相关,以及常见的 uuid(IMEI/MEID/Serial number)等信息在获取方面缺陷的相关研究成果,该研究可促进 Android 操作系统对于这些信息获取的防护体系建设,助力用户隐私安全保护。
安卓平台用户数据与隐私保护的挑战
近年来,各国政府越来越重视用户数据与隐私的问题,相继制定了以隐私为重点的数据保护法规。
高度的开放性是安卓的典型特性,然而,开放性也是一把双刃剑,高度的开放性,也随之带来了人们对于 Android 生态下用户隐私保护的担忧。同时随着安卓手机应用的爆发式增长,用户身份识别信息也随时面临着被泄漏的风险。尤其是一些用户不可修改的设备识别信息,一旦遭到泄露,将带给用户身份追踪方面的困扰,并造成长期的隐私泄露。
据悉,谷歌已经采取措施,实施新的隐私功能,以限制应用程序对用户数据的使用。尤其是在一些用户不可重置的识别信息(User-unresettable Identifiers, 后文简称 UUI)上,谷歌在系统层面针对 UUI 的读取权限日益收紧,并且从安卓 10.0 版本开始,限制第三方 App,甚至禁止读取一些常用的手机设备识别信息,例如手机序列号,IMEI,ICCID 等。
无恒实验室是由字节跳动资深安全研究人员组成的专业攻防研究实验室,致力于为字节跳动旗下产品与业务保驾护航,通过实战演练、漏洞挖掘、黑产打击、应急响应等手段,不断提升公司基础安全、业务安全水位,极力降低安全事件对业务和公司的影响程度。
为了识别 UUI,无恒实验室参考了 Android 的官方文档和相关文献,确定了六种类型的 UUI。通过分析六种 UUI 是否受到良好保护,探索 UUI 是如何被应用程序访问的,以及还有多少是研究者从未见过的 UUI 隐私泄露风险。
(List of 6 recognized Android UUIs)
基于上述背景,无恒实验室联合昆士兰大学、新加坡国立大学等科研机构研发了一款名叫 U2I2 的分析工具。U2I2 不仅评估这六个已知 UUI 的保护情况,还会评估其他以前未报告的 UUI 的情况。据介绍,正常情况下,只有系统自带且授予了权限的应用程序,才可以通过可编程接口访问 UUI。U2I2 分析工具通过检测这个可编程接口,就能发现哪些不是系统的应用程序,在没有允许的情况非法访问了 UUI。
无恒实验室对市面上多款最新 Android 设备进行分析后发现,即使用户的手机安装了最新的 Android 版本(10.0 或更高),一些 UUI 仍然可以被第三方 App 轻易获取。最终在 13 款不同型号的 Android 设备上共发现了 65 处系统级别(OS-level)的 UUI 保护漏洞。
最新的 Android 手机中仍然普遍存在 UUI 处理不当问题
根据研究发现,UUI 处理不当的问题在最新的 Android 手机中仍然普遍存在。截至本论文发表前,无恒实验室总共发现 51 个独立的漏洞(将多个厂商设备中发现的相同漏洞定义为一个独立漏洞),这些漏洞导致了 65 次系统级 UUI 泄露。
这 51 个漏洞中,其中有 47 个漏洞涉及到研究人员预先锁定的 6 个目标 UUI,还有 18 个泄露是通过 U2I2 分析工具经过差异分析后确定的全新 UUI(即 Misc UUIs)。在分析获取渠道时,无恒实验室发现有 45 个漏洞是通过 undocumented 渠道获取的,同时有 30 个漏洞是通过读取系统属性实现的。从漏洞产生者角度统计,只有一个独立漏洞是源于 AOSP 代码的,即 Google 在编写 Android 系统时造成的,剩余 50 个漏洞均为厂商定制 ROM 过程中产生。AOSP 的漏洞也毫不意外地出现在所有的厂商 ROM 当中。
在研究过程中,无恒实验室还发现了一个滥用白名单的问题。白名单机制本来不是为第三方 App 设计,设备厂商更应该谨慎使用该机制。但在对手机厂商分析过程中,发现存在过度使用白名单机制来规范敏感 API 调用的问题。由于身份验证存在缺陷,恶意应用程序可以欺骗白名单机制并绕过权限控制来收集 UUI,这样会导致处在白名单中的 APP 可以越过 Android 系统对其进行的鉴权机制,在用户不知情的情况下获取其隐私。
共同打造安全合规的 Android 生态
目前,无恒实验室联合昆士兰大学、新加坡国立大学等科研机构对 Android 操作系统中的 UUI 进行了全面研究分析,并将研究成果补充到关于应用程序级数据收集行为的现有研究中,助力 Android 生态系统中的 PII 保护研究。
秉持负责任的漏洞披露政策,无恒实验室已将所有发现的漏洞提交至相关厂商。此外,无恒实验室也期待与厂商、开发者等加强合作,共同打造安全合规的 Android 生态,为用户的安全上网保驾护航。(作者:黄磊)
来源:互联网
