1300款Android应用涉嫌非法获取用户数据

iso60001  74天前

22.jpg

根据国际计算机科学研究所(International Computer Science Institute)学术联盟进行的一项研究表明,1300多个流行的Android应用程序在未经用户同意的情况下收集敏感数据。

该报告主要研究了美国版本的谷歌商店上的流行应用,包括迪斯尼、三星和一系列流行的专业应用,例如照片编辑应用Shutterfly等。研究人员发现,许多应用未经用户同意就抓取敏感用户信息,例如当前地理位置、历史地理位置和MAC地址等。

那么这些应用是如何规避权限管制的呢?研究人员用Shutterfly举了个例子,尽管用户没有授予该应用访问敏感信息的权限,但Shutterfly还是通过提取图像中的exif数据来收集其中所隐藏的GPS数据。

研究人员表示:“我们观察到,Shutterfy应用在没有获得读取位置权限的情况下,依然可向自己的服务器发送精确的定位数据。”

Shutterfly从每个图像的exif数据中收集手机的精确地理位置,这些exif数据是在手机拍摄图像时自动嵌入图片中的,其中包含GPS等大量敏感信息。Shutterfly将exif数据中的地理位置解析为一个带有纬度和经度的json对象,再将其传输到服务器。

此外,Shutterstock与研究人员挑选的其他应用程序有一个共同点,那就是它们都使用中国百度(Baidu)制造的相同的软件开发工具包(SDK),且涉及一家名为Salmonads的分析公司。

研究人员解释说,他所分析的1300个应用程序都使用了相同的SDK,因此每个应用程序的底层框架都相同。而当两个应用共享底层框架时,就有可能出现安全问题,例如,一个应用被限制访问定位数据,但另一个应用允许访问定位数据时,SDK有时会避开某个应用的权限限制,采用共享用户数据的另一个应用的权限规则。

33.png

通过以上这种方式,某个应用不需要获得用户许可就可访问用户的定位数据。该应用可以利用共享的SDK框架,从另一个具有获取定位权限的应用中收集定位数据。

对此,研究人员表示:“我们的研究显示一些应用利用某些可绕过Android系统限制的侧信道攻击方法来获取敏感数据。而受这种现象影响的潜在用户恐达数亿。”

这些应用的做法违背了用户对隐私的管控,可能违反各种了隐私保护法律。

不过,研究人员不认为Shutterfly收集这些数据有什么恶意目的。

根据Shutterfl的发言人的某次声明,Shutterfly与其他图像服务一样,使用这些数据来增强用户体验,并根据Shutterfly的隐私政策和Android开发者协议为客户更好地提供分类和个性化等功能,并只在用户明确许可的情况下收集个人数据。

当然,研究人员也认为,这种收集数据的行为不可能毫无风险。

研究人员描述了两种未经用户许可而获得敏感数据的方法。一种是通过“侧通道攻击”,应用从其他意想不到的设计缺陷中获取敏感数据。而另一种则是“秘密通道”。

而“秘密通道”即指两个应用相互“合作”,互通数据,某个应用无权限获取的数据让另一个有权限的应用帮忙获取,从系统层面上看,这两个应用均无非法行为。

这项研究是美国联邦贸易委员会(FederalTradeCommission)周一发布的,是上个月Privacycon 2019会议的后续内容。这项研究调查了来自美国谷歌商店的88113个流行应用,发现1300个应用和第三方库使用了“侧通道”或“秘密通道”的方法来规避Android的权限控制。总而言之,这些应用都可以访问用户设备的物理位置和MAC地址。

研究人员在和谷歌联系后,谷歌表示,预计将在今年晚些时候发布的Android Q上将解决此类权限漏洞。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://threatpost.com/apps-access-data-without-permissions/146325/

最新评论

昵称
邮箱
提交评论

友情链接:FOFA FOEYE BCSEC BAIMAOHUI 安全客 i春秋

nosec.org All Rights Reserved 京ICP备15042518号