大东话安全丨SDK监听——移动设备中的偷窥狂
一、小白剧场
小白:东哥,现在手机上的App功能好强大啊,干什么的都有!听音乐、看电影、p图,真是太方便了!
大东:功能是挺多,但是小白,你一定要下载正版软件哦,未知的第三方软件危险可是大大的呢!
小白:不就是一个App吗?我就看看功能,不好用我就卸载,或者不打开它不就完事了?
大东:嘿嘿,那你就太小瞧攻击者了。尽管你不打开App,恶意软件仍然可以监听并窃取你的信息。
App窃取用户信息 (图片来自网络)
小白:这都可以吗?它是怎么做到的呢?
大东:它们就是用SDK来暗中窃取你的信息!
小白:什么是SDK?东哥快给我讲一讲这个利用App窃取我私人信息的小恶魔吧!
二、话说事件
大东:SDK的全名是“Software Development Kit”,中文名叫“软件开发工具包”,是一套开发工具集合。
小白:它主要有什么作用呢?
大东:它可以为特定的软件包、应用软件、软件框架、硬件平台、操作系统等产品提供服务。
小白:东哥,能说的直白,简洁一点吗?
大东:简单来说,就是一个第三方开发的工具包,帮助实现某些功能,具有读取、存储、传输数据等能力。
小白:能够读取、传输数据?是不是那些恶意软件看中的就是这一点啊?
大东:没错!不法分子利用SDK读取受害者手机里的信息,并将这些隐私信息传输至指定的服务器,以便开展下一步犯罪活动。
小白:大概都包含哪些信息呢?
大东:主要包括手机设备的IMEI、IMSI、运营商信息、电话号码、短信记录、通讯录、应用安装列表和传感器信息等。
App泄露用户数据 (图片来自网络)
小白:那我平时玩游戏的时候,服务器也会向我索取位置信息和手机号等,这样的行为是不是也违法呢?
大东:只要这些索取信息的行为是在经过本人允许,并且是不超过软件服务范围的,就是合法的。
小白:那具体怎样是不超过服务范围呢,东哥?有没有相应的法律规定了合法的范围呢?
大东:不错啊,小白,法律意识蛮强的!当然有法律条文规定了合法范围,那就是《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范(草案)》。
小白:其中是怎么规定的呢?
大东:规范中明确了,除法律法规的强制性要求外,App 运营者不应收集与所提供的服务无关的个人信息;App运营者不应收集不可变更的设备唯一标识(如 IMEI 号、MAC 地址等),用于保障网络安全或运营安全的除外。
小白:对于一些流氓软件,不征求用户的意见直接收集信息,这种情况条文有规定吗?
大东:当然!在 App 运营者使用第三方代码或插件满足其特定功能时(如该第三方代码或插件具备个人信息收集功能且个人信息主体无法拒绝),App 运营者应确保第三方代码或插件履行个人信息安全保护义务,并防止第三方代码或插件收集无关的个人信息。
小白:那东哥,他会具体收集哪些与服务无关的数据呢?
大东:比如采集用户蓝牙信息。
小白:是怎么采集的呢?
大东:蓝牙信息采集目的是为了做设备识别使用,而采集成功配对的蓝牙设备信息则是为了获得与移动设备通过蓝牙通信的另一移动设备信息。采集配对信息则完全侵犯了用户隐私,同时也泄露了另一移动设备的相关信息。
小白:还有没有其他类型的,无关服务的数据呢,东哥?
大东:还有采集用户移动设备上的APP信息。通过采集这类信息可以清楚了解用户设备中各类APP应用的信息。
小白:窃取这些信息有什么用呢?
大东:若数据量庞大,即可推算出每款APP应用的市场占有率情况。同时也可以通过APP应用列表信息看到设备用户的喜好,侵犯用户隐私。
小白:原来是这样!怪不得最近我喜欢玩竞技类游戏,当我浏览其他网站或者app市场时,它们总会给我推送竞技类游戏的数据。
大东:嘿嘿,所以说小白你还是不要随便下载APP了哟!但是,这还不是最危险的,最危险的是采集用户移动设备的账户信息。
小白:真的吗,东哥?会有什么危险呢?
大东:它可以获取用户账户列表,将移动设备信息与用户账号关联,对设备进行唯一标识。若用户账号被泄露、被克隆,那对于用户产生的损失可能是利益上的、更甚是生命上的。所以此类数据的采集对用户隐私侵害极大。
SDK窃取用户信息类型(图片来自网络)
小白:那这种App嵌入SDK窃取信息的手段这么危险,相关人员采取什么措施了吗?
大东:接下来,我就给你讲讲围绕这种信息窃取手段,央视所进行的一次集中通报。
小白:央视都引起重视了?东哥,快讲讲吧!
三、大话始末
大东:2020年的3·15晚会,曝光了SDK违规收集用户信息的问题。
小白:主要曝光了哪些内容呢?
大东:晚会曝光了氪信SDK,通过嵌入App,收集用户数据,同时也曝光了一些窃取用户信息的危险App。
嵌入SDK窃取信息的App (图片来自网络)
小白:这么多App都有危险啊,我一会得看看手机里有没有命中的“小鬼”,赶紧删除了!东哥,会上还说没说其他的问题?
大东:会上还基于这种SDK窃取用户信息的方法,分析了App集成SDK的频率数据,发现按照App集成的SDK类别划分,消息推送类SDK最多,综合类和辅助开发类其次。
SDK调用频率与次数(图片来自网络)
小白:原来这么多类型的App都安装了SDK?!东哥,我现在好慌啊!
大东:哈哈,小白不要慌!SDK本身不是洪水猛兽,作为App界的必需品,合规才是首要命题。大部分的合规App具有的SDK都是合法的。
小白:那对于不合法的SDK,我们现在的技术难题是什么呢?
大东:比如无感收集授权难、弹窗授权体验差、隐私政策埋得深、附属地位改变难、受害用户举证难等。但是,小白,我们也不要慌,只要提高自身警惕性,做好防范,不要随意下载App就好!
四、小白内心说
小白:东哥,那我们应该具体采取怎样的防范措施,才能避免被恶意窃取信息呢?
大东:首要问题就是权限问题,我们下载一个App后,一定要慎重授权!
小白:权限问题具体我们应该怎样注意呢?
大东:一般安装APP时,都会提示给予授权,此时务必慎重、慎重、再慎重!如果授权范围明显超出了软件的使用功能,就需要留心。比如你下载美颜软件,但它需要获取录音、短信、通信录等功能,就属于明显超越授权范围,十有八九有猫腻。
小白:原来如此!我说我看个电子书,它需要获取通信录权限干什么!东哥,那要是误选了,该怎么办呢?
大东:可以进入“设置→隐私”,能看到定位服务、通讯录、日历、照片等授权情况,点击某一类别就可以管理权限。
设置App权限举例 (图片来自网络)
小白:好的!东哥,还有没有别的防范方式需要注意的呢?
大东:还有一条很重要,就是一定要去正规渠道下载APP。对于一些无法通过正规渠道提供下载的APP,其本身就存在较大的安全风险。
小白:知道了,东哥,我再也不会随便下载了!那东哥,定期检查手机对于防范SDK窃取信息有帮助吗?
大东:当然!定期检查手机APP的授权情况很有必要,可以避免因手滑造成的过度授权或其他不明原因引发的过度授权。另外,通过检查手机的耗电量情况也可以初步判断APP是否在偷偷运作。
小白:是怎么判断的呢?
大东:如果某款APP的使用频率与其耗电量不匹配,那么该APP就非常可疑。
小白:原来如此,活到老学到老啊!
大东:只要我们不断学习,提升技术,增强安全意识,就不会让不法分子有机可乘!
参考资料:
1. 这些APP还在偷偷窃取用户隐私,其中7个我都在用!
https://www.sohu.com/a/305930178_239259
2. 3·15晚会曝光的SDK,是如何侵犯用户个人信息的?
https://mp.weixin.qq.com/s?__biz=MzAwNTkyNzAxNQ==&mid=2247488441&idx=3&sn=369db8194b2da463d8d100bf58c24edd&chksm=9b146ab1ac63e3a7e1515cb355fd73c7f42f39624e3cacfba3487ab38ddebd69b84496db830f#rd
3. 央视315报道的SDK窃取手机隐私要这么来防
https://www.360kuai.com/pc/9fd751e033741724f?cota=3&kuai_so=1&sign=360_57c3bbd1&refer_scene=so_1
4. 什么是SDK,它如何收集及侵害您的个人信息?
https://zhuanlan.zhihu.com/p/63298581
来源:中国科学院计算技术研究所
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」