隐私保护！27%的Android手机APP越界获取用户隐私权限

Posted 2021-04-27 通付盾移动安全实验室

2017年，通付盾移动安全实验室对android移动应用隐私状况追踪，对信息窃取类移动应用数据进行汇总分析，发布了《2017年度移动应用隐私安全报告》。报告指出，27.8%的Android手机App越界获取用户隐私权限，其中包括知名企业如阿里、腾讯、百度等旗下APP均涉及越界获取用户隐私权限。针对APP越界获取用户隐私权限问题，我们做了相关研究并将相关数据及结论公布，供广大用户、企业及监管机构参考：

各种APP正在不断方便我们的生活：如出行的百度地图、看电影的美团购票、打字的搜狗输入法……在APP使用率增多的背后却是不断被获取的权限和个人信息。用户在安装常用APP时，发现每安装一款APP都有调用权限的提示：本机识别码、位置、摄像头、运动数据、日程……

为什么一个手电筒需要读取联系人？一个输入法要读取位置权限？这些被调用的权限会不会泄露自己隐私？

通付盾移动安全专家针对全渠道应用检测平台600万+移动应用数据进行专项分析，基于通付盾移动应用检测技术，发现移动APP越界获取用户隐私权限现象严重，尤其越界读取位置信息、越界读取通话记录、越界访问联系人等侵犯用户核心隐私权限问题突出。

图1   基于通付盾移动应用检测产品的分析结果

应用权限过多也是移动APP当前普遍现状，一个APP往往会获取近百个权限，而其中大部分都是无必要的权限。

图2   UC浏览器的权限列表中多个不明所以的权限

应用权限过多不仅导致用户隐私被窥探，同时也容易造成用户信息泄露事件发生。通付盾移动安全专家发现不少越界获取用户权限造成用户信息窃取的案例。

剑侠挂机案例分析  该应用是由游戏开发商趣味天下所开发的一款角色扮演类手游应用，存在资费消耗,信息窃取等恶意行为。

图3   《剑侠挂机》游戏界面

经分析，该文件含有获取并记录多种设备信息、短信信息的代码，此外，该应用还具有主动发送短信、获取运营商短信内容等行为。其中一部分造成信息泄露的代码分析如下：

获取设备信息  类com.snowfish.a.a.ad的函数 ae f()含有获取设备硬件信息的代码：

图4   获取设备信息代码截图

收集隐私信息  com.snowfish.a.a.cf类的函数void a()调用上面的函数f()获取设备信息，并且同时获取多种其他隐私信息：

图5   获取设备信息代码截图

之后通过函数void a(int, String)、经过一系列函数调用，将这些信息收集至com.snowfish.a.a.dk类的字段public byte[] a：

图6   收集用户信息代码过程图

 信息泄露  类com.snowfish.a.a.dk的函数void a(OutputStream)将保存各种隐私信息的字段a输出到某个输出流（传入的参数）：

图7  信息泄露函数

该函数被com.snowfish.a.a.cX类的成员函数void b()调用，使得隐私数据通过网络被发送，造成信息泄露：

图8   发送隐私数据代码截图

通付盾移动安全专家从技术角度对移动APP越界权限访问做了深入分析与解读，认为大部分的应用权限都没有很强的必要性。

微信的基础聊天功能根本不需要用到地理位置，即便拒绝了微信的地理位置权限，微信也可以通过基站定位出用户位置。更佳的做法是允许用户拒绝，并在需要获取地理位置时再次弹窗。

存储权限也是各大应用的标配，但是安全专家指出，即便用户拒绝了存储权限，应用也可以在自己的ExternalFilesDir和ExternalCacheDir目录读写，不影响程序自身的数据写入读取。而作为用来识别用户唯一性的设备ID在很多app上都变成了强制获取。

针对APP随意调用手机权限、侵犯用户隐私等行为，国家网信办明确规定APP不得随意调用用户手机权限；国内外主要相关企业及手机安全厂商也在积极制定安卓统一推送服务（Unified Push Service，简称UPS）技术标准；而为了改变这一现状，最新消息已表明，安卓9.0（初步代号定为Pistachio Ice Cream，Android P）也将禁止空闲后台应用访问智能手机的相机或麦克风。随着各界对越界获取用户隐私权限问题的日益重视，相信不久的将来，APP的越界权限访问问题能够得到进一步解决。

通付盾移动安全实验室专注移动安全，为广大移动用户、企业及监管部门提供专业的移动安全防护服务和解决方案，通付盾移动安全实验室愿联合社会各界力量，一起携手，共同维护移动互联网安全，助力推进移动互联网安全产业健康有序发展。