字節(jié)跳動無恒實驗室移動安全研究亮相NDSS國際安全頂會

2月27日-3月3日，國際安全頂會NDSS 2023在美國加州舉辦，來自字節(jié)跳動無恒實驗室的研究論文《Post-GDPR Threat Hunting on Android Phones: Dissecting OS-level Safeguards of User-unresettable Identifiers》被NDSS 2023收錄。

NDSS網絡與分布式系統(tǒng)安全會議(the Network and Distributed System Symposium, NDSS )，是國際公認的網絡和系統(tǒng)安全四大頂級學術會議(BIG4)之一，錄用率常年保持在15%左右，具有非常高的學術影響力。

3月1日，無恒實驗室的安全研究員張清在NDSS 2023會議現(xiàn)場發(fā)表演講，分享關于安卓操作系統(tǒng)在用戶身份標識追蹤等方面的隱私問題，主要包括WiFi相關，藍牙相關，以及常見的uuid(IMEI/MEID/Serial number)等信息在獲取方面缺陷的相關研究成果，該研究可促進Android操作系統(tǒng)對于這些信息獲取的防護體系建設，助力用戶隱私安全保護。

安卓平臺用戶數(shù)據與隱私保護的挑戰(zhàn)

近年來，各國政府越來越重視用戶數(shù)據與隱私的問題，相繼制定了以隱私為重點的數(shù)據保護法規(guī)。

高度的開放性是安卓的典型特性，然而，開放性也是一把雙刃劍，高度的開放性，也隨之帶來了人們對于Android生態(tài)下用戶隱私保護的擔憂。同時隨著安卓手機應用的爆發(fā)式增長，用戶身份識別信息也隨時面臨著被泄漏的風險。尤其是一些用戶不可修改的設備識別信息，一旦遭到泄露，將帶給用戶身份追蹤方面的困擾，并造成長期的隱私泄露。

據悉，谷歌已經采取措施，實施新的隱私功能，以限制應用程序對用戶數(shù)據的使用。尤其是在一些用戶不可重置的識別信息 (User-unresettable Identifiers, 后文簡稱UUI)上，谷歌在系統(tǒng)層面針對UUI的讀取權限日益收緊，并且從安卓10.0版本開始，限制第三方App，甚至禁止讀取一些常用的手機設備識別信息，例如手機序列號，IMEI，ICCID等。

無恒實驗室是由字節(jié)跳動資深安全研究人員組成的專業(yè)攻防研究實驗室，致力于為字節(jié)跳動旗下產品與業(yè)務保駕護航，通過實戰(zhàn)演練、漏洞挖掘、黑產打擊、應急響應等手段，不斷提升公司基礎安全、業(yè)務安全水位，極力降低安全事件對業(yè)務和公司的影響程度。

為了識別UUI，無恒實驗室參考了Android的官方文檔和相關文獻，確定了六種類型的UUI。通過分析六種UUI 是否受到良好保護，探索UUI是如何被應用程序訪問的，以及還有多少是研究者從未見過的UUI隱私泄露風險。

(List of 6 recognized Android UUIs)

基于上述背景，無恒實驗室聯(lián)合昆士蘭大學、新加坡國立大學等科研機構研發(fā)了一款名叫U2I2的分析工具。U2I2 不僅評估這六個已知 UUI 的保護情況，還會評估其他以前未報告的 UUI 的情況。據介紹，正常情況下，只有系統(tǒng)自帶且授予了權限的應用程序，才可以通過可編程接口訪問UUI。U2I2分析工具通過檢測這個可編程接口，就能發(fā)現(xiàn)哪些不是系統(tǒng)的應用程序，在沒有允許的情況非法訪問了UUI。

無恒實驗室對市面上多款最新Android設備進行分析后發(fā)現(xiàn)，即使用戶的手機安裝了最新的Android版本(10.0或更高)，一些UUI仍然可以被第三方App輕易獲取。最終在13款不同型號的Android設備上共發(fā)現(xiàn)了65處系統(tǒng)級別(OS-level)的UUI保護漏洞。

最新的Android手機中仍然普遍存在UUI處理不當問題

根據研究發(fā)現(xiàn)，UUI處理不當?shù)膯栴}在最新的Android手機中仍然普遍存在。截至本論文發(fā)表前，無恒實驗室總共發(fā)現(xiàn)51個獨立的漏洞(將多個廠商設備中發(fā)現(xiàn)的相同漏洞定義為一個獨立漏洞)，這些漏洞導致了65次系統(tǒng)級UUI泄露。

這51個漏洞中，其中有47個漏洞涉及到研究人員預先鎖定的6個目標UUI，還有18個泄露是通過U2I2分析工具經過差異分析后確定的全新UUI(即Misc UUIs)。在分析獲取渠道時，無恒實驗室發(fā)現(xiàn)有45個漏洞是通過undocumented渠道獲取的，同時有30個漏洞是通過讀取系統(tǒng)屬性實現(xiàn)的。從漏洞產生者角度統(tǒng)計，只有一個獨立漏洞是源于AOSP代碼的，即Google在編寫Android系統(tǒng)時造成的，剩余50個漏洞均為廠商定制ROM過程中產生。AOSP的漏洞也毫不意外地出現(xiàn)在所有的廠商ROM當中。

在研究過程中，無恒實驗室還發(fā)現(xiàn)了一個濫用白名單的問題。白名單機制本來不是為第三方App設計，設備廠商更應該謹慎使用該機制。但在對手機廠商分析過程中，發(fā)現(xiàn)存在過度使用白名單機制來規(guī)范敏感API調用的問題。由于身份驗證存在缺陷，惡意應用程序可以欺騙白名單機制并繞過權限控制來收集 UUI， 這樣會導致處在白名單中的APP可以越過Android系統(tǒng)對其進行的鑒權機制，在用戶不知情的情況下獲取其隱私。

共同打造安全合規(guī)的Android生態(tài)

目前，無恒實驗室聯(lián)合昆士蘭大學、新加坡國立大學等科研機構對Android操作系統(tǒng)中的UUI進行了全面研究分析，并將研究成果補充到關于應用程序級數(shù)據收集行為的現(xiàn)有研究中，助力Android生態(tài)系統(tǒng)中的PII保護研究。

秉持負責任的漏洞披露政策，無恒實驗室已將所有發(fā)現(xiàn)的漏洞提交至相關廠商。此外，無恒實驗室也期待與廠商、開發(fā)者等加強合作，共同打造安全合規(guī)的Android生態(tài)，為用戶的安全上網保駕護航。