一項(xiàng)研究發(fā)現(xiàn)，同一臺(tái)手機(jī)上的安卓應(yīng)用程序會(huì)有意無(wú)意地聯(lián)合起來(lái)泄露用戶(hù)隱私。 編者按：智能手機(jī)存儲(chǔ)了太多的用戶(hù)個(gè)人信息，而現(xiàn)在智能手機(jī)系統(tǒng)的安全性并不令人放心，尤其是安卓系統(tǒng)。一項(xiàng)研究發(fā)現(xiàn)，同一臺(tái)手機(jī)上的安卓應(yīng)用程序會(huì)有意無(wú)意地聯(lián)合起來(lái)泄露用戶(hù)隱私。比如，一個(gè)應(yīng)用程序會(huì)監(jiān)測(cè)用戶(hù)GPS信息，而該應(yīng)用的接口是向其他幾十個(gè)應(yīng)用開(kāi)放的，而如果其中有任何一個(gè)惡意應(yīng)用，則該GPS追蹤應(yīng)用就成為了聯(lián)合作案者。 同一臺(tái)手機(jī)上的應(yīng)用 請(qǐng)想象一下，一家大銀行的兩名員工：一名是處理敏感財(cái)務(wù)信息的分析師，另一名是在公司外辦理投遞業(yè)務(wù)的快遞員。當(dāng)他們的一天一點(diǎn)一點(diǎn)進(jìn)行的時(shí)候，他們看起來(lái)像是在做他們應(yīng)該做的事情。分析師正在分析、投遞員正在交貨。但是他們實(shí)際上在做一些邪惡的事情。在休息室里，分析師正悄悄地將一些秘密財(cái)務(wù)信息傳遞給投遞員，而投遞員將這些信息移交到對(duì)手銀行。 現(xiàn)在再想象一下，這銀行是你的安卓智能手機(jī)。員工是應(yīng)用程序，而敏感信息就是你精確的GPS位置。 像上面那兩位員工一樣，安裝在同一臺(tái)智能手機(jī)上配對(duì)的Android應(yīng)用程序可以勾勒并提取有關(guān)手機(jī)用戶(hù)的準(zhǔn)確信息，而且這種行為很難被發(fā)現(xiàn)。安全研究人員想弄明白單個(gè)應(yīng)用程序是否收集敏感數(shù)據(jù)并將其秘密地發(fā)送到某個(gè)服務(wù)器上并不是非常麻煩。但是當(dāng)兩個(gè)應(yīng)用程序組合起來(lái)時(shí)，這兩個(gè)應(yīng)用程序都不能單獨(dú)顯示出明確的盜竊跡象。并且由于可能的應(yīng)用程序組合的數(shù)量巨大，關(guān)于應(yīng)用程序勾結(jié)的測(cè)試就變成了一項(xiàng)非常艱巨的任務(wù)。 一項(xiàng)研究 本周發(fā)布的一項(xiàng)研究開(kāi)發(fā)了一種解決此問(wèn)題的新方法，并發(fā)現(xiàn)超過(guò)20,000個(gè)應(yīng)用程序配對(duì)泄漏數(shù)據(jù)。弗吉尼亞理工大學(xué)的四名研究人員創(chuàng)建了一個(gè)系統(tǒng)，深入了解Android應(yīng)用的架構(gòu)，進(jìn)而了解了他們?nèi)绾卧谕徊渴謾C(jī)上與其他應(yīng)用交換信息。之后他們的系統(tǒng) DIALDroid 配對(duì)應(yīng)用程序來(lái)模擬它們交換信息的過(guò)程，以及它們是否可能合作泄漏敏感信息。 當(dāng)研究人員將DIALDroid用在100,206個(gè)最多下載的Android應(yīng)用程序上時(shí)，他們發(fā)現(xiàn)了近23,500個(gè)應(yīng)用程序配對(duì)泄露數(shù)據(jù)。其中超過(guò)16,700的配對(duì)還涉及到特權(quán)升級(jí)，這就意味著第二個(gè)應(yīng)用程序能收到一種通常被禁止訪(fǎng)問(wèn)的敏感信息。 在一個(gè)引人注目的例子中，研究提到了一個(gè)為穆斯林提供禱告時(shí)間的應(yīng)用程序。它檢索用戶(hù)的位置，并使其對(duì)智能手機(jī)上的其他應(yīng)用程序開(kāi)放。如果可以安裝在同一個(gè)手機(jī)設(shè)備上，那么可以有超過(guò)1,500個(gè)接收應(yīng)用程序獲取禱告時(shí)間應(yīng)用程序發(fā)送的用戶(hù)位置。其中39個(gè)應(yīng)用程序?qū)⑽恢脭?shù)據(jù)泄露給有潛在危險(xiǎn)的終端。 應(yīng)用是如何聯(lián)合作案的? 在大量漏洞連接的背后是相對(duì)小股的不安全應(yīng)用程序群體 。那些特權(quán)升級(jí)的16,700個(gè)應(yīng)用程序配對(duì)都與33個(gè)發(fā)送應(yīng)用的其中一個(gè)有關(guān)。而大約6,700個(gè)沒(méi)有特權(quán)升級(jí)而泄露數(shù)據(jù)的應(yīng)用程序?qū)t與21個(gè)發(fā)送應(yīng)用程序中的一個(gè)有關(guān)。這其中有二十個(gè)發(fā)送應(yīng)用同時(shí)屬于這兩種情況。有問(wèn)題的應(yīng)用程序各式各樣：從娛樂(lè)和運(yùn)動(dòng)到攝影和運(yùn)輸應(yīng)用程序。 聯(lián)合泄漏并不總是有意而為的 ，并且你很難分辨它們什么時(shí)候是故意的，什么時(shí)候不是。但無(wú)論目的如何，在沒(méi)有用戶(hù)許可的情況下泄漏敏感信息都會(huì)產(chǎn)生濫用信息的可能性。 有時(shí)，配對(duì)應(yīng)用程序中只有一個(gè)應(yīng)用程序可能會(huì)有惡意。例如，一個(gè)應(yīng)用程序可以利用另一個(gè)應(yīng)用程序的安全漏洞竊取數(shù)據(jù)并將其提取到遠(yuǎn)程服務(wù)器上。其他一些時(shí)候，兩個(gè)應(yīng)用程序的設(shè)計(jì)都有漏洞，因此就會(huì)有意外的數(shù)據(jù)流從一個(gè)應(yīng)用程序傳輸?shù)搅硪粋€(gè)應(yīng)用程序上，然后從第二個(gè)應(yīng)用程序傳輸?shù)搅硪粋€(gè)日志文件上。 研究還發(fā)現(xiàn)，智能手機(jī)的衛(wèi)星定位比任何其他類(lèi)型的信息都更容易泄漏。所以可想而知，用戶(hù)的實(shí)時(shí)位置比用戶(hù)的智能手機(jī)連接到哪個(gè)網(wǎng)絡(luò)的信息更容易被濫用。但是，像網(wǎng)絡(luò)狀態(tài)這樣的小細(xì)節(jié)可以用來(lái)做“指紋“開(kāi)啟一個(gè)設(shè)備，也就是識(shí)別它，并長(zhǎng)時(shí)間跟蹤來(lái)監(jiān)測(cè)用戶(hù)在做什么。 在分析泄漏數(shù)據(jù)的最終目的地時(shí)，弗吉尼亞理工學(xué)院的研究人員發(fā)現(xiàn)，泄漏應(yīng)用程序?qū)χ械慕咏话氲慕邮照邔⒚舾袛?shù)據(jù)發(fā)送到了一個(gè)日志文件。通常來(lái)講，日志信息僅對(duì)創(chuàng)建它的應(yīng)用程序開(kāi)放，但是一些網(wǎng)絡(luò)攻擊可以從日志文件中提取數(shù)據(jù)，這就意味著泄漏可能仍然是危險(xiǎn)的。其他更加直接的危險(xiǎn)應(yīng)用程序配對(duì)通過(guò)互聯(lián)網(wǎng)甚至通過(guò)SMS發(fā)送數(shù)據(jù)。十六個(gè)發(fā)送應(yīng)用程序和三十二個(gè)接收應(yīng)用程序就是用這兩種方法之一來(lái)使用權(quán)限升級(jí)和提取泄露的數(shù)據(jù)。

« 每日話(huà)題：米籌金服上線(xiàn) 小米能否重寫(xiě)互聯(lián)網(wǎng)金融格局 | 北京網(wǎng)約車(chē)細(xì)則出臺(tái)：司機(jī)和車(chē)必須北京戶(hù)籍 »