張源複旦大學系統軟件與安全實驗室副主任移動平台上,用戶輸入的信息是隐私數據的主要來源!
由于曆史信息的洩漏,攻擊者可以進行精準攻擊。在絕大部分情況下,被洩漏的這些地址信息其實是用戶由于一些業務的需求,主動地輸入到一些網站或者App,而這些App或者網站并沒有保護好這些隐私。在移動平台上,這種用戶輸入的隐私是非常普遍的情況。我們通過交互不斷提供一些隐私給App,從而得到App更好的服務。所以我們認為在移動平台上,針對用戶輸入的隐私與否将是隐私保護的重要區域。
在移動平台上,有三種比較主流的用戶輸入信息,賬号信息、地址信息,資金賬戶信息等,這些都是用戶特别私密的信息。這類數據有什麼樣的特點呢?我們發現它至少有三個方面的特點。首先,數據格式是特定的,賬戶就是一個密碼,地址就是省、市、街道詳細地址,在結構上是不一樣的,所以沒辦法通過輸入看出來。第二,每個App都有自己的界面和函數,去獲取這樣的數據。第三,用戶輸入的數據,它的獲取形式是多樣的,有些可能通過輸入框,有些是讓用戶去選。那麼,該怎麼保護它呢?
目前,在隐私保護方面的工作主要分為兩類:第一類隐私監測的範疇,通過動靜态的分析過程,跟蹤隐私在App過程的流轉,一旦發現被不安全發送出去了會告訴用戶。第二類是網絡控制機制,通過操作系統和其他手段設置App訪問隐私數據的模式,通過這個框架,基于這個規則去控制程序。
這兩個工作有一個統一的特點,它們大部分主要通過一些API獲得系統内件。分析之前的特點,這種工作并沒有直接保護用戶輸入的隐私,因為用戶輸入的隐私不是監管過程。那是不是說這些系統工作完全沒有辦法用于保護數據呢?現有工作主要的問題在于無法識别哪些是用戶輸入的隐私數據。在移動平台上針對用戶輸入隐私數據的保護而言,哪些數據是用戶輸入的隐私,這是非常重要的問題。
同時,在保護這些隐私方面,必須識别出來這些App到底有哪些輸入的隐私,通過哪些控件輸入給App,這樣才能更好地保護這類隐私。
我們主要設計了自動化的方法,能夠識别一個App中到底會要求用戶輸入哪些數據,到底通過哪些控件來輸入隐私數據。基于這樣的工作,同時還設計了一個輕量級的隐私數據保護,防止中間人的攻擊。
希望通過識别隐私的控件,更加精确地識别哪些控件是要求我們輸入隐私的。我們發現在App中輸入信息有很多途徑,比如說下拉菜單是一種方式,針對開發者的組件也是一種方式,可以通過類型簡單地把輸入和非輸入區分出來。
核心的思路是希望基于這個程序,發現訪問控件文本的行為到底是不是在獲取用戶輸入的一些文本。在圖1中,左側是一個輸入信用卡的卡号界面,右邊是對應的代碼,我們進行了分析,發現這個控件是一個隐私相關控件,它在這個地方會得到應用。它有一個函數,在addcardlistener的框架裡面,會有一個文本。由此,我們獲取的這樣一種特征,作為識别一個控件到底是不是接收、輸入的判斷标準,從而比較好地将哪些隻顯示隐私文本的相關控件去除掉。
試驗選取的數據是來自谷歌應用商城的17425個應用。在這17000個應用中,有35個類别都會收集用戶隐私。因為App收集的數據常常是出于業務的需求,這在App當中也是非常普遍的,之前并沒有很好的方法對它進行保護。針對用戶賬号這類的UIP數據,比例較高的主要是社交應用,跟天氣相關的App等;針對地理位置的隐私信息,在天氣、出行、搜秀這些App當中比例比較高;針對支付類的信息,這類信息的隐私信息搜集很高,也是基本符合認知常識的。最終挑選了200個應用,在十個類别中,對精确率進行了衡量。效果很好,系統能夠比較準确地識别到93.6%的UIP控件,針對所有可能的UIP控件識别率達到了90.1%的水平。
(本文根據複旦大學系統軟件與安全實驗室副主任張源在中國互聯網安全大會ISC2016的分論壇“移動安全發展論壇”上的演講内容整理。)