Android手机隐私泄露的研究.docVIP

Android手机隐私泄露的研究 　　摘要：Android手机在给人们带来方便的同时，也存在潜在的安全隐患，用户隐私泄露是其中的一个严重问题。本文对Android手机隐私泄露问题进行了研究。首先介绍了Android手机中的隐私数据源类型，然后从四种角度分析总结了隐私泄露的方式：（1）应用中的隐私泄露;（2）应用间的隐私泄露;（3）传感器数据造成的隐私泄露;（4）网络传输中的隐私泄露。最后，针对应用间通信造成的隐私泄露问题，本文设计了一个基于控制进程通信的应用隔离系统。用户通过这个系统可以灵活控制哪些应用间不能通信，有选择性地保护Android手机中的高安全级数据，防范由于应用间通信造成的隐私泄露。 　　关键词：信息安全;Android;隐私泄露;隐私泄露防范;应用隔离系统 　　中图分类号：TP309.2 文献标识码：A DOI：10.3969/j.issn.1003-6970.2015.02.015 　　0 引言 　　最近几年，Android手机的普及十分迅速。Android手机不仅满足人们的沟通需求，还可被用于办公、网上购物等日常活动。Android手机内通常存储着一些有关用户信息的隐私数据，如短信、通讯录、地理信息等。如果这些信息被泄露，可能会给用户带来严重的经济、精神损失。iiMedia Research发布的数据指出，2014上半年Android手机占有89.9%中国智能手机市场份额。Strategy Analytics发布的数据指出，2014年第三季度，Android手机占有83.6%全球智能手机市场份额。DCCI互联网数据中心联合360手机安全中心发布的《2014年上半年Android手机隐私安全报告》中显示，92.8%的Android手机用户把隐私存放在手机中，并且53.6%的Android手机用户表示手机是存储隐私最多的设备。腾讯移动安全实验室2014年第三季度手机安全报告显示，在2014年第三季度，腾讯手机管家截获了224，516个病毒包，隐私窃取类病毒占28.25%的比例，位居第二。因此，Android手机隐私数据泄露是一个必须得到关注的问题。本文总结Android手机的隐私数据源和隐私数据泄露方式。此外，本文设计一个应用隔离系统。Android手机用户可使用该系统给应用添加颜色标记，用以控制哪些应用间不能通信，从而对应用间通信造成的隐私数据泄露进行防范。 　　1 Android手机隐私源 　　Android手机上存储着和用户相关的数据，用于不同的功能。本节主要介绍两种存在的用户隐私数据类型，即应用产生的数据和设备相关的信息： 　　? 应用产生的数据：短信，通讯录，电话通话状态，通话记录，日历，浏览器浏览记录，浏览器书签，已安装的应用信息，登陆凭证（用户名、密码），认证令牌，音频，视频，图片等。 　　? 设备相关的信息：用户手机号码，SIM卡串号（ICC-ID），国际移动用户识别码（IMSI），国际移动设备身份码（IMEI），传感器数据（如GPS、加速度传感器）等。 　　2 Android手机隐私泄露方式 　　2.1 应用中的隐私泄露 　　应用中隐私泄露是相对于应用间隐私泄露而言的，是指在一个应用内完成的隐私泄露。有些开发人员获取用户的隐私数据后在用户不知情的情况下通过网络或短信发送出去。此外，有些广告提供者通过广告库窃取用户的隐私数据。Android广告提供者为了更有目标性地向用户发送广告，在广告库中嵌入窃取隐私数据代码来窃取用户的隐私数据。广告库和应用程序运行在相同的进程空间内，因此它们拥有相同的操作系统资源的能力。在基于浏览器的应用程序中，广告库通过WebView对象给JavaScript提供调用广告库的接口，广告库的窃取隐私的部分就可以暴露给JavaSeript。应用调用广告库如图1所示。 　　2.2 应用间的隐私泄露 　　应用可以通过一些方式窃取其它应用的隐私数据，从而造成应用间的隐私泄露。下面介绍4种应用间隐私泄露方式：（1）获取Intent对象封装的数据。Intent对象用于Activity、Service、BroadcastReceiver组件之间相互通信。如果在一个组件发出的Intent对象中含有隐私数据，可能会引起隐私数据泄露。（2）访问ContentProvider中的数据。ContentProvider组件用于应用间数据共享，恶意应用可以窃取ContentProvider中封装的数据。（3）访问外部存储（sD卡）。把用户的隐私数据写入外部存储（SD卡）后，其它的拥有访问SD卡权限的应用可以从SD卡中获取用户的隐私数据。（4）提升权限（root权限）。提升root权限原理：首先把编译的su文件拷贝到手机的/system/bin下，并且把su文件的权限设置为