字节跳动无恒实验室移动安全研究亮相NDSS国际安全顶会

2月27日-3月3日，国际安全顶会NDSS 2023在美国加州举办，来自字节跳动无恒实验室的研究论文《Post-GDPR Threat Hunting on Android Phones: Dissecting OS-level Safeguards of User-unresettable Identifiers》被NDSS 2023收录。

NDSS网络与分布式系统安全会议(the Network and Distributed System Symposium, NDSS )，是国际公认的网络和系统安全四大顶级学术会议(BIG4)之一，录用率常年保持在15%左右，具有非常高的学术影响力。

3月1日，无恒实验室的安全研究员张清在NDSS 2023会议现场发表演讲，分享关于安卓操作系统在用户身份标识追踪等方面的隐私问题，主要包括WiFi相关，蓝牙相关，以及常见的uuid(IMEI/MEID/Serial number)等信息在获取方面缺陷的相关研究成果，该研究可促进Android操作系统对于这些信息获取的防护体系建设，助力用户隐私安全保护。

安卓平台用户数据与隐私保护的挑战

近年来，各国政府越来越重视用户数据与隐私的问题，相继制定了以隐私为重点的数据保护法规。

高度的开放性是安卓的典型特性，然而，开放性也是一把双刃剑，高度的开放性，也随之带来了人们对于Android生态下用户隐私保护的担忧。同时随着安卓手机应用的爆发式增长，用户身份识别信息也随时面临着被泄漏的风险。尤其是一些用户不可修改的设备识别信息，一旦遭到泄露，将带给用户身份追踪方面的困扰，并造成长期的隐私泄露。

据悉，谷歌已经采取措施，实施新的隐私功能，以限制应用程序对用户数据的使用。尤其是在一些用户不可重置的识别信息 (User-unresettable Identifiers, 后文简称UUI)上，谷歌在系统层面针对UUI的读取权限日益收紧，并且从安卓10.0版本开始，限制第三方App，甚至禁止读取一些常用的手机设备识别信息，例如手机序列号，IMEI，ICCID等。

无恒实验室是由字节跳动资深安全研究人员组成的专业攻防研究实验室，致力于为字节跳动旗下产品与业务保驾护航，通过实战演练、漏洞挖掘、黑产打击、应急响应等手段，不断提升公司基础安全、业务安全水位，极力降低安全事件对业务和公司的影响程度。

为了识别UUI，无恒实验室参考了Android的官方文档和相关文献，确定了六种类型的UUI。通过分析六种UUI 是否受到良好保护，探索UUI是如何被应用程序访问的，以及还有多少是研究者从未见过的UUI隐私泄露风险。

(List of 6 recognized Android UUIs)

基于上述背景，无恒实验室联合昆士兰大学、新加坡国立大学等科研机构研发了一款名叫U2I2的分析工具。U2I2 不仅评估这六个已知 UUI 的保护情况，还会评估其他以前未报告的 UUI 的情况。据介绍，正常情况下，只有系统自带且授予了权限的应用程序，才可以通过可编程接口访问UUI。U2I2分析工具通过检测这个可编程接口，就能发现哪些不是系统的应用程序，在没有允许的情况非法访问了UUI。

无恒实验室对市面上多款最新Android设备进行分析后发现，即使用户的手机安装了最新的Android版本(10.0或更高)，一些UUI仍然可以被第三方App轻易获取。最终在13款不同型号的Android设备上共发现了65处系统级别(OS-level)的UUI保护漏洞。

最新的Android手机中仍然普遍存在UUI处理不当问题

根据研究发现，UUI处理不当的问题在最新的Android手机中仍然普遍存在。截至本论文发表前，无恒实验室总共发现51个独立的漏洞(将多个厂商设备中发现的相同漏洞定义为一个独立漏洞)，这些漏洞导致了65次系统级UUI泄露。

这51个漏洞中，其中有47个漏洞涉及到研究人员预先锁定的6个目标UUI，还有18个泄露是通过U2I2分析工具经过差异分析后确定的全新UUI(即Misc UUIs)。在分析获取渠道时，无恒实验室发现有45个漏洞是通过undocumented渠道获取的，同时有30个漏洞是通过读取系统属性实现的。从漏洞产生者角度统计，只有一个独立漏洞是源于AOSP代码的，即Google在编写Android系统时造成的，剩余50个漏洞均为厂商定制ROM过程中产生。AOSP的漏洞也毫不意外地出现在所有的厂商ROM当中。

在研究过程中，无恒实验室还发现了一个滥用白名单的问题。白名单机制本来不是为第三方App设计，设备厂商更应该谨慎使用该机制。但在对手机厂商分析过程中，发现存在过度使用白名单机制来规范敏感API调用的问题。由于身份验证存在缺陷，恶意应用程序可以欺骗白名单机制并绕过权限控制来收集 UUI， 这样会导致处在白名单中的APP可以越过Android系统对其进行的鉴权机制，在用户不知情的情况下获取其隐私。

共同打造安全合规的Android生态