洪瑤彥

摘要：手機(jī)應(yīng)用敏感行為元數(shù)據(jù)獲取并記錄是判斷應(yīng)用程序是否存在安全隱私行為的關(guān)鍵證據(jù)之一。目前對(duì)隱私泄露的主要關(guān)注在于對(duì)于敏感信息存儲(chǔ)和提取及敏感操作請(qǐng)求。當(dāng)前敏感元數(shù)據(jù)并未完全考慮追蹤目的，故本文在深入理解安卓系統(tǒng)實(shí)現(xiàn)源代碼基礎(chǔ)上，從框架層提出能作為敏感操作及敏感存取的監(jiān)測(cè)點(diǎn)，利用虛擬機(jī)hook技術(shù)全面、精確地收集敏感信息并抽取行為元數(shù)據(jù)。

關(guān)鍵詞： 安卓系統(tǒng)；元數(shù)據(jù)；隱私保護(hù)；敏感行為；hook技術(shù)

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）01-0188-02

1 問題提出與定義

為了保護(hù)用戶隱私，需知道敏感信息在手機(jī)中存儲(chǔ)方式，追蹤信息在系統(tǒng)運(yùn)行時(shí)如何被采集并傳輸，應(yīng)用如何操作隱私信息。這些行為考量維度組成了敏感元數(shù)據(jù)。該文提出問題如下：

1） 目前手機(jī)平臺(tái)的元數(shù)據(jù)表示并未將關(guān)注點(diǎn)集中于行為追蹤，僅考慮敏感信息流向。

2） 現(xiàn)有的監(jiān)測(cè)點(diǎn)主要在共享庫及系統(tǒng)調(diào)用中，其優(yōu)點(diǎn)在于上層framework庫的改動(dòng)不影響其監(jiān)測(cè)，缺陷在于不能明確提供滿足信息追蹤所需必要信息，即應(yīng)用名、操作具體內(nèi)容及存取文件路徑。

現(xiàn)代智能手機(jī)平臺(tái)可下載第三方應(yīng)用，許多應(yīng)用提供云服務(wù)時(shí)需要用戶本地信息，訪問用戶隱私數(shù)據(jù)，然而用戶必須保證數(shù)據(jù)使用合理性，即在使用服務(wù)同時(shí)隱私數(shù)據(jù)是否未經(jīng)同意擅自泄露至遠(yuǎn)程服務(wù)器，是否保持其保密性，完整性及可用性。

1.1 敏感元數(shù)據(jù)

敏感元數(shù)據(jù)采集的目的在于獲取隱私泄露的證據(jù)。計(jì)算機(jī)取證方面，目前關(guān)于移動(dòng)設(shè)備取證研究較少，PC端研究精力在于入侵取證。為了保證數(shù)據(jù)完整性，采用SHA方法生成摘要，利用秘密共享機(jī)制完成數(shù)據(jù)驗(yàn)證；在數(shù)據(jù)分析方面，采取形式化分析，包括根本原因、語意完整性檢測(cè)、有限狀態(tài)機(jī)、基于假設(shè)的入侵調(diào)查方式。另有研究通過文本分類方法進(jìn)行證據(jù)特征提取，用K-最臨近及貝葉斯分類器對(duì)證據(jù)分類，最終實(shí)現(xiàn)自動(dòng)化取證。入侵取證的目的在于是否第三方是否存在惡意攻擊行為，其數(shù)據(jù)采集只是通過API函數(shù)調(diào)用獲取歷史數(shù)據(jù)，并沒有在其內(nèi)部實(shí)施監(jiān)測(cè)或攔截，易被惡意軟件使用其他方式繞過特定API或篡改數(shù)據(jù)。而本文關(guān)注軟件敏感行為，數(shù)據(jù)采集除了行為本身還應(yīng)關(guān)注行為作用的數(shù)據(jù)敏感性，而實(shí)時(shí)監(jiān)測(cè)方式可使采集的數(shù)據(jù)更具可靠性。

1.2 安卓平臺(tái)動(dòng)態(tài)監(jiān)測(cè)信息方式

監(jiān)測(cè)技術(shù)方面，由于安卓系統(tǒng)基于linux及java虛擬機(jī)，故存在兩類已有hook方式完成動(dòng)態(tài)監(jiān)測(cè)目的。此外，虛擬機(jī)攔截機(jī)制也可作為監(jiān)測(cè)方式之一。

基于linux的hook技術(shù)利用ptrace在進(jìn)程中斷注入so庫，寫入hook函數(shù)，結(jié)合動(dòng)態(tài)鏈接機(jī)制，定位至got表查詢hook點(diǎn)的函數(shù)入口及其參數(shù)，之后返回至原函數(shù)?；谔摂M機(jī)hook技術(shù)在其孵化器Zygote載入app_process進(jìn)程安卓框架時(shí)獲得JNI環(huán)境指針后利用java類加載器的反射機(jī)制，對(duì)框架層組件函數(shù)進(jìn)行hook，虛擬機(jī)hook確保系統(tǒng)無穿透性。

1.3 安卓系統(tǒng)的敏感行為監(jiān)測(cè)點(diǎn)

根據(jù)敏感信息流追蹤必要數(shù)據(jù)采集因素及敏感行為特點(diǎn)，將敏感事件元祖定義為：<信息源，信息，操作，信息目的地，時(shí)間>。

2 敏感元數(shù)據(jù)定義與采集

2.1 元數(shù)據(jù)定義要素

為體現(xiàn)信息使用意圖，元數(shù)據(jù)從三個(gè)維度描述：信息類型，信息獲?。ǜ膭?dòng)）主體，操作時(shí)間。

信息類型根據(jù)其信息源分為高帶寬信息即大型可共享數(shù)據(jù)buffer及文件等內(nèi)容；低帶寬信息即傳感信息；設(shè)備識(shí)別符，唯一標(biāo)識(shí)設(shè)備或用戶，如手機(jī)號(hào)碼、SIM卡識(shí)別符如ICC-ID、IMSI以及IMEI號(hào)；數(shù)據(jù)庫信息，包含聯(lián)系人，SMS及即時(shí)聊天記錄。主體體現(xiàn)為具體應(yīng)用，使用PID，UID描述，雖然行為主體可能是用戶，但一般情況下均通過應(yīng)用實(shí)現(xiàn)操作。

2.2 關(guān)鍵信息操作元數(shù)據(jù)定義

2.2.1 短信操作元數(shù)據(jù)

將短信收發(fā)操作元數(shù)據(jù)定義為。其中，S為發(fā)送者，R為接收者，TY為短信類型即sms或mms；C為短信內(nèi)容，在短信收發(fā)操作時(shí)，若得到應(yīng)用查詢其他信息記錄，則可獲得收發(fā)敏感信息的證據(jù)，短信內(nèi)容采集步驟可略去；O為操作類型即發(fā)送或接收，T為操作時(shí)間。

2.2.2 文件操作元數(shù)據(jù)

對(duì)文件敏感操作的行為是個(gè)人信息管理的重要部分，根據(jù)增刪改查四類操作，將文件元數(shù)據(jù)定義為。FO為文件操作類型，即增、刪、改、查四類操作之一；FH為文件哈希值；FT為文件類型；FP為包含絕對(duì)路徑信息的完整文件名；OT為文件創(chuàng)建或修改或刪除或查詢的時(shí)間。

2.2.3 位置信息元數(shù)據(jù)

目前對(duì)位置信息元數(shù)據(jù)保護(hù)主要有K匿名等方式，采集位置信息時(shí)將其替換為位置標(biāo)識(shí)符最為元數(shù)據(jù)要素之一。然而此方式保護(hù)位置信息對(duì)于地區(qū)流動(dòng)性變化不可預(yù)測(cè)，故在元數(shù)據(jù)內(nèi)加入需動(dòng)態(tài)因素。位置信息元數(shù)據(jù)定義為：

2.3 安卓框架層攔截實(shí)現(xiàn)

2.3.1 改進(jìn)孵化器進(jìn)程文件

安卓系統(tǒng)的孵化進(jìn)程由初始化進(jìn)程啟動(dòng)，為系統(tǒng)及應(yīng)用程序進(jìn)程提供虛擬機(jī)實(shí)例。首先調(diào)用app_process繼而啟動(dòng)安卓運(yùn)行時(shí)環(huán)境，調(diào)用運(yùn)行時(shí)main函數(shù)，完成孵化器進(jìn)程創(chuàng)建，最后啟動(dòng)系統(tǒng)服務(wù)，并等待應(yīng)用程序socket請(qǐng)求。

2.3.2 虛擬機(jī)層hook

虛擬機(jī)層hook核心思想為修改監(jiān)測(cè)函數(shù)屬性為本地函數(shù)，通過JNI滲入C/C++層，調(diào)用虛擬機(jī)觸發(fā)方法執(zhí)行被監(jiān)測(cè)函數(shù)，并將參數(shù)狀態(tài)記錄至日志。

3 實(shí)驗(yàn)分析

敏感行為監(jiān)測(cè)廣度分析：

實(shí)驗(yàn)?zāi)康臑闄z查敏感信息監(jiān)測(cè)點(diǎn)對(duì)各種敏感行為元數(shù)據(jù)采集的有效性。 對(duì)百度手機(jī)助手上應(yīng)用軟件分別每類取2例監(jiān)測(cè)，6款應(yīng)用使用adb方式安裝。

表1的數(shù)據(jù)說明了日志中應(yīng)用發(fā)生操作敏感行為及存儲(chǔ)敏感行為是否被記錄。其中監(jiān)測(cè)操作行為五項(xiàng)，存取行為五項(xiàng)，adb安裝應(yīng)用可全部檢測(cè)到，可見此方案具有較高監(jiān)測(cè)廣度。結(jié)果表明，本方案較系統(tǒng)日志方法能有效監(jiān)測(cè)應(yīng)用敏感行為。

4 結(jié)束語

本文提出的手機(jī)安卓監(jiān)測(cè)方式，從安卓關(guān)鍵通信機(jī)制Binder出發(fā)，對(duì)敏感行為涉及組件廣播及內(nèi)容提供監(jiān)測(cè)關(guān)鍵變量及方法，使敏感數(shù)據(jù)采集有效且具層次化。全面記錄應(yīng)用的敏感行為，并以日志事件形式，突出隱私追蹤所需必要信息，同時(shí)為之后的行為隱私級(jí)別判定提供可靠數(shù)據(jù)。比安卓審計(jì)系統(tǒng)更加細(xì)化了敏感行為定義及所關(guān)聯(lián)的監(jiān)測(cè)點(diǎn)，比安卓平臺(tái)信息流系統(tǒng)增加了應(yīng)用主體的數(shù)據(jù)，更能有利于追蹤與分析。

參考文獻(xiàn)：

[1] 周洪偉，韋大偉，郭淵博.一種數(shù)字取證完整性方案[J].計(jì)算機(jī)應(yīng)用研究，2007（12）.

[2] 李均濤，唐鄭熠，李祥.基于行為時(shí)序邏輯的入侵取證研究[J].計(jì)算機(jī)應(yīng)用研究，2011（7）.

[3] 羅會(huì)明，易軍凱.Android智能手機(jī)取證研究[M].北京：北京化工大學(xué)，2013.

[4] Chen T，Kan M Y.Creating a live， public short message service corpus： The NUS SMS corpus[J].Language Resources and Evaluation，2013，47（2）：299-335.