12月08, 2014

正规APP存泄隐私风险,360呼吁开发者注意安全规范

360互联网安全中心近期研究发现一些正规的手机软件在读取用户的通讯录和短信内容后,会进行明文上传或简单可逆加密上传,这会导致手机用户个人隐私信息存在泄露风险。360呼吁正规手机APP开发者要重视和规范软件开发行为,对用户手机中的隐私数据做到“非必要不上传,上传即加密”,以防被中间人劫持攻击造成用户的隐私泄露。

360互联网安全中心分析发现,读取并上传手机用户通讯录和短信内容的软件大体分为三种:第一种,窃取隐私类的手机恶意程序;第二种,正规软件越轨使用隐私权限,违规上传通讯录和短信;第三种,由于软件自身功能需要某些用户信息,但在上传信息时无加密、或加密方式过于简单,极易被中间人攻击,泄露用户隐私。

手机软件滥用隐私权限的行为已经被多次曝光。一旦用户在安装软件过程中,“默认”获取手机号、访问联系人、读取位置等等权限,就会出现通讯录被违规上传,个人偏好、交际特点被“监视”。手机软件开发商的“无间道”根本不给用户选择的权利:要么开放权限,要么取消安装。而大多数手机用户要么缺乏安全意识,要么专业知识不足无法判断,只能无奈接受这些可疑的权限。

权限被开放后,手机用户的隐私数据到哪儿去了?

360手机安全专家通过后台代码分析发现, 一些正规手机软件会通过明文方式将手机用户的通讯录、短信等内容上传至服务器。

这里我们列举一些真实案例:

多彩铃声
包名:com.duomi.ring
版本:2.0.5.00
样本MD5:d339ba645306ab8219f6f899009c4b55
问题:明文上传通讯录中手机号码

image1

虫洞语音助手
包名:com.chongdong.cloud
版本:3.1.0
样本MD5:b8bf19afb636a9198b89a2378d975efe
问题:明文上传通讯录中手机号码和已安装软件

image2

微说
包名:com.weishuo
版本:1.2.0
样本MD5:03aee7b000c90961ebaea1ebfe720fcc
问题:明文上传通讯录中手机号码

image3

彩票直通车
包名:ecp888.com
版本:4.4
样本MD5:41f0fd681251ed5e033bdc46f68149c6
问题:上传通讯录,内容只做了简单的URL编码

image4

解码后:

image5

上金理财
包名:com.example.metal
版本:1.3
样本MD5:8c9a10437e3a96db7b63c69d5fe72504
问题:明文上传通讯录中手机号码

image6

哈哈拼车
包名:com.shuailai.haha
版本:3.2.2
样本MD5:2caa6758f829a155850c978c72f87a81
问题:明文上传通讯录中手机号码

image7

奇悠阅读
包名:com.bytetech1
版本:3.0.0
样本MD5:db300b4a4d04f030fb0f7a1ad6025255
问题:上传短信,内容只是做了简单的URL编码

image8

解码后:

image9

正版软件使用明文上传手机用户隐私信息最大的安全风险在于遭遇中间人攻击,如手机用户连接不安全的WiFi后,不法分子拦截了手机和WiFi之间的通信,这些使用明文传输的个人隐私数据就会直接被非法获取。

中间人攻击(MITM)是一种古老的网络入侵手段,但在今天仍然有着广泛的发展空间,如SMB会话劫持、DNS欺骗等攻击都是典型的中间人攻击。360手机安全中心建议,为了确保手机用户的隐私安全,正规手机软件开发者要规范开发习惯,提高安全意识,采用足够强度的符合业界规范的保护措施,如使用单项不可逆加密、对称加密等方法,以防中间人劫持泄露手机用户隐私。

注:微说、彩票直通车、哈哈拼车、奇悠阅读等软件已经联系了我们,并在修正中。

本文链接:http://blogs.360.cn/post/risk_of_privacy.html

-- EOF --

Comments