移动互联网时代,移动应用内保存的个人隐私数据信息愈加丰富,在这个极具诱惑力的市场中,利益驱使之下违规操作层出不穷,非法窃取用户隐私泛滥成风。
近日,360安全大脑通过安全大脑监测到,在金融类移动软件中,存在一批具有隐秘拍照行为的软件鱼目混珠,以提供借贷服务之名,悄无声息进行隐私非法收集行为,隐私安全如履薄冰。
静默偷拍+明文上传
非法获取用户隐私“手段”再升级
据360安全大脑监测数据显示,截至今年6月中旬,共发现信用袋、给你花、呗呗花等9款软件,捕获90个样本。相比以往,这9款软件“偷盗”手段略有不同,除了非法收集用户敏感通讯数据外,还会尝试对用户面部图像进行静默偷拍与上传。
手法一:静默偷拍, 悄无声息获取隐私信息
经深入分析发现,这类借贷软件都用了同样的操作手法,常规启动登陆页面,然后停留输入信息,最后登录主页面,通过这几步全程“偷拍”,悄无声息获取个人信息。
图1 信用袋登录页面
经进一步分析发现,这类软件都借助了开源的无预览拍照工具AndroidHiddenCamera进行静默偷拍,用户打开登录界面后,这款工具便会开启“非法之路”,先检测手机机型,然后根据机型调用前置或后置摄像头,最后进行静默拍照,也不会发出提示音与闪光,轻松躲避用户感知。
当然,手机型号不同,也决定了选择不同。该类软件在静默拍照时首选前置摄像头偷拍用户面部图像,只有检测到某些具有升降摄像头的特定机型才会使用后置摄像头,例如OPPO k3、VIVO x27等。而针对具有升降摄像头的手机,这类软件会避开采集面部图像,以免摄像头升起让用户有所察觉,达到偷拍目的。
检测机型确定摄像头类型
静默拍摄的图片名称为a.jpg,保存在用户手机SD卡中以软件名全拼命名的文件夹下,如“信用袋”的图片保存路径为/sdcard/xinyongdai/camera/a.jpg。如果路径下有同名文件存在不会进行覆盖。当用户身份认证成功后,该图片会被私自上传至指定服务器,可谓是不费吹灰之力实现一树百获。
手法二:明文上传,敏感数据被“盗取”
值得一提的是,除偷拍用户面部图像外,这类借贷软件毫无限制、“扫荡式”地采集用户的各种敏感通讯与网络数据,包括用户短信、通话记录、通讯录、浏览器历史记录、接入网络等,进行了非法收集与明文上传。
用户登录成功后必须先完成多重认证才能进行借款操作,借助认证,这类软件乘机收集用户短信、通话记录与安装软件列表,并将这些个人敏感信息连同认证时上传的身份证照片一并明文发送至指定服务器。
主功能界面与认证页面
在这一环节,与身份认证同步进行的隐私非法收集与明文上传过程同样让用户无任何感知,且在首页、认证页与个人页都看不到隐私声明,环环相扣,不留痕迹,其贼心不言而喻。
溯源追踪“一锅端”
8款借贷软件暴露“狼子野心”
360安全大脑溯源分析发现,该类软件中部分软件的隐私回传服务器域名xinxinshuju.com,可以确定非法收集用户隐私的目标单位——湖南新薪时代信用服务有限公司。据该公司官网业务与官方介绍,其主要从事海外金融APP开发。
图3 新薪时代公司官网
除“给你花”、“信用袋”、“呗呗花”3款具有静默拍照行为的软件外,还有5款为该公司非法收集用户隐私的软件,这些软件同样都是借贷软件,虽然没有集成静默拍照功能,但同样存在用户无感知的隐私非法收集行为。
移动软件滥用隐私仍难自持
对标“红线”共耕指尖安全“责任田”
自移动金融行业兴起至今,360安全大脑始终对金融类软件隐私收集保持着高度关注,截至此次新薪时代信用服务有限公司事件的披露,共发现上千款有着隐私不当收集行为的金融类软件,其中以借贷软件为主。金融类软件出于业务风控特性,往往需要采集部分用户数据,但无克制不受限采集与静默采集现象却在金融类软件中泛滥。
可见,在大数据与个人隐私边界模糊的时代,五花八门的软件早已成为狼豺虎豹争相抢夺的“潘多拉之盒”,借贷软件中招仅是恶意软件权限滥用的冰山一角,因此,强烈的监管风暴也随之刮起。
在立法层面,《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》、《App违法违规收集使用个人信息行为认定方法》先后出台,明确了未公开收集使用规则;未明示收集使用个人信息的目的、方式和范围等6项认定准则,包含31种场景。
当然,面对此种现状,企业、用户、应用市场与安全厂商等都应在相关法律法规“红线”之内,承担社会责任,共同保护隐私安全。
企业应严格遵守相关法律法规的规定获取隐私授权与进行隐私采集,对自身作为第三方或有其他第三方参与的场景,按规定明确彼此责任与义务并严格执行,做到用户隐私规范采集、合理使用、谨慎共享;
用户作为隐私窃取APP最终受损方,应谨慎授予隐私权限和许可隐私声明,尽可能从可信应用市场下载APP,安装并及时更新杀毒软件;
应用市场作为APP渠道方,必须对隐私类APP审核上架严格把关,从市场源头控制可能威胁用户隐私安全的APP进入市场;完善举报制度,及时控制问题APP继续传播;
安全厂商应结合新技术完善检测机制,尽快发现存在隐私不规范采集行为的APP,并协助相关部门、应用市场、企业等参与方共同控制问题APP进一步传播。
360烽火实验室
360烽火实验室,致力于Android病毒分析、移动黑产研究、移动威胁预警以及Android漏洞挖掘等移动安全领域及Android安全生态的深度研究。
作为全球顶级移动安全生态研究实验室,360烽火实验室在全球范围内首发了多篇具备国际影响力的Android木马分析报告和Android木马黑色产业链研究报告。
实验室在为360手机卫士、360手机急救箱、360手机助手等提供核心安全数据和顽固木马清除解决方案的同时,也为上百家国内外厂商、应用商店等合作伙伴提供了移动应用安全检测服务,全方位守护移动安全。