手机用户当心!拍照前,您的照片或许已被窃取
最近,研究人员发现了一种针对安卓手机的新型用户,隐私窃取攻击方案rra(即手机资源竞争攻击,Resource Race Attacks)。...
最近,研究人员发现了一种针对安卓手机的新型用户,隐私窃取攻击方案rra(即手机资源竞争攻击,Resource Race Attacks)。这种攻击并不直接窃取存储,在手机上的隐私信息,而是在用户使用手机(例如使用摄像头拍照)的前后短时间内,在后台通过竞争获取,相应资源(例如摄像头),在用户不知不觉中窃取用户,正在处理的(例如用户想要拍摄的照片,扫描的二维码等)全部或者部分隐私信息。
针对摄像头的攻击
用户通过摄像头获取的数据,常常会(常常会)包含隐私信息(例如扫描的二维码,拍摄的保密信息/相片等)。研究发现,恶意软件可以在用户拍照,前短时间内、拍照中或者拍照,后短时间内,通过竞争抢夺摄像头,并迅速拍照来,获得这些隐私数据。经过精巧的设计,用户几乎感觉,不到任何异样。
视频1:针对摄像头攻击举例1
在视频1的视频中,用户在已被安装了恶意软件的手机上使用某浏览器,软件扫描一张高铁票中的二维码。当浏览器刚刚识别出,高铁票中的二维码时,恶意软件已经“窃取”了摄像头并拍摄了10张(实验中设定数值)照片,这些照片的清晰度和用户使用浏览器可以拍,到的清晰度几乎无差别。从上述视频中可以看出,在攻击期间,用户屏幕几乎没有什么,变化。视频2:基于摄像头攻击举例2
视频2的场景,为两个qq用户,通过二维码支付红包(“面对面红包”)。用户1出示二维码,用户2通过qq扫描获取,了0.84元红包。但在此期间,恶意软件已经通过窃取,摄像头拍摄了用户1 的二维码信息。(从视频中拍摄的照片信息“已领0个/共2个”可以看出,恶意软件的拍摄是在,用户2获取红包之前完成的。)之后,恶意用户“自动分析”二维码,并获取0.16元红包(视频中使用第三个手机上的qq软件模拟,了自动攻击过程,其中第三个手机的qq和,用户1的手机并非qq好友关系)。该攻击在微信(手机版)上同样可以进行(通过“面对面红包”)。不过微信手机版在2018年,4月左右采取了动态二维码(即某一用户扫码,后变换一张二维码)。尽管这样,上述攻击仍然可以成功。(因为上述攻击有前、中、后攻击三种类型,动态二维码的使用仅仅,使得 “后攻击”受影响较大。)
在我们的日常生活中,有很多类似上述,实验的场景。上述攻击的存在,也给我们带来了,极大的隐私泄露风险,甚至进一步的危害。
【注:1) 以上攻击中,恶意软件只在后台运行,不需要实时监控摄像头,的使用,仅通过安卓提供的回调,被动实现;2) 最新的安卓P等系统中,安卓系统禁止软件在,后台使用摄像头等资源,但是在上述攻击中,恶意软件创建了一个临时,的前台“APP”,不仅绕过了“后台”无法使用摄像头的限制,而且达到了抢夺,摄像头的目的。】
针对触摸屏的攻击
研究人员发现的第二个,攻击,是抢夺用户触摸屏输入。安卓手机允许在正常运行的app上面,显示一个悬浮框(类似于微信视频中默认在,右上方显示自己的那个小方框),且用户对该悬浮框的,点击等事件,可以被悬浮框“下面”的APP所知道。2017年,有研究人员通过精心布置的,多个悬浮框,直接获取了用户的屏幕,触摸输入(即触摸位置)。这个“缺陷”已经被官方修复了,不过,这个直接获取用户,触摸位置的缺陷,正常APP(如输入法)是可以通过防御,手段来发现的。
研究人员此次发现的,是一种基于rra攻击间接,分析并合成获取用户密码的攻击。该攻击在正常手机软件层面是,无法感知到的。其基本原理是,恶意软件在用户,每次触摸输入时,仅仅通过悬浮框窃取用户,多次触摸输入中的一次输入,并消耗掉此次输入,从而使得正常app无法感知到用户,的触摸输入,更无法知道用户是否触摸了某,个悬浮框(除非正常app也设置了悬浮框来探测,其它悬浮框的存在)。对于用户来说,只感觉到了某次,触摸没有被手机捕获,需要再次触摸输入。
由于每次攻击,恶意软件并不会连续,捕获用户的触摸,从而不会引起用户的怀疑,实际上,在触摸屏上偶尔触摸失效(即没有被手机识别)或者触摸错误是,很常见的事。在此基础上,恶意软件如果在一定,期间内(例如一周内)多次发起这种攻击时,在很大概率上就会捕获密码中,的不同部分,并结合时间顺序恢复密码。这种攻击在支付宝等需要每次支付都,需要输入6位数字(支付密码)的场景中,非常容易实现密码窃取。
视频3:窃取用户输入中的”w”字母
视频3中显示恶意软件窃取用户输入密码“password”中的“w”字母(用户触摸了两次“w”键,第一次被恶意软件,消耗掉了)。在已知键盘布局的情况下,可以很容易通过时间序列来,合成相应密码。图4显示了2种在,不同攻击频率下对密码“password”的合成情况,均准确合成该密码。预防措置
研究人员通过对1000个开源,app的分析,发现使用摄像头和需要密码输入的很多app中没有,主动针对rra攻击的预防手段。
针对上述多个攻击,研究人员从移动app,开发者、用户、安卓设计者等角度提出了,预防措施。此外,研究人员也将上述攻击报告给,了安卓官方。按照安卓官方的标准,这种攻击是由于用户授予,恶意软件相关权限导致的。但由于安卓手机权限很多,且各种app都会申请和,其功能不相关的大量权限,导致用户很难判断哪些软件应该,赋予哪些权限。例如,本文中提到的摄像头权限,只要有使用摄像头的功能(例如扫码),就需要这种权限。基于此,我们希望安卓官方可以在,安卓系统上做出相应改进,从设计上阻止本文中针对用户,隐私的rra攻击。
本研究由中国科学院软件,研究所(计算机科学国家,重点实验室、软件智能分析,协同创新中心)联合香港理工大学完成。相关成果将在2020年2月正式发表于,第27届saner国际会议(IEEE International Conference on Software Analysis, Evolution and Reengineering),文章标题“Resource Race Attacks on Android”。
作者:蔡彦,唐宇田,李海成,于乐,周昊,罗夏朴,和亮,苏璞睿
来源:中国科学院软件研究所
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以,大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
关注 中科院之声
微信扫一扫关注公众号
