日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

近日，字節跳動無恒實驗室的隱私保護研究議題亮相Black Hat Asia 2023(亞洲黑帽大會)，議題分享了關于重新審視Android應用程序的隱私敏感信息收集行為的現狀研究。

Black Hat大會被公認為世界信息安全行業的頂級盛會，每年分別在美國、歐洲、亞洲各舉辦一次安全信息技術峰會。此前Black Hat Asia 2021大會上，無恒實驗室的安全研究《Do Apps Respect Your Privacy as They Claim?》也入選演講，議題同樣著眼于用戶隱私保護?？梢钥吹?，無恒實驗室多年來在移動安全和隱私安全方向持續投入，助力用戶隱私保護的安全建設。

近年來，隨著用戶隱私數據保護在全球范圍內引起廣泛關注，各國政府也相繼制定了以隱私為重點的數據保護法規，嚴格規范用戶隱私數據的收集和利用，如歐盟制定的GDPR，企業若侵犯用戶隱私可能會導致巨額罰款，GDPR規定最高達2000萬歐元的罰款，或者企業全球年收入的4%，可見用戶的隱私數據保護已達到空前的重視程度。

Android隱私數據保護的演進

Google從Android 6 開始增加對隱私保護的建設，如增加運行時權限，當需要獲取設備唯一標識、位置信息、相機等數據時均需要拿到運行時權限。在Android 10時繼續加大隱私保護力度，如限制應用獲取IMEI等設備唯一標識符。Android 12開始，用戶可以設置限制追蹤禁止APP獲取GAID (谷歌廣告ID)。同時，無恒實驗室也注意到，對于iOS系統來說，從iOS 14.5開始，App想要獲取 IDFA，也需要用戶手動授權。

綜上看來，主流操作系統對于用戶隱私保護似乎已經做的很不錯了，但是事實真的是這樣嗎?這幾年無恒實驗室一直帶著這些疑問對系統和APP的隱私問題做了持續性研究，發現在WebView、廣告ID、唯一標識符等方面，無論是在Android設備還是APP中還是存在一些不足，這些不足都嚴重影響著用戶的隱私數據保護，造成用戶敏感信息泄露。

研究發現：若WebView沒做合適的開發配置，用戶數據仍不安全

根據研究發現，一旦WebView沒有進行合適的開發配置，那用戶的敏感數據如位置信息、麥克風、攝像頭等可能被不法利用。同時，關于廣告ID，大多數用戶對廣告ID也很困惑，雖然廣告 ID被設計成可重置的廣告ID，但重置意義不大，只要廣告 ID還在，便可以用來跟蹤用戶，比如在兩個應用中交叉跟蹤用戶依舊可以實現的。

同時，幾乎所有的敏感信息在傳遞到應用程序之前都會被編碼成一個字符串。在這個背景下，無恒實驗室自研了一種相對簡單的檢測方法來解決隱私泄露的問題，即通過Hook String的構造函數方式，便可以檢查在移動設備上構造的所有字符串，這種策略看似簡單但是很全面，因為無論惡意應用程序以任何方式獲取敏感數據字符串，都可以監控到。

無恒實驗室將這種方法包裝成一個工具，并用它來分析某些在Android設備中預裝的應用程序。該工具發現了在很多場景下的用戶信息被非法獲取，目前已經將上述問題提交給相關制造商，并獲得制造商的認可與致謝。值得一提的是，該工具有個顯著優勢，即調用者如果使用0day或者Nday，也一樣可以被檢查到敏感信息被調用。同時工具也有不足，即如果大量的字符串被hook后，會導致APP運行卡死，該不足無恒實驗室也在持續優化中。

漏洞已提交至相關廠商

無恒實驗室秉持負責任的漏洞披露政策，已將上述所有發現的漏洞提交至相關廠商，并獲得CVE認可。無恒實驗室也希望借助演講推動隱私保護的建設步伐。

同時也可以看到，從Android 10開始，已經不允許第三方應用獲取設備的唯一標識，如果要獲取，則該應用程序必須利用0day或者Nday，已經大幅提高利用門檻，Android 12也增加了刪除廣告ID的能力。當然一些問題還始終存在，如應用程序的WebView沒有正確處理權限，會被用來獲取用戶敏感數據。一些OEM廠商沒有嚴格按照AOSP權限策略，也會導致唯一標識被非法獲取，另外廣告ID在某種程度上也變成了持久化的ID，從設備第一次開機到手機恢復出廠設置，都可以持續跟蹤用戶。

這些仍然存在的問題依舊是隱私保護建設上的新挑戰，無恒實驗室愿攜手行業，呼吁監管機構、廠商和開發者等加強合作，共同打造一個安全合規的Android生態，為用戶的安全和隱私保駕護航。

據悉，無恒實驗室 (https://security.bytedance.com/security-lab) 是由字節跳動資深安全研究人員組成的專業攻防研究實驗室，致力于為字節跳動旗下產品與業務保駕護航。通過實戰演練、漏洞挖掘、黑產打擊、應急響應等手段，不斷提升公司基礎安全、業務安全水位，極力降低安全事件對業務和公司的影響程度。

無恒實驗室持續在前沿安全技術加大投入，近年來無恒實驗室已有多篇研究成果發布在包括NDSS、MobiCom、Black Hat等頂會會議和期刊。未來，無恒實驗室將持續深耕移動安全和隱私安全，持續與業界持續共享研究成果，協助企業避免遭受安全風險，亦望能與業內同行共同合作，為網絡安全行業的發展做出貢獻。