Android智能手机隐私泄露机制及防范方法

信息与电脑

2018年第21期

China Computer&Communication

信息安全与管理

Android智能手机隐私泄露机制及防范方法

文诚忠

1

　秦卫丽

2

（1.郑州铁路公安处，河南 郑州　450052；2.河南省烟草专卖局，河南 郑州　450000）

摘　要：

在社会经济以及科学技术快速发展的背景下，Android智能手机逐步进入人们的生活，取代了传统手机，

并得到了广泛应用。Android智能手机具有较多的功能，如打游戏、看视频、听音乐和网上购物等，但是Android智

能手机在带给人们便利的同时，也带来了较多的安全隐患，其中，最突显的一个安全问题就是隐私泄露。在Android

智能手机中，储存着用户大量的隐私信息，如支付密码、联系人电话、邮箱等，如果用户的这些信息泄露，那么就会导

致用户在经济和精神方面出现严重的损失。基于此，本文详细的分析了Android智能手机隐私泄露的类型，并提出了相

应的防范方法。

关键词：

Android智能手机；隐私泄露方法；防范方法

中图分类

号：TP309　　文献标识码：A　　文章编号：1003-9767（2018）21-191-03

The Privacy Disclosure Mechanism of Android Smartphone and Its

Precautionary Methods

Wen Chengzhong, Qin Weili

(hou Railway Public Security Bureau, Zhengzhou Henan 450052, China;

have gradually entered people's lives, replaced traditional mobile phones, and have been widely used. Android smartphones have

Abstract:

Under the background of social economy and rapid development of science and technology, Android smartphones

2. Henan Tobacco Monopoly Bureau, Zhengzhou Henan 450000, China)

more features such as playing games, watching videos, listening to music, and online shopping, but Android smartphones have brought

more security risks while bringing convenience to people. One of the most prominent security concerns is the disclosure of privacy.

In Android smartphones, there is a large amount of privacy information stored by users, such as payment passwords, contact numbers,

this paper analyzes the type of privacy leakage of Android smartphones in detail and puts forward corresponding prevention methods.

mailboxes, etc.. If the user's information is leaked, it will cause users to suffer serious financial and spiritual losses. Based on this,

Key words:

Android smartphone; privacy leak method; prevention method

随着科学技术与网络信息的不断发展，智能手机的功

做好相应的防范，以确保隐私安全。

能也越来越丰富。人们通过智能手机可以进行网上支付，

例如网上购物、扫码支付等，并且越来越多适用于智能手

１　Ａｎｄｒｏｉｄ智能手机隐私泄露类型

机的通信软件被发明出来，如微信、QQ、微博和博客等，

1.1　应用间的隐私泄露

这使得人们之间的距离进一步缩小。当前，人们还研制出

当其他应用对Android智能手机应用程序进行访问时，

更多必须通过智能手机才能完成的技术，如单车扫码骑行，

有可能导致隐私泄露，应用间的隐私泄露主要表现在以下几

智能手机的出现给人们的日常生活工作带来了较大的便利。

个方面。

但是也给人们的隐私安全带来了较大的隐患。人们在使用

1.1.1　访问日志文件、外部储存（SD卡）

Android智能手机时，经常会无意中泄露自己的隐私信息，

Android智能手机开发者在对应用程序进行开发时，在

从而造成严重的损失。隐私泄露主要有应用间的隐私泄露、

对程序进行调试时通常都使用Log，Log可以将应用事件记

网络传输中的隐私泄露两种类型，因此可以针对这两种类型

录下来。开发者在对日志系统所提供的功能进行使用时基本

作者简介：

文诚忠(1979-），男，河南郑州人，硕士研究生，工程师。研究方向：网络信息安全、云计算、电子数据取证。

秦卫丽（1980-），女，河南郑州人，硕士研究生，工程师。研究方向：网络与信息安全、大数据、云计算。

—　　　１９１　　　—

信息安全与管理

信息与电脑

China Computer&Communication

2018年第21期

都是通过Java接口、C/C++接口完成，而这些接口的功能在

中对其进行安装。在Android系统中，如果应用程序签名一样，

实现时都需要通过系统日志的驱动

[1]

。系统在用户层系统库

那么这些应用程序可以共享UID；如果应用程序UID一样，

中封装日志驱动功能，然后利用JNI完成对系统库的封装，

那么这些应用程序就在同一个进程空间中运行，就像在一个

使其成为Java接口，因此开发者通过Java接口可以实现与

应用程序中运行，因此，这些应用程序可以对彼此的数据进

日志驱动的通信。因JNI为本地接口，所以可以互相调用

行随意操作。同时，Android系统还提供可一个permission

Java和C/C++代码，如图1所示。

类型，其在签名上完成，从而对应用程序签名权限实现了升

级。其他应用程序在对该功能进行使用时必须要与该应用程

序的签名一致，这样，应用程序可以通过对签名的共享完成

对数据与代码的共享。

1.2　网络传输中的隐私泄露

Android手机具有四种本地储存数据方式：文件、

SharedPreferences、数据库和Content Provider。除此之外，

还有一种存储方式就是网络存储。应用程序通过网络在服务

图１　ＪＮＩ接口

器中对数据进行存储或者是对服务器中的数据进行读取。用

用户使用Android手机或者是相关设备产生的数据信息

户通过网络将请求发送到服务端，然后服务端接受请求并给

被开发者通过Java接口、C/C++接口存储到内核当中。而相

予用户回应。客户与服务端之间的通信要在通信协议基础上

关应用只要具有READ-LOGS权限就可以对日志系统当中的

完成。在互联网中，HTTP协议被广泛使用，客户与服务端

隐私信息进行读取，如图2所示。这样就导致用户的隐私信

之间在传输数据的时候要通过HTTP协议完成，而在传输的

息数据易发生泄漏。当前，只有当应用对READ-LOGS权限

过程中，一些软件经常会将TCP包、HTTP包拦截

[3]

。如果

进行申请并通过，应用才可以对日志系统中的相关数据进行

客户所传输的信息别拦截并且开发者没有对信息进行加密，

访问，否则会被Android手机的访问权限阻止。

那么用户的隐私就会泄露。

２　Ａｎｄｒｏｉｄ智能手机隐私泄露防范方法

2.1　内核层隐私保护机制

2.1.1　磁盘加密

Android系统的磁盘加密是在dm—crypt基础上完成的，

属于内核功能。CBC分组模式的128为AES加密为其加密

算法，通过OpenSSL产生密钥。该方法的磁盘加密可以在

ext4和emmc格式的文件系统中使用。在Android5.0版本中，

在设置中对“加密手机”进行选择时，系统会让用户对锁屏

密码或者是PIN进行设置，在完成设置以后，data分区被加密，

图２　日志系统

SD卡使得Android手机的存储容量进一步增加，用户可

要完成全部加密所花费的时间在1个小时左右。

以在SD卡上存储图片、视频、音乐等。应用程序在对SD卡

2.1.2　文件访问控制

文件进行访问时需要申请权限，如果某一应用程序的数据被储

Android系统上是在Linxu权限机制的基础上建立了文件

存在SD上，那么其他拥有SD卡访问权限的应用就可以对该

访问控制机制。任何一个文件的访问权限都是由三个方面进行

应用程序的数据进行访问，这样就会导致用户的隐私泄露。

共同控制，用户ID（UID）、用户组ID（GID）、读写执行（rwx）。

1.1.2　访问全局可读/可写文件

在安装应用程序的时候UID由系统分配，Android系统对GID

Android的文件模式一共有四种，其中可以被其他应用程

进行提前定义，每个UID和GID都有对应的权限访问系统资

序读取的文件是在全局可读模式下创建的文件，可以被其他应

源。在创建文件时，赋予其各种属性的UID，这样该文件只

用程序写入内容的文件是在全局可写模式下创建的文件。人们

能被所拥有特定UID的应用程序所访问。

在对文件进行创建时可以设置多个模式，如果对全局可读/可

2.2　应用程序权限控制

写文件模式进行使用，那么其他应用程序就可以对该文件进行

在Android系统中，有一个十分重要的安全保护措施

读取和写入内容，这样就会导致用户的隐私泄露

[2]

。

就是权限管理，通过具有较强安全性、应用性的设计与权

1.1.3　通过共享签名共享数据

衡之后，Android系统所采用的权限管理机制为粗粒度。

开发者只有对应用程序签名以后才可以在Android系统

Android系统当中有上百种权限，可以对系统资源进行有效

—　　　１９２　　　—

信息与电脑

2018年第21期

China Computer&Communication

信息安全与管理

的保护，包括互联网访问、接打电话等。应用程序的权限申

应直接删除该短信。

请以及申请声明都在文件中显示出来，

然后由以下标签进行制定，分别是、

2.4　谨慎连接公共WiFi

、等。一般情况下，每个权限

Android手机的WiFi在开启的状态时，会对周围的

都中具有名称、组、级别三个属性。权限级别有四种：第一种，

WiFi信息进行自动搜索，如果发现某一WiFi没有设置密码，

Normal：该权限没有较高的风险，对Android、用户不会有

那么手机就会自动连接。当手机自动连接WiFi时，不法分

危害，应用程序在对使用权限申请时，用户不会收到系统的

子有可能通过一些技术全程监控用户在手机上所有的操作行

通知。第二种，Dangerous：该权限具有较高的风险，应用程

为，从而对用户的账号、密码等信息进行盗取，进而导致隐

序在对使用权限申请时，用户会收到系统的通知。第三种，

私泄露。因此，用户在不使用WiFi的情况下，要关闭手机

Signature：只有应用程序的使用签名和该权限其他应用程序

的WiFi功能，以保证自己的隐私信息不被不法分子窃取。

的使用签名一样时，系统才会授予应用程序该权限。第四种，

公共且免费的WiFi本身就存在不安全性，所以用户在公共

signatureOrSystem：签名一样的Android包或应用程序会被

场合，要尽量不连接免费WiFi。

授予该权限，该权限通常在同一个系统镜像多个供应商使用

３　结　语

的场景中使用

[4]

。

在当前信息时代中，智能手机在人们生活的各个方面有

2.3　不点击来源不明的链接

具有重要作用，且智能手机中用户的隐私信息也在不断增多，

首先，不扫描来源不明的二维码。二维码的制作十分简

而许多不规范的应用程序以及操作会导致用户隐私泄露，进

单，并且又可以免费生产，所以得到了广泛的使用，但同时，

而使用户遭受较大的经济损失与精神损失。因此Android开

不法分子也对二维码进行了不法利用。目前许多的不法网站

发者要对手机系统进行不断完善，加强应用程序权限控制，

为了遮盖其真实面目，通常会利用二维码生成技术将网站链

从而提高手机的安全性能。同时用户也要提高自身的防范意

接生产二维码，然后再将链接地址改成正规的网站下载地址。

识，不连接和点击公共WiFi和来源不明的链接，从而保护

这类二维码本身是没有问题的，但是主要存在的安全隐患问

自身的隐私。

题就是，当人们完成二维码扫描后，其中的连接存在病毒与

木马，如此一来，用户在点击连接进行下载时，病毒与木马

参考文献

就会进行手机，从而导致手机中毒，不法分子就可以利用手

[1]乐洪舟.Android应用隐私泄露若干问题的研究[D].西安:

机中的病毒对用户的隐私信息进行获取。因此，用户应注意，

西安电子科技大学,2017.

不扫描来源不明的二维码。

[2]寇玉龙.Android隐私泄露检测关键技术研究[D].哈尔滨:

其次，不点击手机短信中的链接。当前，许多不法分子

哈尔滨工程大学,2016.

通过伪基站将链接短信发送给用户，诱骗用户点击短信中的

[3]邢月秀.智能手机隐私泄露检测技术的研究与实现[D].

链接，进而通过钓鱼网站对用户的隐私信息进行窃取，这是

南京:东南大学,2016.

不法分子窃取用户信息常用的方式。因此，用户在收到来源

[4]刘效伯.Android系统隐私泄露检测与保护研究[D].南京:

不明、冒充银行的短信时，不可对短信中的连接进行点击，

东南大学,2017.

（上接第190页）

参考文献

的必然要求，也是促进大数据技术有效应用的重要基础和保

[1]尤其,刘鑫,赵倩倩.大数据时代信息安全的特点与

障。这就需要对信息安全的新特点和新要求有清醒的认识，

要求[J].电子技术与软件工程,2018(17):212.

并结合自身的实际，积极探索大数据时代信息安全管理的有

[2]袁艳.浅析大数据时代信息安全的新特点与新要求[J].

效措施，重点要在重视信息安全管理工作、完善信息安全管

电脑迷,2018(8):61.

理体系、完善信息安全管理制度、打造信息安全管理文化等

[3]杨军.大数据时代信息安全的新特点与新要求研究[J].

方面狠下功夫，推动大数据时代信息安全管理工作步入科学、

信息通信,2018(7):273-274.

[4]王小洁.大数据时代信息安全的新特点与新要求[J].

健康、持续发展的轨道，为大数据技术的有效应用提供保障。

电子技术与软件工程,2018(12):217-218.

—　　　１９３　　　—