iOS備份機制中隱私威脅問(wèn)題的分析

　?。?）位置技術(shù)類(lèi)應用。

　　位置技術(shù)類(lèi)應用中，實(shí)驗選取了大眾點(diǎn)評、街旁、丁丁生活、豆瓣活動(dòng)、陌陌，它們是目前最流行的應用。如表4所示，在大眾點(diǎn)評和丁丁地圖找不到任何關(guān)于位置的信息。而這兩個(gè)應用在實(shí)際使用中提供了大量的基于位置的信息。豆瓣活動(dòng)應用保存著(zhù)最后登陸時(shí)的位置。街旁將用戶(hù)賬號和訪(fǎng)問(wèn)過(guò)的評論緩存在Cache.sqlite 中。在表格ZJPLOCATION中記錄著(zhù)坐標，時(shí)間和地址。陌陌則會(huì )保存附近朋友的詳細信息。

　　表4 位置技術(shù)類(lèi)應用

　　3 討論

　　3.1 影響

　　從前一節可以看出備份中包含了幾乎所有的個(gè)人信息，并且獲取這些信息的方法非常簡(jiǎn)單。下面對隱私威脅模型中的每一類(lèi)信息的影響進(jìn)行分析。

　　用戶(hù)活動(dòng)相關(guān)信息：主要包括短信息、聊天記錄、通話(huà)記錄，不論是系統還是第三方應用程序都直接記錄這些數據。通訊錄泄漏大量設備使用者朋友的信息，社交類(lèi)應用程序也會(huì )將好友信息保存下來(lái)。這些數據對用戶(hù)隱私形成威脅，造成了直接的損害。

　　賬戶(hù)相關(guān)信息：所有第三方應用程序都會(huì )將用戶(hù)和一個(gè)賬戶(hù)關(guān)聯(lián)，實(shí)驗表明賬戶(hù)信息會(huì )隨著(zhù)備份的泄露而泄漏。這些賬戶(hù)的行為等價(jià)于用戶(hù)的行為，賬戶(hù)的匿名性不復存在。

　　地理位置信息：定位是新一代智能手機特有的重要功能，它被用在導航或者基于位置的應用中。

　　但是，它可以悄悄的記錄用戶(hù)的空間活動(dòng)信息。

　　iOS系統和第三方應用都會(huì )記錄用戶(hù)的位置信息，它們通常與時(shí)間一起保存。這樣，攻擊者通過(guò)結合這兩部分信息就可以分析出用戶(hù)何時(shí)出現在何地，推斷用戶(hù)過(guò)去的行蹤。

　　多媒體信息：照片、視頻文件在網(wǎng)絡(luò )中傳播速度極快，有大量因為私人的照片，視頻造成的負面新聞，這些數據未經(jīng)保護散播出去后果難以想象。

　　3.2 局限

　　并不是在什么場(chǎng)景下都能成功對備份進(jìn)行分析。下面兩種情況就會(huì )對分析造成困難。

　　用戶(hù)可以設置密碼來(lái)鎖住iOS設備，這個(gè)密碼是一個(gè)4位的數字。當iOS設備連接到一個(gè)新的電腦時(shí)，只有密碼輸入正確后iTunes才會(huì )進(jìn)行備份。但是，對于進(jìn)行過(guò)備份的電腦會(huì )保存一份證書(shū)文件。

　　攻擊者可以利用其他機器上保存的證書(shū)文件來(lái)繞過(guò)密碼進(jìn)行備份。

　　用戶(hù)還可以選擇加密備份來(lái)保護他們的隱私。

　　默認情況下備份是不加密的，用戶(hù)可以從iTunes中開(kāi)啟加密選項，此后，備份文件全部都經(jīng)過(guò)加密。

　　據蘋(píng)果官方描述，加密是使用AES-256 CBC來(lái)完成。這就意味著(zhù)直接解密和破解AES難度一樣。

　　3.3 應對措施

　　對于那些需要對用戶(hù)數據進(jìn)行保護的用戶(hù)，這里建議加鎖來(lái)保護系統，同時(shí)開(kāi)啟備份加密功能。

　　這樣可以完全防止隱私泄漏。文中發(fā)現第三方應用的程序泄漏了更多的隱私信息，部分原因是開(kāi)發(fā)者沒(méi)有意識到他們不合理的軟件設計會(huì )帶來(lái)隱私威脅。所以，需要提醒開(kāi)發(fā)者不要將用戶(hù)相關(guān)的數據保存在應用程序目錄，或者至少對這些數據進(jìn)行加密。對于那些將用戶(hù)密碼也保存在配置文件中的應用，建議蘋(píng)果加以更加嚴格的審查，杜絕這類(lèi)應用出現在電子市場(chǎng)之上。

　　4 結語(yǔ)

　　文中揭示了備份機制帶來(lái)的潛在威脅，并深入的分析備份中的數據，給出應對措施。通過(guò)描述獲取備份的和進(jìn)行數據分析的方法，列舉出備份中包含的各類(lèi)信息。傳統方法主要分析系統內置的信息，如：聯(lián)系人、通話(huà)記錄等。著(zhù)重分析了備份數據中第三方應用存在的問(wèn)題，這些應用程序受到大家的忽視，但他們存在更嚴重的隱私泄漏的威脅。最后，討論隱私泄露的影響以及預防的對策。