360獨家揭秘:披著借貸「外衣」非法竊取隱私的移動應用

移動網際網路時代，移動應用內保存的個人隱私數據信息愈加豐富，在這個極具誘惑力的市場中，利益驅使之下違規操作層出不窮，非法竊取用戶隱私泛濫成風。

近日，360安全大腦監測到，在金融類移動軟體中，存在一批具有隱秘拍照行為的軟體魚目混珠，以提供借貸服務之名，悄無聲息進行隱私非法收集行為，隱私安全如履薄冰。

靜默偷拍+明文上傳

非法獲取用戶隱私「手段」再升級

據360安全大腦監測數據顯示，截至今年6月中旬，共發現信用袋、給你花、唄唄花等9款軟體，捕獲90個樣本。相比以往，這9款軟體「偷盜」手段略有不同，除了非法收集用戶敏感通訊數據外，還會嘗試對用戶面部圖像進行靜默偷拍與上傳。 

軟體名稱與功能

手法一：靜默偷拍， 悄無聲息獲取隱私信息

經深入分析發現，這類借貸軟體都用了同樣的操作手法，常規啟動登陸頁面，然後停留輸入信息，最後登錄主頁面，在這個過程中進行「偷拍」，悄無聲息獲取個人信息。

圖1 信用袋登錄頁面

這類軟體都藉助了開源的無預覽拍照工具AndroidHiddenCamera進行靜默偷拍，用戶打開登錄界面後，這款工具便會開啟「非法之路」，先檢測手機機型，然後根據機型調用前置或後置攝像頭，最後進行靜默拍照，也不會發出提示音與閃光，輕鬆躲避用戶感知。

當然，手機型號不同，也決定了選擇不同。該類軟體在靜默拍照時首選前置攝像頭偷拍用戶面部圖像，只有檢測到某些具有升降攝像頭的特定機型才會使用後置攝像頭，例如OPPO k3、VIVO x27等。而針對具有升降攝像頭的手機，這類軟體會避開採集面部圖像，以免攝像頭升起讓用戶有所察覺，達到偷拍目的。

檢測機型確定攝像頭類型

靜默拍攝的圖片名稱為a.jpg，保存在用戶手機SD卡中以軟體名全拼命名的文件夾下，如「信用袋」的圖片保存路徑為/sdcard/xinyongdai/camera/a.jpg。如果路徑下有同名文件存在不會進行覆蓋。當用戶身份認證成功後，該圖片會被私自上傳至指定伺服器，可謂是不費吹灰之力實現一樹百穫。

手法二：明文上傳，敏感數據被「盜取」

值得一提的是，除偷拍用戶面部圖像外，這類借貸軟體毫無限制、「掃蕩式」地採集用戶的各種敏感通訊與網絡數據，包括用戶簡訊、通話記錄、通訊錄、接入網絡等，進行非法收集與明文上傳。

用戶登錄成功後必須先完成多重認證才能進行借款操作，藉助認證，這類軟體乘機收集用戶簡訊、通話記錄與安裝軟體列表，並將這些個人敏感信息連同認證時上傳的身份證照片一併明文發送至指定伺服器。

主功能界面與認證頁面

在這一環節，與身份認證同步進行的隱私非法收集與明文上傳過程同樣讓用戶無任何感知，且在首頁、認證頁與個人頁都看不到隱私聲明，環環相扣，不留痕跡，其賊心不言而喻。

溯源追蹤「一鍋端」

多款借貸軟體暴露「狼子野心」

360安全大腦溯源分析發現，該類軟體中部分軟體的隱私回傳伺服器域名xinxinshuju.com，可以確定非法收集用戶隱私的目標單位——湖南新薪時代信用服務有限公司。據該公司官網業務與官方介紹，其主要從事海外金融APP開發。

圖3 新薪時代公司官網

除「給你花」、「信用袋」、「唄唄花」等9款具有靜默拍照行為的軟體外，還有5款為該公司非法收集用戶隱私的軟體，這些軟體同樣都是借貸軟體，雖然沒有集成靜默拍照功能，但同樣存在用戶無感知的隱私非法收集行為。

移動軟體濫用隱私仍難自持

對標「紅線」共耕指尖安全「責任田」

自移動金融行業興起至今，360安全大腦始終對金融類軟體隱私收集保持著高度關注，截至此次新薪時代信用服務有限公司事件的披露，共發現上千款有著隱私不當收集行為的金融類軟體，其中以借貸軟體為主。金融類軟體出於業務風控特性，往往需要採集部分用戶數據，但無克制不受限採集與靜默採集現象卻在金融類軟體中泛濫。

可見，在大數據與個人隱私邊界模糊的時代，五花八門的軟體早已成為狼豺虎豹爭相搶奪的「潘多拉之盒」，借貸軟體中招僅是惡意軟體權限濫用的冰山一角，因此，強烈的監管風暴也隨之颳起。 

在立法層面，《網絡安全實踐指南——移動網際網路應用基本業務功能必要信息規範》、《App違法違規收集使用個人信息行為認定方法》先後出臺，明確了未公開收集使用規則；未明示收集使用個人信息的目的、方式和範圍等6項認定準則，包含31種場景。

當然，面對此種現狀，企業、用戶、應用市場與安全廠商等都應在相關法律法規「紅線」之內，承擔社會責任，共同保護隱私安全。

企業應嚴格遵守相關法律法規的規定獲取隱私授權與進行隱私採集，對自身作為第三方或有其他第三方參與的場景，按規定明確彼此責任與義務並嚴格執行，做到用戶隱私規範採集、合理使用、謹慎共享；

用戶作為隱私竊取APP最終受損方，應謹慎授予隱私權限和許可隱私聲明，儘可能從可信應用市場下載APP，安裝並及時更新殺毒軟體；

應用市場作為APP渠道方，必須對隱私類APP審核上架嚴格把關，從市場源頭控制可能威脅用戶隱私安全的APP進入市場；完善舉報制度，及時控制問題APP繼續傳播；

安全廠商應結合新技術完善檢測機制，儘快發現存在隱私不規範採集行為的APP，並協助相關部門、應用市場、企業等參與方共同控制問題APP進一步傳播。

360烽火實驗室

360烽火實驗室，致力於Android病毒分析、移動黑產研究、移動威脅預警以及Android漏洞挖掘等移動安全領域及Android安全生態的深度研究。

作為全球頂級移動安全生態研究實驗室，360烽火實驗室在全球範圍內首發了多篇具備國際影響力的Android木馬分析報告和Android木馬黑色產業鏈研究報告。

實驗室在為360手機衛士、360手機急救箱、360手機助手等提供核心安全數據和頑固木馬清除解決方案的同時，也為上百家國內外廠商、應用商店等合作夥伴提供了移動應用安全檢測服務，全方位守護移動安全。