移动社交通信类应用的漏洞问题研究

刘纯丽，丁祥伟

移动社交通信类应用的漏洞问题研究

刘纯丽1，2，丁祥伟2

（1.池州学院文学与传媒学院，安徽池州247000；2.安徽永祥地产评估咨询有限公司，安徽池州247000）

智能移动终端以其丰富的功能应用，为人们日常处理个人信息提供了便捷，尤其是其社交通信类应用相对于传统的短信息服务及计算机终端应用具有较高的性价比广泛被接受。同时基于移动终端的社交通信类应用为了增加用户黏度，满足用户网络世界与现实世界交融的通信需求，均提供了“添加手机联系人”功能，文中提出了该功能能够实现大规模收集目标用户个人信息资料；建立了对上述漏洞的原型系统，并搭建了实验平台进行了包含大规模数据的实验，同时基于两款社交通信类应用的整合分析，以及对数据的一致性和真实性分析，并提出了可行的漏洞防御方案。

移动社交通信类应用；智能移动终端网络；隐私泄漏；手机联系人；安全防御

DOI：10.13420/j.cnki.jczu.2015.06.014

1　引言

近年来，随着智能移动终端的普及，基于移动互联网和手机终端的各类应用迅速发展。而其中，基于移动终端的即时通信社交应用程序（移动社交通信类应用，下同），利用移动终端本身的蜂窝移动通信网络或互联网的无线通信网络实现数据的发送与接收。与传统的计算机终端即时通信相比，能更好体现即时通信的碎片化时间特点，实现移动即时通信常态［1］。用户在使用移动社交通信类应用时，为了与真实世界的好友实现准确快速的通信，在注册的账号信息中，会提供诸如姓名、性别、年龄、职业、地址等真实的个人信息资料。此外，同一用户在使用各种网络应用时，会相互绑定相关资料（譬如手机号码等），这意味着同一用户的信息资料将会在多个服务器之间形成关联，这将增加用户个人信息资料被他人窃取的风险［2］。

为了能够更好的将社交通信类应用与移动终端更紧密的结合，很多移动社交通信类应用都实现了手机通讯录匹配添加好友的功能。

2　相关问题描述

2.1手机通讯录匹配功能

移动社交通信类应用为了使应用直接融入到手机中，方便用户找寻好友，提高用户对新应用的依赖度，将手机通讯录匹配功能设为其标配。

使用手机通讯录功能需要两个步骤：第一，将应用账号与手机号码绑定；第二，用户允许应用程序上传手机通讯录或者手机通讯录的特征信息。至此，手机通讯录就被应用程序上传到应用程序服务器端，应用程序账号就可以使用手机通讯录功能浏览或者添加好友。该功能的使用是在假设用户与其手机通讯录的联系人之间存在真实世界的社交关系，向用户推荐手机通讯录联系人账号信息不会造成安全风险。本文通过分析发现手机通讯录匹配添加好友功能在带来方便的同时，也带来了用户隐私泄漏的潜在隐患。

2.2恶意使用手机通讯录匹配功能描述

用户a的手机通讯录表示成联系人的集合Ca，其中每个联系人都包含一个二元组的数据（name，pn），name和pn分别表示该联系人的姓名和手机号码。应用服务器数据库中存储了用户的所有信息，表示为｛id，pn，profile｝，其中ID表示用户的账号，pn表示与该账号绑定的手机号码，profile表示用户的个人资料。用户a在激活通讯录匹配功能之后，形成了用户账号和用户手机号码的绑定。第一步，攻击者b伪造一个通讯录Cb，由于手机号码组成具有一定的规律，伪造的通讯录手机号码可以是攻击者感兴趣的号码、也可以是随机号码或者特殊号码，且姓名与手机号码可以无关。第二步，攻击者将通讯录Cb与自己注册的账号绑定，这样该通讯录就上传到应用程序服务器，之后服务器返回与通讯录中手机号码绑定的账号信息和资料。

2.3隐私泄漏威胁分析

帐号是用户在网络世界的通行证，具有唯一性的特性。本文探讨的利用移动社交通信类应用的手机通讯录匹配功能获取用户帐户资料具有以下的潜在威胁：（1）攻击者通过以上方法可以获取用户帐号的相关个人资料和手机号码。收集到的大量活跃手机号码，结合个人资料，可以较为全面的分析用户相关信息，进行定向广告投放，增加了广告的投放收益。（2）攻击者通过本文提到的方法从不同应用程序获得同一用户的多份资料，并进行整合，攻击者可以全面掌握该用户的资料，为进一步进行网络诈骗提供可能。

3　实现方法

本节首先介绍移动社交通信类应用获得用户资料的方法步骤，然后基于此方法步骤介绍实现的具体细节。

3.1资料获得整合分析

利用移动社交通信类应用的手机通讯录匹配功能获得手机通讯录号码相关信息的流程图如图1所示。在实现了使用手机通讯录匹配功能之后，对返回的资料进行深入的整合分析，形成完整的用户信息资料数据库。

图1　流程图

整合涉及到同一用户同一开发商开发的的多个不同应用的帐户资料进行的。分析是考虑到目标用户注册的个人信息的非真实性而进行的目标用户资料的一致性和真实性进行分析。

3.1.1数据整合当前对于很多大型应用开发商来说，为了获得更多客户，通常旗下会有多款应用，同时与其它应用开发商合作运营，允许这些应用共用同一账号登录。对用户来说更加方便对各个应用账号的管理，提升网络使用范围。例如，腾讯公司不仅允许用户使用QQ登录其旗下的另一款应用微信账户，同时与其它开发商合作建立应用市场联盟，允许使用QQ账号登录合作伙伴的应用。这就意味着应用市场联盟的各应用之间共享用户的账户信息资料，针对共享账号登录的各应用返回的数据进行整合，可以获得更加准确且全面的个人信息资料。

3.1.2数据分析目前应用开发商为了满足用户对于移动社交通信类应用的不同社交需求，支持多种添加好友的渠道。为了促进用户与好友之间的通信交流，使用手机通讯录匹配功能或其它现有应用的好友联系人方式添加好友，用户会倾向于使用真实的数据信息希望个人信息资料能够被朋友看到；满足用户通过相近地理位置发掘新朋友，通过相关技术进行地理位置定位添加好友，用户处于防范意识则不填或错填相关资料。基于以上情况，在分析不同应用的数据资料时，需要对用户数据信息进行一致性和真实性分析。

一致性分析是指对于同一用户的不同应用的共有字段进行判断，如果内容完全匹配或者部分匹配，则认定用户该字段数据一致或相似。那么就可以判定该用户资料信息具有一定的真实性。当然如果用户在各应用平台均采用虚拟的信息，则无法判定信息的真实性。

3.2实验设计与实现

本文利用移动社交通信类应用的漏洞实现了大规模窃取用户信息资料的原型系统，该系统由手机通信录伪造模块、数据信息提取模块和数据信息分析模块三部分组成。手机通信录伪造模块完成自动产生大量标准格式通讯录的手机号码的任务，考虑到手机的处理能力，通讯录的规模是实验成功与否的前提。数据信息提取模块实现从移动终端将社交通信类应用返回的一系列账户资料数据提取出来，是实验的核心，需要考虑到移动终端系统的权限机制等保护机制。最后一个模块是数据信息分析模块，实现对获得的数据信息分析处理的功能，具体内容会在第4节阐述。

本文的原型系统将基于最为流行的移动终端系统Android系统实现。同时Android系统的开源性［3］，也为本文的实验系统的实现提供了很好的环境。

Android系统的权限机制是用户数据信息提取实验面临的最大挑战，该机制拒绝应用程序数据从外部直接访问。为了解决这个问题，本文通过动态监控应用程序访问接口（Android API）提取目标应用的用户数据信息。图2显示了实验原型设计，数据信息模块位于Android系统框架层。通过修改Android系统相关代码，如settext（）函数实现屏幕显示数据的调用，sentevent DB命令使用户数据信息能够自动保存。

图2　实验设计图

4　实验数据及分析

本节阐述依托移动社交通信类应用微信的手机通信录和QQ通信录匹配功能进行实验过程，并获得相应账户数据信息进行结果分析。在实验过程中，实验数据会触及到用户隐私，因此在开展试验工作前需要考虑如何更加有效的保护获取的用户数据。在此前开展的研究中，很多研究人员都遇到了同样的问题［4-5］。对于实验过程中获取的真实数据，在此做出申明：第一，不向任何与此实验无关的个人或机构提供实验获取的用户数据；第二，作者不会对获取的用户数据进行进一步的攻击。

4.1微信应用数据分析

本应用是针对移动社交通信类应用微信的手机通讯录匹配功能进行的数据分析。实验环境设置如下：Ubnutu13.10系统，微信应用（Android版本5.0）运行在Android模拟器版本4.4。

根据实验的步骤安排，第一步是伪造备用手机通讯录，伪造的备用通讯录包含用户姓名和手机号码，手机号码采用中国大陆地区的国际区号+86与11位数字组成本实验伪造的手机号码模块号码段为：+861385660至+861385669。

配置3.2节阐述的原型系统，并在模拟器上注册一个微信账号。首先将微信账号绑定用于测试的手机号码，并使用手机通讯录匹配功能，接着导入伪造的手机通讯录文件。接着按照2.2节所述的手机通讯录匹配功能描述，在应用中会获得一系列与伪造的手机号码绑定微信账号及相应的账户数据信息。通过数据信息提取模块记录这些数据信息，形成初步的用户数据资料，包括手机号码和微信账户。其中微信账户信息包括用户名、地区、个性签名、社交资料（与微信账号绑定的手机号码）。

表1　微信返回用户账户的数量分布

本实验共伪造了50000个手机号码，微信的添加手机联系人匹配成功9265个微信账户信息资料，实验的微信用户率达到18.53%，与23.56%的中国相关调查机构的数据基本一致。在返回的数据资料中，用户名是必填的，因此完整率为100%；由于是通过手机号码查询的微信用户，因此首先该微信用户绑定了手机号码，社交资料的完整率也是100%。而所在地区和个性签名属于选填资料，完整率如表2所示。

表2　选填资料字段完整率

4.2多应用数据整合分析

多应用整合分析是针对同一公司旗下的多款应用进行数据整合分析，以此方式获得更加全面的用户帐户信息资料［6］。腾讯作为目前国内社交通信类应用的最大开发商，旗下的QQ和微信也是使用面最大的两款应用。

图3　数据整合流程图

接下来通过具体的实例阐述数据整合分析的原理步骤，考虑到个人隐私，将使用星号代表隐藏部分数字或文本数据。第一步，选取数据库中的一条记录，手机号码“138******08”，微信ID“q57*****25”。微信ID后面使用没有任何关联的9位数字，考虑到微信与QQ的相关性，推测后9为数字可能是QQ号码。为了进一步验证，通过QQ软件的查找功能，输入这9位数字，成功找到一位用户，“查看用户资料”面板显示了该用户性别、姓名、出生日期、照片等相关资料。最后，在QQ软件的找回密码服务面板，显示的密保手机部分的号码数字（出于安全考虑，只显示部分部分数字，其余部分用星号代替）与绑定的手机号码一致，进一步确定该用户真实存在。这样，完成了一次完整的用户数据信息资料的整合，获得了该用户的全面个人资料数据。具体流程图如图3所示。

综上可见，利用应用的通讯录匹配功能的漏洞，利用绑定的手机号码获得了微信账号，通过多应用的数据整合，获取了目标用户的全面详细的个人资料。同时在这个过程中需要一定的人工分析，提高数据整合的效率。

4.3一致性和真实性分析

对于微信和QQ两个应用中，会返回部分相同字段信息，如用户昵称、所在地、个性签名（个人说明）、用户姓名，而对于同一用户，这些字段信息可能一致也可能存在矛盾。根据3.1.2的方法将对这些数据进行一致性和真实性分析。

图4　用户姓名真实性比较

首先针对用户昵称和所在地去进行一致性和真实性分析，结果发现，在微信和QQ两款应用中的这一项内容一致性达到61.56%。由此可见使用该应用的用户绝大部分已经将网络世界和现实世界的交流是交织在一起的，用户昵称反应的应该是现实生活的昵称，所在地区也具有一定的真实性。其次针对微信的个性签名与QQ的个人说明，有34.05%的用户在这两个应用中描述的相近或相同，那么在一定程度上，可以反映出该用户的一定个人信息，也可能为进一步攻击提供依据。最后，针对用户姓名，结果发现微信的用户昵称与QQ的用户姓名有28.73%的用户是相近的（相同字符数占到较短用户姓名的50%以上）。针对用户姓名的真实性分析通过匹配中华人民共和国的户籍管理办法中关于姓名结构完成的。在匹配过程中如果第一个字符属于中文姓名的常用“姓”，则认定该用户姓名具有一定的真实性，结果发现超过一半的人在至少在一个应用中使用了真实姓名。

对于获取的数据进行一致性与真实性分析是对数据信息整合中最为关键的一部，对于获取的真实数据具有较高的利用价值，如垃圾短信的推送、网络欺诈和攻击等。

5　相关防御方案

移动社交通信类应用的手机通讯录匹配功能的原理是用户将手机通讯录通过网络上传并保存在服务器端，然后服务器程序通过比对，将与通讯录中手机号码绑定的应用账号及相关资料返回给用户。在这个功能应用中，需要四个前提条件：（1）手机用户的号码具有唯一性；（2）应用服务器端保存并匹配手机号码与应用账号的对应关系；（3）应用服务器端返回与手机号码对应的应用的相关信息；（4）应用服务器端允许批处理手机通讯录匹配的功能实现，从而为规模化获取信息提供可能。在以上条件中，（1）是实现移动通信所必须满足的条件，（2）是实现手机通讯录匹配功能必须满足的条件，这两个条件我们没有办法限制，否则就无法使用手机通讯录添加好友；（3）即使不能实现，攻击者也可以实施小规模的攻击，通过增加攻击频率获取数据信息。综上所述，我们只能针对条件（3）提出可行的防御方案，具体如下：（1）增加用户对于信息可见性的设置选项，以保证用户对于个人信息的公开程度的设定；（2）对于手机通讯录推荐好友时，考虑到手机号码的隐私性，只推荐满足用户和目标用户双方的手机通讯录都存储对方号码条件的用户，可以通过服务器匹配两个应用账户提交的手机通讯录中的移动通信号码实现，这样也可以有效保障用户的账户信息的安全性。

6　结论

本文通过以微信为例，对移动终端中使用的社交应用的添加手机联系人功能进行了原型分析和实验，揭示了其存在的安全漏洞隐患，该隐患为攻击者提供了大量的个人资料信息提供了可能。针对目前用户的多个应用共用同一账户的情况，本文通过整合数据获取了用户更加详细的资料，并对获取的用户信息资料进行了真实性和一致性分析。实验结果显示，用户在移动社交通信类应用中倾向于填写真实数据，以此扩充真实世界的交往。最后，在分析的基础上提出了可行的防御策略。对于移动社交通信类应用的手机通讯录添加联系人功能提出了限制返回的资料的建议，避免大批量的自动攻击。

［1］中国通信学会.移动社交［EB/OL］.［2013-12-25］.http：//baike. baidu.com/view/4180234.

［2］王璐，孟小峰.位置大数据隐私保护研究综述［J］.软件学报，2014（4）：693-698.

［3］王戴钰.基于Android平台移动社交网络的设计与实现［D］.大连：大连海事大学，2014.

［4］Balduzzi M，Platzer C，Holz T，et al.Abusing social networks for automated user profiling［C］//Proceedings of the Recent Advances in Intrusion Detection.Ottawa，Canada，2010：422-441.

［5］Jakobsson M，Johnson N，Finn P.Why and how to perform fraud experiments［J］.IEEE Security and Privacy，2008，6（2）：66-68.

［6］程瑶，应凌云，焦四辈，等.移动社交应用的用户隐私泄漏问题研究［J］.计算机学报，2014（1）：87-99.

［责任编辑：桂传友］

TP311

A

1674-1102（2015）06-0041-04

2015-07-26

刘纯丽（1983-），女，安徽石台人，池州学院文学与传媒学院讲师，安徽永祥地产评估咨询有限公司工程师，研究方向为移动安全及隐私问题。