Android系統(tǒng)“照明彈”功能的技術及法律規(guī)制

Android系統(tǒng)“照明彈”功能的技術及法律規(guī)制基于當前“照明彈”功能存在的問題，本文結合“照明彈”功能的工作機制入手，對當前誤報情況進行分析，并結合相關問題提出照明彈功能的法律規(guī)制建議。編者按：由于Android操作系統(tǒng)本身具有開放性，其豐富的編程接口給開發(fā)人員提供了極大的便利，不同的手機廠商可以定制不同的手機系統(tǒng)，同時也使得Android平臺上的應用在調(diào)用系統(tǒng)權限、收集終端用戶數(shù)據(jù)過程中具有更大的開放性。雖然自Android10系統(tǒng)后，普通應用軟件將不能獲取IMEI等不可變更的唯一標識符，但仍然存在應用在獲取權限后過度或頻繁采集數(shù)據(jù)的風險。對此，多家Android手機廠商在其操作系統(tǒng)內(nèi)新增了“照明彈”功能，即可以對手機中的各個應用調(diào)用權限、收集數(shù)據(jù)的情況進行監(jiān)控，并可以提示用戶或供用戶對相關應用行為進行查詢。為行文之便，本文將該類檢測功能統(tǒng)稱為“照明彈”功能，該統(tǒng)稱不代表本文針對任何特定操作系統(tǒng)。Android手機廠商所定制的類似軟件調(diào)用權限與收集數(shù)據(jù)行為監(jiān)控的功能在保護用戶隱私方面做出了積極貢獻，但也存在著檢測功能不完善，無法對應用調(diào)用權限或收集數(shù)據(jù)行為進行準確識別，甚至出現(xiàn)應用并未調(diào)用權限或收集數(shù)據(jù)而被誤報為頻繁請求權限或收集數(shù)據(jù)的情形，導致應用的正當處理活動被該類功能判定頻繁密集調(diào)用權限、收集數(shù)據(jù)。基于當前“照明彈”功能存在的問題，本文結合“照明彈”功能的工作機制入手，對當前誤報情況進行分析，并結合相關問題提出照明彈功能的法律規(guī)制建議。1.“照明彈”功能的技術實現(xiàn)方式Android操作系統(tǒng)對軟件行為的監(jiān)控主要是通過其對系統(tǒng)API的調(diào)用進行檢測分析來完成的，檢測分析有系統(tǒng)調(diào)用劫持、共享庫注入、Binder通信監(jiān)控等不同實現(xiàn)方式。其中，常用的方式是共享庫注入，其主要任務是將自己編寫的共享庫文件裝載到目標應用程序進程地址空間中，從而對目標應用程序調(diào)用權限與收集數(shù)據(jù)情況進行監(jiān)控。方法一：系統(tǒng)調(diào)用劫持該方式主要是先通過內(nèi)核編譯技術來解決一般Android系統(tǒng)不支持自定義內(nèi)核模塊的動態(tài)加載問題。然后通過對應用程序系統(tǒng)調(diào)用過程進行劫持，運用包含log功能的自定義模塊對原始系統(tǒng)調(diào)用模塊進行替換，進而通過log功能對應用程序調(diào)用API的詳細過程進行記錄與輸出，從而實現(xiàn)對應用程序行為的內(nèi)核級監(jiān)控。方法二：共享庫注入Zygote是Android系統(tǒng)上所有應用程序進程的父進程，每個應用程序被打開時，fork()函數(shù)被調(diào)用，并生成一個新的子進程，該子進程擁有Zygote進程所擁有的所有資源。故而本方法通過將共享庫文件注入Zygote進程中的方式實現(xiàn)，每當新的子進程啟動時，該子進程就會自動擁有共享庫文件。共享庫功能主要是對Dalvik虛擬機中一些敏感API進行劫持，并重定向到自定義函數(shù)中，自定義函數(shù)通過log功能對應用程序調(diào)用API的詳細過程進行記錄與輸出。方法三：Binder通信監(jiān)控Binder機制是Android平臺上來實現(xiàn)進程間通信的新的IPC機制，其采用Client-Server通信方式。一般而言，應用發(fā)出某個請求時，會首先向ServiceManager發(fā)出getService請求，獲取提供相應服務的進程的Binder引用，然后通過這個Binder引用來對相應的服務進行訪問操作。其中，被請求的服務要先檢查發(fā)送請求的應用程序是否有相應權限。該方法就是在Android權限訪問控制基礎上為需要監(jiān)控的服務增加了一個訪問控制模塊。這樣，一個應用程序的訪問請求就會首先通過新增的訪問控制模塊，然后再轉發(fā)到對應的后臺服務模塊，以此完成對Android軟件行為的監(jiān)控。注：Zygote是一個Native應用程序，是孵化虛擬機實例的虛擬機進程，它在ndroid系統(tǒng)啟動的時候就會產(chǎn)生，實現(xiàn)虛擬機的初始化，庫的加載、初始化等操作。每當系統(tǒng)接收到一個Android應用程序執(zhí)行請求時Zygote就會fork()出一個Zygote子進程，該Zygote子進程會復制父進程的資源，如Android應用框架使用的類和資源等，然后Zygote子進程會動態(tài)加載并運行Android應用。2?“照明彈”檢測造成的誤判情形(1)照明彈功能自身bug導致誤判某手機操作系統(tǒng)增加了App“讀取相冊”和“讀取社交應用文件”披露功能，在該系統(tǒng)上運行App時，如果用戶拒絕了“相冊”或“社交應用文件”訪問權限時，系統(tǒng)會彈出“已禁止XXXApp讀取社交應用文件”的通知，同時在該系統(tǒng)的應用行為記錄中也會記錄了“XXXApp訪問了社交應用軟件”。當前，在相關App并未“讀取社交應用文件”時，該系統(tǒng)也會向用戶提示"App讀取社交應用文件"，而導致這一問題的原因在于代碼邏輯存在問題，即：只要用戶關閉“社交應用權限”開關，即使訪問路徑與社交應用文件不匹配，也會導致一直出現(xiàn)提示“已禁止xxx訪問社交應用文件”的彈窗。rnaitiEkianfli隕□正購注期界;Ifl^9|rnaitiEkianfli隕□正購注期界;Ifl^9|爆己草止s噥理集歲IBM呼][fjgl-監(jiān)!■■說口1■刖出]弊＞&丘兀總寓h擰SMsSiLfltJJPWUlI「■書UHQ^且ISWKflH實匾上CRJ'!?J.■■朗f^?」廿立玄傅搐■述1■柑疋舊尸pty-ifurifipirx^?rs*匸ci們盲ia世口即齡■忙文咒fhzl由*址丁?前飢秤E力打14空丼晉11?1\尸卒樺曲和貿(mào)*.apiK4*i?a?sji-*Kr.tE.￡miiifi?xna|T?(2)照明彈功能與App兼容問題導致誤判某手機操作系統(tǒng)增加了App“后臺調(diào)用攝像頭”披露功能，在該系統(tǒng)上運行App時，如果App在后臺時仍調(diào)用攝像頭權限，系統(tǒng)會提示用戶“App在后臺拍照或錄像”。當前，這一功能可能由于應用適配問題，導致App僅在毫秒級未釋放權限的情況下，仍然向用戶提示“App在后臺拍照或錄像”。經(jīng)過分析后發(fā)現(xiàn)，造成該問題的原因在于該功能系通過Cameraservice實現(xiàn)對相機操作的監(jiān)控實現(xiàn)，CameraService記錄了攝像頭釋放的時間，回傳給AppOps產(chǎn)生的日志。此時，如果攝像頭釋放的時刻大于應用切換到后臺的時刻(即使為毫秒級)，也會被記錄并通知用戶。后經(jīng)過在安卓原生系統(tǒng)測試，原生系統(tǒng)僅會在日志中對這一活動進行記錄，并記錄未釋放權限的毫秒級時間而不會對進行通知。由于App在拍攝后通過不同的導航退出時，相應的釋放時間差會有很大不同，且毫秒級的未釋放權限對用戶幾乎無損害。因此，考慮到技術所限和用戶體驗，APP通常很難做到零延遲釋放攝像頭權限。(3)照明彈功能檢測細粒度較粗導致誤判某手機操作系統(tǒng)增加了App“調(diào)用地理位置”披露功能，在該系統(tǒng)上運行App時，如果App持續(xù)調(diào)用地理位置信息，該功能將記錄或告知用戶。當前，在相關App在做網(wǎng)絡性能優(yōu)化時，網(wǎng)絡切換會調(diào)用getConnectionlnfo以獲取WIFI連接狀態(tài)信息，網(wǎng)絡質(zhì)量探測模塊也會調(diào)用這個接口獲取wifi信號強度(RSSI)，用來評估網(wǎng)絡質(zhì)量。APP調(diào)用getConnectionlnfo的API接口時，如果用戶已授權精確地理位置權限(ACCESS_FINE_LOCATION)時，getConnectionlnfo返回的WifiInfo對象中會包含有真實值的SSID、BSSID；但當用戶未授權精確位置權限時，則SSID、BSSID兩個字段為空，但不影響Wifiinfo對象中的其它字段，包括RSSI等。fitfturn-about亡1卍currentWt-Fic&firw<LloriBifjnyIsfi-ccivCu?電口》Intheco<ifiec,teflst4ter事=￡崎&號to5SIP頁唧品w號idsawpomisfion-s(glinkrff&tScjfflRismltfl},1*ttiich*亡￡命$最isnot{?linkInfvflgat^SiD}wt11rfftmrfi怕u口日bH^unknnnnsid>H)講胡車(^UnkWiiflInFoflgetAS^lb}willreturn相g血”弗：M洽嶺弗曲A}」pgreturAttieW1-F1彳審『0?豪*?卡曲片e-sni-Bi'S^ed1n?1ftlrtlfflJ?flTlUHswifiJflfflg?rC9*ir>9Cti^njnfo(){"Y{rBiurnnSurvic*.gattorwicctionlnfa■；nCont^Ke.gctDpPockag^Nire!)■)：2CAtChi-[RtFrt±^EKC^ipE&n*){thr^Aw?.■"ittliFiwF/?Sy4CfeftSft\SaturnthtfreauLtfidFthtI-atest>ecei,spoint,sejn.^returntlieHatofacc??gKi1nt?fgn日Inthewstrecedesesn..M^pp■w^s:hold■（glirikfest?peri?1百蘭d小戸?血€￡走哲5；.FH忙E.LQC；由TIO坤鼻農(nóng)匚丘55.F走-LQ&iTICW：}1pioraurE日<*tvallari-wl*p-ubldcList^'SicanREM^logetlq-atfi^G^u）--|<ry（returnraSer*vfcie-get&cdm^iesuLtii；咸口ncesT.^etOpP^ck出g離閭沖呂圭（>J|5eateh毘hw啊^氓電“綁酬電）（thrweHrrthrowFr&nSysiipaStrwrC}aI1由此，每當進行網(wǎng)絡信號狀態(tài)判時，由于調(diào)用了getConnectionlnfo的API接口，可能導致每次判斷網(wǎng)絡狀態(tài)時，都被照明彈功能記錄為“App調(diào)用地理位置”。而實際上，如果該功能可以進一步精細化判斷權限組和對應接口獲取參數(shù)的問題，可以在一定程度上緩解類似誤報情形。3?“照明彈”功能與App的適配及法律規(guī)制“照明彈”功能無疑為用戶提供了對應用軟件收集設備信息的直觀了解方式，對于用戶實現(xiàn)數(shù)據(jù)保護意識起到了積極的作用。因此這一功能是增強數(shù)據(jù)處理“透明度”的重要技術抓手，同時也是中國手機等終端設備廠商重視用戶隱私保護理念的技術落地方案。當然，從前文中我們也看到，由于技術條件所限“照明彈”功能可能還有很多不甚完善之處，其中還可能造成用戶的誤解甚至恐慌，也可能給App開發(fā)者帶來很大程度的輿情壓力。因此，為了保障“照明彈”這一隱私保護框架能夠促健康和可持續(xù)發(fā)展，需要形成廠商、應用開發(fā)者、行業(yè)監(jiān)管以及用戶的共同參與機制，進一步細化相關規(guī)則，避免徒增“隱私焦慮”，進而撕裂社會成員間的信賴利益，并且避免手機廠商落入“詆毀商業(yè)信譽”的法律風險之中。(1)細化照明彈功能對敏感API監(jiān)控的粒度將應用對敏感API調(diào)用的監(jiān)控粒度盡量細化，避免對所有涉及敏感API調(diào)用的事件進行統(tǒng)一忽略或統(tǒng)一拒絕。對于暫時難以做到細化的，需要在提示敏感功能被調(diào)用時，對可能造成的原因向用戶進行提示或說明，以避免對App的處理活動造成誤傷。通過攔截Binder信息監(jiān)控應用的方法，需要對訪問控制模塊中攔截的信息進行分析過濾，判斷傳遞的消息是否真正侵犯用戶權益。根據(jù)Binder信息傳遞機制，某些系統(tǒng)服務啟動、注冊等不會對用戶個人信息造成侵害的應用行為也會調(diào)起B(yǎng)inder機制，若將這些行為統(tǒng)一認定為侵犯用戶信息從而傳遞給用戶，將對應用開發(fā)者在用戶方面的信譽造成一定程度上的侵害。建立照明彈功能“沙盒測試”機制在照明彈新增功能正式上線測試前，為開發(fā)者(可以加白名單)提供測試環(huán)境以驗證相關監(jiān)控功能的準確率是否在容錯范圍之內(nèi)，避免新監(jiān)控功能上線后導致大規(guī)模非真實違規(guī)行為被錯誤認定。同時，這一機制也有助于應用開發(fā)者更好完善自身應用調(diào)用數(shù)據(jù)的規(guī)范性。在這一機制下，手機廠商有義務聽取并記錄應用開發(fā)者反饋意見，對于不采納的意見應當予以說明并記錄。應用開發(fā)者也有義務對于在測試中發(fā)現(xiàn)的不合理的調(diào)用權限、數(shù)據(jù)處理等行為進行修正。建立照明彈功能有效性評估標準對于照明彈透傳信息是否科學合理，可