基于Android移動客戶端的互聯網數據安全實證研究

何昱晨　石文昌

摘要：基于Android移動客戶端為研究平臺，選取一種云為研究對象，對用戶通過云Android客戶端訪問云端數據時在客戶端留下的痕跡進行了研究；研究結果表明，在手機上存在訪問云端數據的痕跡，從這些痕跡中能夠提取與用戶以及云相關的元信息，并且能從中推斷部分用戶行為。

關鍵詞： 云數據安全；移動客戶端；安卓；訪問行為；痕跡

隨著通信技術的不斷發(fā)展和移動通信設備的不斷革新，以智能手機為代表的移動設備已逐漸成為人們日常生活中不可或缺的重要組成。文獻[1]對2014年手機互聯網使用情況進行的總結，使用手機上網人群的比重已達到85.8%，手機超過PC成為收看網絡視頻的第一終端。移動互聯網的應用與日俱增，在人們日常生活中扮演著重要作用，由此應運而生的便是人們對移動互聯網數據安全的擔憂。相關研究表明，移動設備面臨的最大威脅來自以軟件為中心實施的攻擊，而其中很大一部分都是利用了瀏覽器漏洞[2-4]。使用智能手機等移動客戶端訪問互聯網將會對互聯網數據安全產生怎樣的影響已成為一個亟待回答的問題。

1 問題及其研究方法

1.1 問題描述

云存儲是得到廣泛運用的互聯網應用之一，它將數據存儲能力作為一種服務提供給使用者，是一種重要的云計算服務，用戶可以通過智能手機等移動客戶端方便地使用該服務。而云存儲的安全性[5-6]在一定程度上制約著云存儲的發(fā)展，因此眾多研究者將目光聚焦到云存儲安全上。人們在享受互聯網數據存儲便利的同時也擔憂互聯網數據的安全性，那么，智能手機等移動客戶端本身是否也會給互聯網數據安全帶來影響呢？這是本文關心的問題。

在常見的智能手機中，Android操作系統占有較大的市場份額。據IDC發(fā)布的2014年智能手機出貨量數據，采用Android和iOS為操作系統的智能手機占96.3%，其中Android手機為81.5%[7]。因此，本文以Android移動客戶端作為研究平臺，選取中國實用的一種云為研究對象，研究Android移動客戶端的訪問行為對云端數據安全可能造成的影響。

本文采用Android移動客戶端去訪問存儲在云端的數據，分析、判斷客戶端是否會留存與云端數據相關的信息，目的是回答以下問題，第一，客戶端是否會留存反映云端狀況的相關信息，如果有，在哪些位置能夠找到這些信息；第二，使用者對云端數據不同的操作是否會對留下的信息產生影響；第三，不同的文件類型是否會留下不同的信息；第四，在使用Android客戶端訪問云端數據之后，客戶端的狀態(tài)是否會對信息產生影響；第五，這些信息中是否包含元信息，如果有，能了解云相關的哪些元信息，是否可能包含敏感信息；第六，從留下的信息中能否反向推斷出使用者的行為。

1.2 Android系統存儲結構

本文針對Android智能手機開展研究。Android手機往往擁有以下3種存儲介質，容量很小的易失性存儲器（RAM）、內部存儲器（NAND-flash）和外部可插拔的SD卡[8]，還有部分Android手機有一個模擬的SD卡，物理上是內部存儲器，邏輯上是外部存儲器，即SD卡。內部存儲器上儲存著所有重要的系統數據以及用戶安裝的應用程序的系統數據。

用戶在安裝應用程序的時候可以選擇將應用程序安裝到本地或者SD卡上，而與用戶應用程序相關的數據通常會存儲在內部存儲器和外部SD卡上。在內部存儲器上，應用程序相關的數據會被存儲到/data/data/<應用程序包名>的文件夾下[9]，并且在該文件夾下也有一些通用的子文件夾：lib存儲庫文件，databases存儲SQLite數據庫文件及數據庫日志，shared_prefs存儲配置信息，cache存儲緩存數據，而files存儲應用程序私有文件。在外部存儲器上，應用程序數據存儲位置并未統一，但是常見是以應用程序包名為名稱的文件夾。

1.3提取信息的方法

本文選取中國實用的一種云為研究對象，用云的Android手機客戶端訪問云盤數據，通過分析手機內外部存儲器的信息來判斷用戶數據和用戶使用軌跡的安全性。因此在研究中就會涉及如何獲得手機內部存儲器和外部存儲器的數據。

獲得外部存儲器的方法較為簡單，以手機HTC Sensation X315e為例，只需將手機通過數據線連接到電腦上，在手機上選擇打開USB存儲，手機的SD卡就會被當作電腦的移動設備，可容易獲得SD卡中的數據。還有部分手機的外部存儲器是模擬的SD卡，當用數據線連接在電腦上時，這個模擬的外部設備會直接被當作媒體設備，無需在手機上執(zhí)行任何操作便可以在電腦上訪問手機的外部存儲器，如Samsung SM-N900。

獲得內部存儲器中的數據可以通過adb pull命令將文件從手機內部存儲器導出到電腦上，或者用dd命令得到鏡像，再對鏡像進行分析得到內部存儲器中的數據。

1.3.1 用adb pull命令導出文件

在Android中，可以使用adb pull命令能將內部存儲器中的文件導出到電腦。要獲取Android應用程序相關的文件，就需要訪問/data/data文件夾下的內容，而只有root用戶才能訪問該文件夾下的內容，因此在實驗中需要獲得root權限，當非root用戶試圖訪問/data/data文件夾下的內容時會提示權限不足。

1.3.2 用dd命令制作鏡像

鏡像可分為單一分區(qū)鏡像和整個內部存儲器鏡像，分別為分區(qū)和整個內部存儲器的逐位拷貝。單一分區(qū)鏡像能夠獲得分區(qū)中所有文件的內容、元數據以及被刪除文件的信息，而整個內部存儲器鏡像還能獲得分區(qū)之間和分區(qū)之外的數據[10]。

使用dd命令可以獲得鏡像，例如：dd if = /dev/block/mmcblk0p29 of = /sdcard/ddimg，if后是待拷貝分區(qū)，of后是輸出路徑。上述命令的意義是將/dev/block/mmcblk0p29設備文件復制到SD卡上，文件名稱為ddimg。而分區(qū)被掛載的位置可以通過mount命令查看。

2 實驗方法設計

本文在設計實驗時借鑒了Grispos等人在云存儲數據取證方面的實驗思路[11]，使用手機客戶端對云端數據進行不同操作，判斷云端數據是否會在手機上留下痕跡，如果有，進而分析不同的操作類型、手機及云存儲服務手機客戶端不同的狀態(tài)是否會對痕跡產生影響。

實驗的基本思想是：使用電腦將不同類型的文件上傳至云盤，通過Android客戶端對云盤中的文件進行不同操作。重復多次上述對文件的操作，每次對應著手機或云不同的狀態(tài)。針對每次實驗，分析內外部存儲器上的文件，判斷是否有云端痕跡殘留在手機上。下面將分別從選取哪些類型的文件、對文件執(zhí)行怎樣的操作以及如何獲得手機存儲器的信息等方面對實驗進行闡述。

2.1 文件類型的選取

云存儲相當于一個遠程的存儲設備，因此用戶往往在云盤上存儲著常用的文檔文件和較占本地空間的多媒體文件。故而，在本文選取常見的文檔格式docx、pdf、txt，常見的圖片格式png、gif、jpg、bmp、psd（PhotoShop專用格式），常見的音樂格式mp3、wma，常見的視頻格式mp4、mov、flv、rmvb作為實驗文件格式。其中flv是常見的在線視頻文件格式，云存儲不僅是一個遠程存儲設備還是一個在線存儲設備，用戶也可以使用它在線瀏覽視頻。

2.2 對數據操作的分類

Grispos等人在使用云存儲手機客戶端訪問云端數據時，將對數據的操作分為4種：在線瀏覽、在線瀏覽并下載、不執(zhí)行任何操作、在線瀏覽并刪除云端文件[11]。本文同樣需要對同一類型的文件執(zhí)行不同的操作，因此借鑒Grispos的思路將同一類型的文件上傳4個，在云存儲手機客戶端上對同一類型的4個文件分別執(zhí)行上述的4種操作。

手機本身包括兩種狀態(tài)，一種是開機狀態(tài)，一種是關機狀態(tài)，與本研究相關的還有兩種與云存儲服務相關的狀態(tài)是注銷用戶和清除應用緩存。大多數需要登錄的應用程序只有在用戶主動注銷用戶的時候才會執(zhí)行注銷用戶的操作，該操作可能會影響賬戶相關信息。而清除應用緩存則類似將應用恢復至剛安裝時的狀態(tài)，對應用程序的信息也會產生一定影響。因此本文將分析在實驗結束之后保持手機開機、將手機關機之后再開機、云盤注銷用戶（退出登錄）、云盤清除應用緩存這4種狀態(tài)。

2.3 獲得手機存儲器數據的方式

在分析內部存儲器時，選擇分析鏡像的方法。通過adb pull導出的文件只包含文件的內容，不包括文件的元信息，同時也不包含被刪除的文件的信息。然而文件的元信息和被刪除文件的信息都是研究中期望獲得的。本文只關注與云存儲手機客戶端相關的數據，因此只需要制作/data所在磁盤分區(qū)的鏡像即可。在分析SD卡的數據的時候，將手機通過數據線連接到電腦上，并選擇打開USB存儲，直接在電腦上分析文件。

分析過程如下：首先使用dd命令制作/data分區(qū)的鏡像，再將鏡像導出至電腦上，使用取證大師對獲得的鏡像進行分析，分析/data/data/文件夾下的子文件，再將它們導出到電腦上，使用SQLite Development對其中的SQLite數據庫文件進行分析，用Notepad++對文本文件進行分析，用UltraEdit對二進制文件進行分析。

3 實驗及結果分析

3.1 詳細實驗流程

大致的實驗流程如圖1所示。第一，在電腦上將文件上傳到某云盤；第二，為手機獲得root權限，將其恢復到出廠設置，打開“允許安裝未知來源的應用程序”和“USB調試”選項；并在手機上安裝云apk；第三，登錄某云盤手機客戶端，對文件相應操作，如表1所示；第四，保持手機和云盤在以下狀態(tài)之一：保持手機開機、手機關機再開機、保持手機開機且云盤退出登錄、保持手機開機且云盤清除數據、手機關機再開機且云盤清除數據；第五，制作手機data分區(qū)鏡像，對SD卡上的文件和鏡像進行分析。

3.2 實驗環(huán)境

實驗電腦為Dell，采用Win7專業(yè)版32位，CPU為Intel i5，其他輔助工具及版本如下：adb v1.0.31、取證大師v3.3、SQLite Development v4.0、NotePad++ v6.5、UltraEdit v21.20。

3.3 外部存儲器結果

3.3.1 HTC手機實驗結果

通過分析SD卡上以云應用程序包名命名的文件夾，能夠得到如下結論：第一，所有文件類型都能夠在SD卡上被發(fā)現；第二，文件類型會對能否在SD卡上發(fā)現文件產生影響。文檔和音樂文件都是只要在線瀏覽便能在SD卡上找到文件；對于圖片文件，psd類型的文件只要在線瀏覽便能在SD卡上找到，而bmp、gif、jpg、png類型的只有在線瀏覽并下載才能在SD卡上發(fā)現；只有在線瀏覽并下載的視頻文件才能在SD卡上找到；第三，對文件執(zhí)行的不同操作會對能否在SD卡上發(fā)現文件產生影響。所有執(zhí)行在線瀏覽并下載的文件均能在SD卡找到；所有不執(zhí)行任何操作的文件均不會出現在SD卡上；第四，手機或者XX云的狀態(tài)不會對SD卡上存儲的文件造成影響。由于篇幅所限，在這里只列出視頻文件在SD上的結果，如表1所示。

3.3.2 Samsung手機實驗結果

在Samsung手機上進行實驗的結果大多數都與HTC手機上的相同，下面只列出不同的結果：第一，MOV類型的文件不會出現在SD卡上，即使該類型的文件被執(zhí)行了下載的操作；第二，與HTC手機不同，在線瀏覽的psd類型文件不會出現在SD卡上。

3.4 內部存儲器結果

3.4.1 HTC Sensation X315e實驗結果

當手機在實驗中保持開機時發(fā)現：cache文件夾下的uil-images文件夾中存儲著緩存圖片和視頻的縮略圖；files中的imei.dat文件中存儲著手機的imei號。通過分析databases文件夾的數據庫文件能夠得到如下數據：filelist.db能夠得到云盤緩存文件的詳細信息；account.db能夠得到用戶詳細信息；yidisk.db能夠得到下載任務的詳細情況。shared_prefs文件夾下的配置文件中包含云相關數據：當前是否在Wi-fi環(huán)境下上傳和下載，是否自動備份照片和視頻，云盤中是否存儲圖片，當前ip地址，最后登錄的用戶名及用戶名類型。

而當手機和云盤保持不同狀態(tài)時，本文發(fā)現，手機關機對cache、databases、shared_prefs文件夾中數據無影響；注銷用戶會導致cache文件夾內容被刪除且不可恢復，對databases和shared_prefs文件夾無影響；而清除緩存則會刪除這3個文件夾內容且不可恢復。

3.4.2 Samsung SM-N900實驗結果

當手機在實驗中保持開機時，從databases文件夾中能夠得到更多信息：cloudp2p.db能夠得到用戶黑名單，好友信息，用戶所參與的對話和群組的相關信息；account.db依舊能夠得到用戶信息；filelist.db能夠得到云盤緩存文件詳情，下載文件詳情，用戶分享動態(tài)相關信息，以及按瀏覽順序存儲的在線播放視頻文件的詳情。

而當手機和云盤保持不同狀態(tài)時，本文發(fā)現手機關機會使databases和files文件夾增加與設備相關的文件，而對shared_prefs無影響；而注銷用戶對這3個文件夾數據幾乎沒有影響；清除緩存不會刪除全部數據。databases中還有account.db，advertise.db等4個數據庫文件；files中還保存著云登錄時的html文件；shared_prefs中還能夠發(fā)現用戶ip地址。

3.4.3 Samsung SM-G9008V實驗結果

Samsung SM-G9008V實驗結果與SM_N900幾乎沒有差別，見3.4.2，只是在云盤清除緩存的情況下除了lib的所有文件都被刪除了。

4 結束語

本文從客戶端和服務器相結合的角度探究互聯網數據安全的問題，國際上也有類似的研究。Grispos G等人研究智能手機是否能夠成為云存儲取證的代理[11]，本文更關注數據訪問痕跡的檢測與分析。GAl Mutawa N等人以社交軟件為研究對象，在手機上執(zhí)行預定義的活動集合，借助手機的備份，通過人工分析探討是否能從中發(fā)現與預定義活動集相關的信息[12]，而本文借助于鏡像，通過分析元數據和刪除文件信息來研究Android移動客戶端上的用戶行為對互聯網數據安全可能帶來的影響。

本文以Android手機客戶端訪問云盤中的數據為場景，檢測從手機上能否發(fā)現涉及云端數據安全的行為軌跡。實驗研究表明，手機上留存有云端數據的訪問痕跡，從這些痕跡中能夠提取云端及用戶相關的元信息，同時，借助殘留信息能在一定程度上反向推測用戶的行為，這對云端數據的安全性具有一定的負面影響，是互聯網數據安全的一種隱患。可見，移動客戶端給移動互聯網的數據安全帶來了新的挑戰(zhàn)，值得業(yè)界重視，并采取有效措施應對相應的挑戰(zhàn)。

參考文獻

[1] 第35次中國互聯網絡發(fā)展狀況統計報告 [EB/OL]. [2015-03-08]. http：//www.cnnic.net.cn/hlwfzyj/hlwxzbg/hlwtjbg/201502/t20150203_51634.htm

[2] BECHER M， FREILING F C， HOFFMANN J， et al. Mobile security catching up？ revealing the nuts and bolts of the security of mobile devices [C]//Proceedings of the Security and Privacy （SP）， 2011 IEEE Symposium on. IEEE， 2011： 96-111

[3] DWIVEDI H. Mobile application security [M]. Tata McGraw-Hill Education， 2010

[4] CHAOUCHI H， LAURENT-MAKNAVICIUS M. Wireless and Mobile Networks Security [M]. Wiley-ISTE， October， 2009

[5] WANG C， WANG Q， REN K， et al. Privacy-preserving public auditing for data storage security in cloud computing [C]//Proceedings of the INFOCOM， 2010：1-9

[6] WEI L， ZHU H， CAO Z， et al. Security and privacy for storage and computation in cloud computing [J]. Information Sciences， 2014， 258（4）： 371-386

[7] IDC：2014年Android市場份額81.5% iOS份額下降 [EB/OL]. [2015-03-08]. http：//tech.163.com/15/0225/07/AJ9HL4H7000915BD.html

[8] KIM H， AGRAWAL N， UNGUREANU C. Revisiting storage for smartphones [J]. ACM Transactions on Storage （TOS）， 2012， 8（4）： 14-18

[9] HOOG A. Android forensics： investigation， analysis and mobile security for Google Android [M]. Elsevier， 2011

[10] FARMER D， VENEMA W. Forensic discovery [M]. Upper Saddle River： Addison-Wesley， 2005

[11] GRISPOS G， GLISSON W B， STORER T. Using smartphones as a proxy for forensic evidence contained in cloud storage services [C]//Proceedings of the System Sciences （HICSS）， 2013 46th Hawaii International Conference on. IEEE， 2013： 4910-4919

[12] MUTAWA N， BAGGILI I， MARRINGTON A. Forensic analysis of social networking applications on mobile devices [J]. Digital Investigation， 2012， 9（S）：24-33