电子取证反向思维 防御手机APP偷窃破案机密的2个高招

xlysoft

【文章来源：效率源科技（微信号）】微信号：xiaolvyuantec

编者按：本期，数据恢复四川省重点实验室科研人员重点介绍Android手机在“未Root”和“Root”情况下防御恶意APP窃密的2种方法，引导学会在关键时刻有效应用手机软件的权限按钮来保护手机机密。在各类取证实战中，可助力一线人员有效防御恶意APP偷窃公务手机的破案机密，保护案件信息安全。

       在手机取证实战中，提取手机APP数据已经成为一种常规的取证手段，可以快速获取关键线索。但随着对各类APP特性的深入了解，取证人员也意识到一个严重问题，在广泛使用手机进行工作、业务交流以及公务汇报过程中，破案信息会不会也被一些恶意的手机APP给隐秘搜集，从而导致破案信息泄密呢？

一、恶意“眼光”瞄准手机用户

       手机是当前市场占有率最高的智能终端设备。由于使用人数众多，不少商家和互联网内容提供商就把目光投向了手机用户。与此同时，另一种“眼光”也瞄向了这类手机使用人群，比如黑客和恶意软件。可能在我们正常使用手机的时候，手机信息已经悄悄地、源源不断地流向了不法分子的手中。

       他们是怎么入侵到我们的手机里？我们该怎么保护手机信息安全？公务人员、科研人员或业界精英的手机记录了大量重要的国家机密相关信息该怎么办？ 取证人员的手机可能涉及诸多与重大案件的重要线索相关的信息又该怎么办？

二、2种有效的方法

       在长期从事手机电子取证、数据提取、数据恢复技术研究过程中，科研人员（数据恢复四川省重点实验室）发现，在关键时刻有效应用一些手机软件的权限按钮，就能有效防御恶意APP偷窃手机机密。当然，前提是用户必须要知道这些软件的名称、功能、使用技巧等。科研人员以生活中最常见、使用最频繁的Android手机作为切入点，介绍2种有效防止恶意手机APP窃密的方法。

1、只安装来源可信、没有申请非必须权限的APP

       通常情况下，要对个人手机用户信息进行窃取，主要是通过在手机上安装APP完成。

        Android系统为APP提供了很多读取本机信息、调用摄像头以及读取本机存储数据的权限和方法，APP开发者可根据自己的实际需求对权限进行选择。

1.1 鉴别APP的申请权限

       要有效防止这种情况的发生，就要求用户在安装应用APP的时候，一定要对应用申请的权限进行人工鉴别。例如：正常情况下，一款音乐播放软件必须的权限应该有“读写手机存储”和“连接互联网”。但如果发现权限列表中还多出了“读取短信”、“访问通信录”等功能，用户就该小心了，一定要谨慎点击“下一步”。

1.2 从正规途径下载APP

        当然，最简单有效的方式，是尽量从知名的应用平台下载APP并安装，比如appchina、91助手、安卓市场、机锋市场、安智市场、360手机助手、应用宝、小米开放平台、豌豆荚、乐商店UC+、华为开发者联盟等，这些应用商店更正规，对APP的审核上比较严格，平台本身也要接受相关部门的监督管理。用户尽量避免安装其他陌生途径获取到的APP，比如路边扫二码下载APP送礼品、不熟悉的陌生平台推荐的APP等。

       一句话：只安装来源可信、没有申请非必须权限的APP。

2、只安装熟悉的APP、并授予必备的权限

        但是！更危险一点的情况来了！

        前面讲到，Android系统通过权限管理来限制应用APP的操作，并在安装的时候提前告诉用户该应用APP申请了什么权限，用户可以根据需求筛选，掌握了“知情权”和“决定权”。但是，这是在Android系统的权限管理功能生效的情况下才适用的。当前存在一种能够绕开系统的权限管理功能，随意使用设备的方法，就是通常所说的Root。

       Root本身是指Android底层系统的最高权限，它可以允许或禁止任何程序做或不做一件事。一旦手机进行了Root权限获取，那就意味着Android系统本身的权限管理功能基本失效。应用APP可以在不申请短信读取、手机存储读取等权限的情况下，依然获取到这些信息。

        现在很多人将银行卡或其他重要账户绑定在手机号上。当在进行付款或其他敏感操作的时候，通常会通过短信验证码形式验证用户身份。这里就有一个让人细思极恐的事实：恶意APP可以在后台主动发送短信给其他用户或平台、可以实时截取你的短信、甚至可以在恶意程序启动后直接在后台开启支付或购买虚拟服务等流程。可以想象一下，还有什么是恶意软件在获取到Root权限后不能做的。

2.1 使用Root权限管理软件

      看到Root会泄密，不禁让人毛骨悚然，但是不是就要因噎废食，完全杜绝Root呢？

2.2 卸载不熟悉的应用APP

       如果有必要，还需要对不熟悉的应用APP进行卸载。卸载方式有很多种，可根据实际情况选择。比如界面直接点击图标放进“垃圾桶”图标中，或者是“程序管理器”卸载。当然，也可以利用手机管家、360手机助手等安全软件的“软件卸载”功能，还可以利用Root工具的“程序管理”功能卸载。

         一句话总结：只安装自己熟悉的应用APP、并授予有限的必备的权限。

编后语：本期，数据恢复四川省重点实验室科研人员主要讲解了Android手机（未Root、Root）防御恶意APP窃密的2种方法，虽然不是自主研发，但确实是在长期研究中获得的宝贵经验，简单、实用、有效。为让APP取证技术更强大，科研人员对市面上主流APP和手机品牌都进行了反复研究、实验，成功研发了一系列专利技术，比如手机音频文件恢复提取、智能手机定位痕迹快速提取、SQLite数据库文件恢复提取以及手机APP脚本插件开发技术等，这些技术已经在效率源SPF9139智能手机数据恢复取证系统和MTF手机可视化行踪取证系统等手机取证工具得到实战考验，可为公检法系统提供较好的取证服务。在《技术视界》前11期中，对这些技术均有详细介绍，感兴趣的读者，欢迎一同探讨。