15320004362

从权限角度看滴滴处罚事件

日期:2022-08-10 19:53:25 访问:1372 作者:必火安全学院
从权限角度看滴滴处罚事件
必火网络安全学院,实打实的为就业而生,为年薪30W而战!
五个月零基础到精通,从网络协议路由到系统安全、从代码编程PHP、python到代码审计SRC漏洞挖掘、从脚本安全到CTF全面解析。
网络信息安全攻防培训,必火质量第一,实至名归。全天上课,包高薪就业。
第19期网络安全就业班:2023年07月19日 开班地点:天津
第20期网络安全就业班:2023年08月28日 开班地点:北京
CISP/CISSP/CISP-PTE/CISA/CISW...网络安全证书认证
从权限角度看滴滴处罚事件


1、事件概况

2022年7月21日,据新闻报道,经查实,滴滴全球股份有限公司违反《网络安全法》《数据安全法》《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣。依据《行政处罚法》等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。



新闻中还提到滴滴公司的违法违规行为,主要存在16项违法事实,归纳起来是8个方面:

1、违法收集用户手机相册中的截图信息1196.39万条;

2、过度收集用户剪切板信息、应用列表信息83.23亿条;

3、过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;

4、过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条;

5、过度收集司机学历信息14.29万条,以明文形式存储司机身份信息5780.26万条;

6、在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条;

7、在乘客使用顺风车服务时频繁索取无关的“电话权限”;

8、未准确、清晰说明用户设备信息等19项个人信息处理目的。



 



2、滴滴事情始末

2021年6月30日,滴滴出行成为国内网约车在美上市第一股。

2021年7月2日,国家网信办官网发布公告,对滴滴出行启动网络安全审查。由于其存在严重违法违规收集使用个人信息问题,25款滴滴旗下APP下架整改,新用户无法再注册。

2022年6月2日,据滴滴官网文件显示,其已于6月2日正式递交了退市申请。

2022年6月10日,成为滴滴(DIDI)在纽交所的最后一个交易日,完成退市。

2022年7月21日,滴滴收到网信办处罚。

滴滴存在严重影响国家安全的数据处理活动,违法违规的运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患,因此才予以重罚。滴滴也态度诚恳地正面回应了此次事件。



 



3、权限研究

在违法违规的描述中提到,滴滴有违规收集用户手机相册中的截图、收集用户剪切板信息、应用列表、收集精准位置(经纬度)、电话权限等行为,让作者对这款app中到底开了什么权限表示好奇,于是在互联网上下载了3款滴滴出行的app,分别是:

1、滴滴出行

版本:6.0.18

包名:com.sdu.didi.psnger_6.0.18_1209.apk

发布时间:2021-01-25

2、滴滴出行

版本:6.2.4

包名:com.sdu.didi.psnger_V6.2.4.apk

发布时间:2021-07-09

3、DiDi-Rider(google play版)

版本:7.2.58

包名:com-didiglobal-passenger-1865-59564642-265b4f061b6487f8a37abaa6803ab04a.apk

发布时间:2022-7-12

由于国内在7月4日之后就下架了所有滴滴出行相关的软件,只能在第三方平台上找其他人上传的软件,而国外的滴滴出行则没有受到影响,曾在7月12日才更新过。







针对这三个版本,首先看看新闻中提到的违规收集数据的权限开了哪些(资源文件中的AndroidManifest):

收集用户手机相册中的截图信息对应的权限







收集用户剪切板信息对应的权限







Android读取已安装应用列表不需要申请权限。

收集精准位置(经纬度)对应的权限







收集电话权限(包括通讯录权限和电话状态)







新闻中提到的可能违规的权限均能在app中找到,除了常规收集的设备手机号码、MAC、IMEI等信息,还开了蓝牙、网络状态、wifi状态等权限,这些权限都是可以结合使用,让用户的定位更加准确;据谷歌称,经纬度信息,结合wifi信息和蓝牙信息,可以将手机的位置精确定位到10米以内。







作者还查了一下该app外联的域名,国内的两款没有向境外传输数据的情况,否则对我国数据安全的影响将更加巨大,处罚也会更加严重。

其实还有很多日常使用率较高的app也有这种情况出现,打开很多功能根本用不到的权限,各种违规收集和利用个人隐私信息,可以以上面提到的这些比较敏感的权限为特征进行检测和自查,如果隐私保护策略中没有提到需要某功能,却开放了此权限,其目的是十分可疑的。







 



4、其他可疑app

除了滴滴这种大众经常使用的app在收集用户个人隐私数据外,还有很多非常“特别的”获取个人信息的途径:

例如此前外媒报道过的一家美国公司,借激励计划的名头,通过向开发人员付费,以将其SDK代码整合到开发者的应用程序中,此SDK则是带有收集用户敏感数据的功能,并且据报道,国内是有用户在使用这些嵌入了违规SDK的app的。这种情况比滴滴的行为还要恶劣,因为他们会将数据出售给美国政府机构,更加严重地危害到我国数据安全。

再例如,作者发现了一篇标题名为《如何通过下载这4个应用程序一年赚取395美元》的文章,这些应用程序会收集用户个人数据并自称用于市场调研,会给安装此app的用户每年提供一定的报酬。他们是否有将数据出售给美国政府还未可知,但是他们收集用户数据的行为确实是板上钉钉的,并且通过某些渠道,作者发现这些app也是有部分国内用户在使用的。








最后,据报道,在被罚款、整改后,滴滴有望重新上架,接受新用户注册。



















美国财政部禁止公民使用链上混币器TornadoCash 加密行业对此纷纷作出反应



1、deBridge Finance平台遭Lazarus黑客组织攻击

黑客向deBridge Finance员工发送了一封钓鱼邮件,附上伪装成PDF的网页文件和伪装成纯文本的快捷方式,试图部署后门。



很多员工收到了这份邮件,大部分还是比较警觉并报告了可疑邮件,一名员工不慎下载打开了文件,导致电脑被感染,不过这也让安全部门第一时间介入。目前还不清楚背后的黑客最终目的为何,但安全研究员认为肯定是Lazarus所为,这次监测到的基础设施和之前Lazarus所使用的有重叠。Lazarus之前就专注于加密货币的窃取和转移,这次盯上deBridge Finance大概也是同样的理由,意图后续通过它在各个区块链之间转移非法所得。[阅读原文]







 



2、黑客入侵电子邮件营销公司窃取邮件列表

黑客在8月3日成功入侵电子邮件营销公司Klaviyo,拿到不少加密货币相关的账号信息,并试图利用它实施进一步攻击。



黑客窃取的信息包括这部分账号的姓名、地址、邮件和电话,用来进行钓鱼攻击再好不过,而且他们行动非常快,如今已有利用迹象。Klaviyo确认数据泄露后对事件进行了披露,通知执法部门,并与第三方网络安全公司合作进行事件调查和分析。[阅读原文]







 



3、Twilio披露数据泄露事件 起因是员工误入短信钓鱼陷阱

云通信公司Twilio披露数据泄露事件,一部分用户数据被黑客窃取。



调查后发现,最开始是部分员工遭短信钓鱼攻击,黑客拿到员工账号密码后,以此当跳板又获取部分用户的敏感信息。安全研究员分析后得知,黑客冒充公司IT部门,谎称密码已过期,骗员工访问钓鱼页面修改密码,达成目的。但官方并未透露诸如受影响用户数量、受影响员工数量等数据,需要等一手提交给政府的调查报告。



虽然并没公布数量,但官方承诺已向受影响用户发送安全警告,希望收到消息的及时确认修改密码。[阅读原文]







 



4、美国财政部禁止公民使用链上混币器TornadoCash 加密行业对此纷纷作出反应

美国财政部周一宣布,禁止所有美国人使用去中心化加密货币混合服务 Tornado Cash,财政部负责防止违反制裁的监管机构外国资产控制办公室 (OFAC) 将 Tornado Cash 添加到其特别指定国民名单(Specially Designated Nationals list)中,该名单旨在统计所有受制裁人员、实体和加密货币地址。因此,所有美国个人和实体都被禁止与 Tornado Cash 或与该协议相关的任何以太坊钱包地址进行交互。对故意不遵守规定的处罚从5万美元到1000万美元不等,以及10年到30年监禁。



针对这一最新制裁,加密行业纷纷作出反应。根据加密数据聚合商 Dune Analytics 的数据,周一,USD Coin稳定币 (USDC) 的发行商 Circle 冻结了与44 个 Tornado Cash 地址相关的价值超过 75,000 USDC 的资金。



USDC 和 Tether 背后的实体都可以在以太坊智能合约级别冻结他们与 Tornado Cash 之间的稳定币转账。与此同时,位于加利福尼亚州帕洛阿尔托的 BitGo 理论上也需要限制对 Tornado Cash 的访问以遵守此类制裁。一种可能的方法是暂停赎回与Tornado-Cash挂钩的wBTC。



正如 DeFi 教育家@BowTiedIguana 所说,新的 Tornado Cash 制裁措施针对美国个人和实体。简单的互动,例如 Gitcoin 捐赠、为该项目工作、运行或下载其软件、访问其网站以及从智能合约中存入/取款,都可能被解释为违规行为。



Tornado Cash 的联合创始人之一 Roman Semenov 报告称,他在开发者平台 GitHub 的账户被暂停。



在周一的一条推文中,Semenov 表示,尽管没有被单独点名,但他似乎正面临政府部门指控 Tornado Cash 清洗了价值超过70亿美元的加密货币的影响。



根据联邦金融机构审查委员会和外国资产控制办公室的联合声明,被禁止的交易可能被解释为包括“从受制裁的实体下载软件补丁”。



Semenov 称,暂停他的账户的举动“有点不合逻辑”。



然而,美国财政部负责恐怖主义和金融情报的副部长布赖恩·纳尔逊表示,美国居民实际上已经被禁止使用这种加密货币混合器,因为它被指“未能实施有效的控制措施,旨在阻止它定期为恶意网络行为者洗钱,并且没有基本措施来应对其风险”。



加密倡导者对这一举措感到不满。Coin Center执行董事Jerry Brito在接受《财富》杂志采访时表示,这项制裁剥夺了美国人“宪法赋予的匿名权”。



Jerry Brito称:“受到制裁的不是某个特定的不良行为者,而是所有希望在网上交易时使用这一自动化工具以保护自己隐私的美国人,他们的自由受到了限制。”



区块链协会政策负责人Jake Chervinsky声称,美国财政部在惩罚不良行为者可能使用的工具和技术之间的决定中可能“越界”了。



Tornado Cash 是一种加密混合器,可用于隐藏交易轨迹。该协议是去中心化金融中一些重大黑客攻击和利用的中心,包括 2 月对 Wormhole 的 3.75 亿美元攻击和 6 月对 Horizon Bridge 的 1 亿美元黑客攻击。



今年 5 月,美财政部制裁了另一家代币混合服务 Blender,理由是它涉嫌帮助朝鲜清洗从 Axie Infinity 窃取的部分资金。



Blender 和 Tornado Cash 以及网络黑客组织Lazarus Group 有关联,Lazarus Group迄今为止进行了最大的虚拟货币黑客攻击,Axie Infinity 近 6.2 亿美元被盗,大约 2050 万美元被用于 Blender 洗钱。



美国财政部官员在新闻发布会上表示,他们将继续监控混合器,并在需要时立即采取行动。