隐形相机沦为教人偷拍的“流氓App”，安天移动安全已作全方位分析

当前,移动互联网应用程序(App)逐步渗透到衣、食、住、行等生活各个领域,隐私保护和个人信息安全成为社会关注的焦点性问题,如何保障用户隐私和权益也是监管部门和移动产业生态链企业关注的重要安全问题。

据多家媒体报道,近期一款名为“安全相机”的拍照软件存在安全隐患,一些功能有教唆他人偷拍之嫌,不仅迎合一些“偷窥狂”的恶趣味,还让App成了“偷窥狂”的“帮凶”。安天移动安全风险检测预警平台对该类带有“伪装功能”的App进行了拓线分析。

安天移动安全风险检测预警平台通过对该类应用进行“隐私检测”发现,相比正常的拍照应用,该类应用不仅提供伪装的应用图标和黑屏拍摄功能,还支持隐藏录像、拍摄录音等,隐蔽性极强。

本文主要分析此类应用图标伪装、黑屏拍摄及伪装拍摄三大主要功能的实现逻辑。

相关分析

01伪装图标

伪装图标是指应用提供多个与相机无关的图标和程序名,常见的有浏览器、计算器和便签,还有些应用提供指南针。在隐形相机App中,该应用提供浏览器、计算器和便签等多个应用图标和程序名,用户可以选择任意一个替换默认图标和程序名。

该应用在Androidmainfest.xml文件中声明多个activity-alias,此时组件属性enabled为false,该属性表示在用户没有选择伪装时不会显示这几个图标和App别名。

用户点击“图标伪装”后调起LogoCamouflageActivity监听onClick事件,用户选择不同的图标时先将h设置为不同的值,再跳转到方法d实现图标的更换。

d方法根据用户选择使用浏览器、计算器、便签等图标。通过调用setComponentEnabledSetting方法实现图标的隐藏和展示。

02隐藏拍摄、录音、录像

App“隐藏拍摄”通过使用纯黑色的界面覆盖正常的拍摄界面,伪装成手机黑屏的样子,以隐形相机App隐藏拍摄功能为例,其实现方式如下:

在实际操作中,用户首页选择隐藏拍摄,进入拍摄界面。在拍摄界面点击隐藏后,手机屏幕全黑,最终实现顶部状态栏和拍摄状态隐藏。

用户点击伪装相机时,调起CameraActivity,监听OnClick事件,当监听到用户点击“隐藏”后,跳转到CameraPresenter类中的g方法,g方法中将一个id为fl_hidden的帧布局设为可见。

在activity_camera.xml中找到fl_hidden这个帧布局的属性。注意到属性background为@color/c_000000,即该帧布局为纯黑色,属性layout_width和layout_height均为match_parent,即该帧布局大小为全屏最大化。

监听音量键按键事件,根据操作提示,按下音量键下键,会拍照,即监听到音量下降可以调用摄像头拍照。

03拍照伪装

拍照伪装功能通过在拍照时置顶伪装界面,从而隐藏拍照行为。安天移动安全风险检测预警平台发现,该类App一般选择伪装成浏览器、计算器或者便签界面。

用户选择伪装相机功能后,进入伪装选择界面,选择即将伪装的样式。以伪装成浏览器为例,应用会访问百度搜索页面,按下主页键图标即可进行拍照。

用户点击“伪装选择”后调起CamouflageOptionsActivity界面监听onClick事件,根据用户选择调用指定页面,如下为启用浏览器伪装界面。启动BrowserActivity时,会在onCreate中调用g方法打开相机,同时调用方法a拉起伪装webview视图展示百度搜索界面。

安天移动安全注意到,该类App不仅出现在安卓设备上,在iOS端也有此类应用。对比分析发现,该类应用在iOS端与安卓端功能相似,不同点在于iOS端针对文件存储做了加密,修改了存储路径,还提供阅后即焚功能,偷拍行为的隐蔽性更强。

安天移动安全风险检测预警平台发现,此类App在各大应用市场的累计下载量超过三百万,尽管文中提到的几款App均已被下架,但背后暴露出的问题应引起足够的重视,移动生态良性有序发展离不开行业相关规范、标准的引导,以及海量发现、关口前移的技术手段进行约束。

除此类“安全相机”带来的个人隐私安全威胁外,在商业利益的驱动下,个人信息被不当收集、恶意篡改、非法使用的事件也常有发生,甚至催生出了包含公民隐私在内的各类个人信息的肆意采集和地下交易的灰色产业。个人隐私安全已经成为社会关注的焦点性问题,如何保障用户权益不受侵害以及个人隐私安全也是监管部门重点关注的问题。

为了保障用户权益和个人隐私安全,同时帮助广大开发者更好地理解用户权益保障规范,在开发过程中实现自助合规整改,力求快速达到合规要求,安天移动安全风险检测预警平台近期上线了“App用户权益保障合规检测”服务(查看文章),在开放开发者信誉查询服务且广受好评之后,再次免费开放隐私检测服务,其他服务后续将陆续开放。

免责声明：市场有风险，选择需谨慎！此文仅供参考，不作买卖依据。