本期，数据恢复四川省重点实验室科研人员重点介绍Android手机在“未Root”和“Root”情况下防御恶意APP窃密的2种方法，引导学会在关键时刻有效应用手机软件的权限按钮来保护手机机密。在各类取证实战中，可助力一线人员有效防御恶意APP偷窃公务手机的破案机密，保护案件信息安全。

       在手机取证实战中，提取手机APP数据已经成为一种常规的取证手段，可以快速获取关键线索。但随着对各类APP特性的深入了解，取证人员也意识到一个严重问题，在广泛使用手机进行工作、业务交流以及公务汇报过程中，破案信息会不会也被一些恶意的手机APP给隐秘搜集，从而导致破案信息泄密呢？

       手机是当前市场占有率最高的智能终端设备。由于使用人数众多，不少商家和互联网内容提供商就把目光投向了手机用户。与此同时，另一种“眼光”也瞄向了这类手机使用人群，比如黑客和恶意软件。可能在我们正常使用手机的时候，手机信息已经悄悄地、源源不断地流向了不法分子的手中。

       他们是怎么入侵到我们的手机里？我们该怎么保护手机信息安全？公务人员、科研人员或业界精英的手机记录了大量重要的国家机密相关信息该怎么办？ 取证人员的手机可能涉及诸多与重大案件的重要线索相关的信息又该怎么办？

       在长期从事手机电子取证、数据提取、数据恢复技术研究过程中，科研人员（数据恢复四川省重点实验室）发现，在关键时刻有效应用一些手机软件的权限按钮，就能有效防御恶意APP偷窃手机机密。当然，前提是用户必须要知道这些软件的名称、功能、使用技巧等。科研人员以生活中最常见、使用最频繁的Android手机作为切入点，介绍2种有效防止恶意手机APP窃密的方法。

       通常情况下，要对个人手机用户信息进行窃取，主要是通过在手机上安装APP完成。

        Android系统为APP提供了很多读取本机信息、调用摄像头以及读取本机存储数据的权限和方法，APP开发者可根据自己的实际需求对权限进行选择。

        理论上，开发者选中的权限选项，如果手机用户在安装APP过程中允许调取，该应用APP就可以直接获取甚至删除到用户的通话记录、短信、通讯录、相册等，这其中就有可能包括国家资料、重要文件以及与案件侦破相关的素材等等。这种应用APP是通过系统提供的权限“合理合法”对用户的手机信息进行获取或者操作的。

【图1 某应用APP程序安装时申请的权限列表】

1.1 鉴别APP的申请权限

       要有效防止这种情况的发生，就要求用户在安装应用APP的时候，一定要对应用申请的权限进行人工鉴别。例如：正常情况下，一款音乐播放软件必须的权限应该有“读写手机存储”和“连接互联网”。但如果发现权限列表中还多出了“读取短信”、“访问通信录”等功能，用户就该小心了，一定要谨慎点击“下一步”。

       如果不是非必须使用的APP，建议不安装。如果必须使用，最保险的方式是换一款同功能、不读取敏感信息的APP。当然，高版本的Android系统或者是一些大品牌安卓手机，会提供一种“选择性”开放权限的功能（权限申请对话框会有相应的选择框），用户就可以根据自己的实际需求开放权限（图2）。

【图2  红色框为权限开放按钮（灰色为不允许）】

1.2 从正规途径下载APP

        当然，最简单有效的方式，是尽量从知名的应用平台下载APP并安装，比如appchina、91助手、安卓市场、机锋市场、安智市场、360手机助手、应用宝、小米开放平台、豌豆荚、乐商店UC+、华为开发者联盟等，这些应用商店更正规，对APP的审核上比较严格，平台本身也要接受相关部门的监督管理。用户尽量避免安装其他陌生途径获取到的APP，比如路边扫二码下载APP送礼品、不熟悉的陌生平台推荐的APP等。

       一句话：只安装来源可信、没有申请非必须权限的APP。

        但是！更危险一点的情况来了！

        前面讲到，Android系统通过权限管理来限制应用APP的操作，并在安装的时候提前告诉用户该应用APP申请了什么权限，用户可以根据需求筛选，掌握了“知情权”和“决定权”。但是，这是在Android系统的权限管理功能生效的情况下才适用的。当前存在一种能够绕开系统的权限管理功能，随意使用设备的方法，就是通常所说的Root。

       Root本身是指Android底层系统的最高权限，它可以允许或禁止任何程序做或不做一件事。一旦手机进行了Root权限获取，那就意味着Android系统本身的权限管理功能基本失效。应用APP可以在不申请短信读取、手机存储读取等权限的情况下，依然获取到这些信息。

        现在很多人将银行卡或其他重要账户绑定在手机号上。当在进行付款或其他敏感操作的时候，通常会通过短信验证码形式验证用户身份。这里就有一个让人细思极恐的事实：恶意APP可以在后台主动发送短信给其他用户或平台、可以实时截取你的短信、甚至可以在恶意程序启动后直接在后台开启支付或购买虚拟服务等流程。可以想象一下，还有什么是恶意软件在获取到Root权限后不能做的。

2.1 使用Root权限管理软件

      看到Root会泄密，不禁让人毛骨悚然，但是不是就要因噎废食，完全杜绝Root呢？

        不用！对于这种威胁形式，用户如果一定要Root手机，可以使用Root权限管理软件。这种软件在使用正规的Root软件进行Root后，比如360一键Root、Root精灵、Kingroot、百度一键Root等，基本都会自动安装，用户可以通过它对大多数不熟悉的应用APP进行权限限制（图3、图4）。 

【图3 通过Root权限管理软件可以选择性授予APP适当的权限】

【图4：Root权限管理界面可批量查阅Root授权情况】

2.2 卸载不熟悉的应用APP

       如果有必要，还需要对不熟悉的应用APP进行卸载。卸载方式有很多种，可根据实际情况选择。比如界面直接点击图标放进“垃圾桶”图标中，或者是“程序管理器”卸载。当然，也可以利用手机管家、360手机助手等安全软件的“软件卸载”功能，还可以利用Root工具的“程序管理”功能卸载。

        对于一些“不正常”的APP，比如手机屏幕上可能没有图标和界面，但在系统的应用程序界面能查看到的陌生应用（程序界面可以查看到所有安装的APP，见图5），这类可以直接利用“程序管理器”进行卸载。为确保没有这类隐藏的恶意APP，最好能定期通过“程序管理器”查看APP的安装使用情况，对于可疑的APP及时处理。

【图5  手机应用程序管理器可以查看安装的所有APP】

         一句话总结：只安装自己熟悉的应用APP、并授予有限的必备的权限。

1、【技术视界】第1期：手机取证-手机音频文件恢复提取技术研究

2、【技术视界】第2期：精确读取  提高缺陷硬盘数据恢复成功率

3、【技术视界】第3期： 如何利用S.M.A.R.T.技术对硬盘进行健康体检？

4、【技术视界】第4期： 电子取证-WD硬盘固件损坏的文件恢复提取技术研究

5、【技术视界】第5期：电子取证——智能手机定位痕迹如何快速提取？

6、【技术视界】第6期：电子取证——日立硬盘BIOS加密无法访问的快速解密方法技术研究

7、【技术视界】第7期：手机取证-SQLite数据库文件恢复提取技术研究

8、【技术视界】第8期：视频侦查-监控主机自动识别技术研究

9、【技术视界】第9期：视频侦查——不转码直接检索监控视频的方法探讨

10、【技术视界】第10期：电子取证— RAID 5、RAID 6崩溃的数据恢复取证提取技术研究

11、【技术视界】第11期：教你怎么编写智能手机APP的取证脚本