Android平台 磁盘数据安全 现状分析 束骏亮 @上海交通大学 LoCCS GoSSIP 关于我 • GoSSIP成员 • • 研究方向：系统安全、软件安全、Android安全 0ops队员 • 主攻：Android相关、steganography、forensics、misc http://weibo.com/u/3659841663 ANDROID平台磁盘数据安全现状分析 一块容易被忽视的传统战场 ANDROID平台磁盘数据安全现状分析 • 问题存在吗？ • 有多严重？ ANDROID平台磁盘数据安全现状分析 • 超过90%的Android设备正面临磁盘数据泄漏的风险 • 不仅仅局限于隐私数据，同时还包括了大量和App认证相关 的数据 ANDROID平台磁盘数据安全现状分析 • 磁盘数据最主要的风险来自于擦除操作时产生的数据残留 • 数据残留的出现由底层介质和文件系统特性共同决定 • Android系统中并没有易于使用和推广的缓解机制 ANDROID平台磁盘数据安全现状分析 大纲 • • • • • • Android数据存储 Android中的数据擦除操作 如何去攻击残留的数据 实验 案例分析 我们能做什么 ANDROID平台磁盘数据安全现状分析 数据存储模型 操作系统 (Android) 文件系统 (yaffs2 & ext4) 硬件虚拟层 (FTL) 存储介质 (Flash memory) ANDROID平台磁盘数据安全现状分析 Android数据存储——存储介质 Flash Memory(闪存) • 非易失性、可反复擦写的存储介质，是目前移动设备 中常用的存储介质。 ANDROID平台磁盘数据安全现状分析 Android数据存储——存储介质 闪存的特性: • 可以进行字节级别的读写操作，但是只能进行块 (block)级的改写/擦除。 • 每一个物理块具有10^4~10^5擦除的次数限制。 Android数据存储——FTL Flash Translation Layer(FTL): • 直接操作底层的存储介质，将磁盘物理地址映射为逻 辑上的块地址，将Flash Memory封装成一个块设备供 上层操作。 Android数据存储——FTL FTL同样会有一些特性: • 更新一段数据时，会将新的数据写入一个新的未 使用的块，之后修改地址之间的映射关系，将原 数据所属的块标记为未使用，原有的数据仍旧保 留在磁盘上。 • 通过不定期的垃圾回收(GC)操作来统一对未使用 的块进行数据擦除。 • 为了延长寿命，垃圾回收时优先选择擦除次数较 少的块。 Android数据存储——文件系统 从YAFFS2到ext4: • YAFFS2(Yet Another Flash File System) • Ext4(The fourth extended file system) • 都是日志型文件系统(Log-structured File System) Android数据存储——文件系统 日志型文件系统的特性: • 所有对文件的写入操作都会在日志分区中添加一份 对应的记录 • 基于底层的特性，对文件的改写并不会擦除原文件 的内容，而是新建一个文件然后改变文件节点内的 地址指针，原文件的信息依旧保留在日志中，原文 件的内容依旧保留在磁盘上。 Android数据存储——总结 • 多个层次的特性合力导致了文件擦除是一个极其不安全 的操作。 • 设想中被擦除的数据将会残留在磁盘上。 • 残留时间和数据量与磁盘大小呈正相关，和设备使用频 率呈负相关。 Android数据存储——总结 磁盘容量 数据残留时间(小时) 中位数 >95% 200MB 41.5±2.6 46.2±0.5 1GB 163.1±7.1 169.7±7.8 2GB 349.4±11.2 370.3±5.9 Android数据存储——总结 • 在这种情况下，上层操作系统必须进行针对性的安全设 计，以此保证磁盘数据的安全。 Android中的数据擦除操作 • 通过系统API进行文件擦除 • 应用程序卸载 • Recovery模式恢复出厂设置 • Fastboot模式解锁、刷机 Android中的数据擦除操作 -系统API Android中的数据擦除操作 -系统API • File.delete() /libcore/luni/src/main/java/java/io/File.java/delete() -->/libcore/luni/src/main/java/libcore/io/Posix.java/remove() -->/libcore/…/libcore_io_Posix.cpp/Posix_remove() -->remove() • 最终调用Linux syscall：unlink(2) 和rmdir(2) • 不安全