基于安卓系統(tǒng)的動(dòng)態(tài)權(quán)限泄漏檢測(cè)系統(tǒng)

◆張若平 柳培忠

?

基于安卓系統(tǒng)的動(dòng)態(tài)權(quán)限泄漏檢測(cè)系統(tǒng)

◆張若平1柳培忠2

（1.廈門工學(xué)院 福建 361000；2.華僑大學(xué)工學(xué)院 福建 362000）

安卓手機(jī)已經(jīng)為用戶的個(gè)人信息管理提供了一個(gè)基于認(rèn)證的安全模式，該模式需要每個(gè)應(yīng)用程序通過(guò)請(qǐng)求才能安裝運(yùn)行。通過(guò)研究目前主流的八種流行的安卓手機(jī)，發(fā)現(xiàn)大部分手機(jī)未能正確執(zhí)行安全模型，一些特權(quán)可以很容易被其他未使用的應(yīng)用程序獲取。為了驗(yàn)證這些問(wèn)題的存在，本文研發(fā)一種動(dòng)態(tài)系統(tǒng)權(quán)限泄漏檢測(cè)系統(tǒng)。實(shí)驗(yàn)研究結(jié)果表明：一個(gè)沒(méi)有獲得認(rèn)證的應(yīng)用程序可以獲取安卓系統(tǒng)的權(quán)限，可以未經(jīng)使用者許可的情況下，消滅用戶數(shù)據(jù)、發(fā)送短信、記錄用戶的通話進(jìn)程。

安卓手機(jī)；權(quán)限泄漏；動(dòng)態(tài)檢測(cè)

0 前言

據(jù)友盟發(fā)布的2013年上半年移動(dòng)互聯(lián)網(wǎng)數(shù)據(jù)報(bào)告顯示，截至今年二季度，中國(guó)活躍智能設(shè)備已經(jīng)超過(guò)5億， 3.4億臺(tái)為安卓設(shè)備約占70%[1]。主要原因是智能機(jī)終端為用戶提供的功能強(qiáng)大的服務(wù)和帶來(lái)的便利，現(xiàn)有的智能手機(jī)功能不僅是接打電話、接收信息，更是一個(gè)涉及網(wǎng)上沖浪、GPS導(dǎo)航、網(wǎng)上銀行、社交網(wǎng)站等功能強(qiáng)大的社交娛樂(lè)平臺(tái)[2]。

因而智能手機(jī)的用戶越來(lái)越依賴智能手機(jī)進(jìn)行存儲(chǔ)和處理個(gè)人數(shù)據(jù)?？梢栽谑謾C(jī)里找到當(dāng)前用戶的地理位置信息、電話通話記錄、各種聯(lián)系方式、電子郵件、照片和內(nèi)置的攝像頭，這些信息的存在，容易導(dǎo)致各種關(guān)于私人信息管理模式和訪問(wèn)安全的問(wèn)題[3]。

《2013年上半年中國(guó)手機(jī)安全狀況報(bào)告》指出，今年上半年，日均新增2500余款惡意軟件，其中含隱私竊取行為的惡意軟件高達(dá)90%以上，感染總量超過(guò)4.8億人次[4]。垃圾短信、欺詐短信的不斷增加，以及惡意網(wǎng)址、惡意二維碼等移動(dòng)威脅的出現(xiàn)，使手機(jī)安全問(wèn)題趨于多元化，手機(jī)安全研究逐漸成為手機(jī)用戶的剛性需求。

如何保護(hù)訪問(wèn)用戶的敏感數(shù)據(jù)或系統(tǒng)的功能權(quán)限不被不受信任的應(yīng)用程序獲取顯得尤為重要。本文實(shí)現(xiàn)一種用于安卓智能手機(jī)的系統(tǒng)權(quán)限泄漏動(dòng)態(tài)檢測(cè)系統(tǒng)。

1 當(dāng)前智能手機(jī)的安全問(wèn)題

智能手機(jī)廠商已經(jīng)探索多種方法來(lái)解決各種個(gè)人信息管理和訪問(wèn)帶來(lái)的安全問(wèn)題：

一方面蘋果智能手機(jī)采用的是審批模式，每個(gè)第三方的應(yīng)用程序使用之前，必須仔細(xì)在蘋果應(yīng)用中心對(duì)其進(jìn)行檢查。安裝應(yīng)用程序后，在某些功能第一次運(yùn)行時(shí)， IOS平臺(tái)會(huì)提示用戶批準(zhǔn)使用[5]。

另一方面谷歌的安卓系統(tǒng)采用用戶可以授予一個(gè)安卓應(yīng)用程序的權(quán)限，他們?cè)试S用戶評(píng)估應(yīng)用程序的能力，并確定是否要安裝應(yīng)用程序[6]?；跈?quán)限的管理模型對(duì)安卓應(yīng)用程序的監(jiān)督起到很關(guān)鍵的作用。

為了分析目前主流智能手機(jī)的安全問(wèn)題，本文檢測(cè)今年最為流行的10個(gè)品牌的手機(jī)進(jìn)行分析，手機(jī)品牌和型號(hào)如下表1所示，本文檢測(cè)分析不同類型的智能手機(jī)是否可以通過(guò)ROOT權(quán)限來(lái)獲取敏感的用戶數(shù)據(jù)（如地理位置）或手機(jī)功能（發(fā)送短信）[7]。實(shí)驗(yàn)測(cè)試結(jié)果表明，總共測(cè)試58人的智能手機(jī)安全問(wèn)題，有47人很容易獲取其ROOT權(quán)限，個(gè)別手機(jī)可以獲取一般權(quán)限。總之通過(guò)一個(gè)不受信任的應(yīng)用程序可以利用ROOT權(quán)限，未經(jīng)許可的消滅用戶數(shù)據(jù)、發(fā)送短信，或記錄用戶的通話進(jìn)程。

表1 測(cè)試的智能手機(jī)

2 動(dòng)態(tài)檢測(cè)系統(tǒng)設(shè)計(jì)

針對(duì)安卓智能手機(jī)的權(quán)限泄漏動(dòng)態(tài)檢測(cè)系統(tǒng)，本文做出這種假設(shè)：

（1）安卓智能手機(jī)用戶已經(jīng)在手機(jī)上安裝了第三方應(yīng)用程序。第三方應(yīng)用程序的作者獲取了這款手機(jī)的系統(tǒng)信息，并通過(guò)安卓的API函數(shù)保護(hù)的權(quán)限惡意執(zhí)行一些高權(quán)限的工作（例如，記錄用戶的通話），并保護(hù)第三方應(yīng)用程序被拒絕訪問(wèn)的可能性[6-8]。

（2）假設(shè)安卓系統(tǒng)限制攻擊者的范圍框架（包括OS內(nèi)核）是可信的[9-11]，系統(tǒng)圖像的簽名密鑰沒(méi)有泄漏給攻擊者。由于許多預(yù)加載的應(yīng)用程序已獲得相應(yīng)的權(quán)限，如果惡意應(yīng)用程序可以調(diào)用這些高權(quán)限應(yīng)用程序的API函數(shù)，將有可能獲得高權(quán)限許可。

為了更好檢測(cè)權(quán)限泄漏的問(wèn)題，本文實(shí)現(xiàn)了一套用于安卓手機(jī)的權(quán)限泄漏動(dòng)態(tài)分析系統(tǒng)（如圖1所示）。通過(guò)采用數(shù)據(jù)流分析預(yù)加載的應(yīng)用程序，檢測(cè)系統(tǒng)分析每個(gè)應(yīng)用程序在手機(jī)上探索的可達(dá)性。同時(shí)更好地檢查泄漏的能力，防止一個(gè)危險(xiǎn)的權(quán)限從一個(gè)公共的、無(wú)人防守的接口泄漏。

2.1 權(quán)限泄漏檢測(cè)

本文將安卓系統(tǒng)權(quán)限泄漏檢測(cè)分為兩種不同的類別：

2.1.1顯式權(quán)限泄漏

利用一些公開(kāi)訪問(wèn)的接口，允許一個(gè)應(yīng)用程序成功地泄漏訪問(wèn)特定程序的權(quán)限或服務(wù)請(qǐng)求。

顯式權(quán)限泄漏很容易發(fā)生在需要容納在其清單文件的預(yù)加載的應(yīng)用程序中[12]。為了檢測(cè)顯式權(quán)限泄漏，系統(tǒng)分兩個(gè)步驟分析每個(gè)此類應(yīng)用程序的泄漏。

第一步：針對(duì)可能的泄漏路徑分析生成控制流圖，以從明確定義的入口點(diǎn)里，確定可能的路徑對(duì)某些使用的能力。

第二步：可行路徑的細(xì)化研究，采用響應(yīng)信息組和路徑的內(nèi)程序的數(shù)據(jù)流分析，以確定哪些路徑可能產(chǎn)生泄漏。

2.1.2隱式權(quán)限泄漏

利用一些公共接口或服務(wù)，允許一個(gè)應(yīng)用程序從另一個(gè)應(yīng)用程序獲得或“繼承”權(quán)限，使用相同的簽名密鑰[12]。

對(duì)于隱性權(quán)限泄漏的檢測(cè)，本文使用與顯式權(quán)限泄漏不同的檢測(cè)算法。顯式權(quán)限泄漏假設(shè)調(diào)用者的一個(gè)API暴露是惡意，則隱性權(quán)限泄漏檢測(cè)假設(shè)應(yīng)用程序本身可能是惡意的。因此，而不是只從定義良好的入口點(diǎn)在顯式泄漏檢測(cè)，需要擴(kuò)大泄漏的搜索，包括應(yīng)用的初始化。

圖1 權(quán)限泄漏動(dòng)態(tài)分析系統(tǒng)流程圖

但是安卓應(yīng)用程序初始化過(guò)程的建模有些復(fù)雜?？梢圆扇煞N類型的構(gòu)造函數(shù)來(lái)處理：

（1）實(shí)例構(gòu)造函數(shù)顯式地調(diào)用，在Dalvik字節(jié)碼字節(jié)碼操作的新實(shí)例；

（2）類的構(gòu)造函數(shù)或靜態(tài)初始化塊隱式地調(diào)用一個(gè)類第一次使用。

可見(jiàn)顯式權(quán)限泄漏代表嚴(yán)重的安全錯(cuò)誤，因?yàn)檫@些會(huì)破壞基于許可的安全模型，而安卓的隱式泄漏可能是一個(gè)應(yīng)用程序的數(shù)據(jù)誤傳。

2.2 泄露路徑分析

本系統(tǒng)將遍歷每個(gè)選定的預(yù)裝應(yīng)用程序來(lái)檢測(cè)是否存在權(quán)限泄漏。本文首先構(gòu)建一個(gè)通用的CFG協(xié)助靜態(tài)分析[13]。先從每個(gè)入口點(diǎn)和構(gòu)建各自的CFG。有一些細(xì)微的安卓參與映射中定義的組件manifest文件到其實(shí)際入口點(diǎn)。一些入口點(diǎn)都是標(biāo)準(zhǔn)的，因而很快確定通過(guò)這個(gè)類型的組件包含在應(yīng)用程序。

由于安卓每個(gè)應(yīng)用程序可以定義多個(gè)入口點(diǎn)， 所以需要對(duì)于每個(gè)入口點(diǎn)產(chǎn)生一個(gè)單獨(dú)的潛在路徑組。這些路徑不包含在這個(gè)應(yīng)用程序的入口點(diǎn)之前的任何執(zhí)行的指令，本文選擇采取通過(guò)假設(shè)一個(gè)字段可能包含任何可分配的值保守的方法。作為該字段用于沿路徑的執(zhí)行，每次用這樣一種方式縮小可能值的列表，具體泄漏路徑分析如圖2所示。

圖2 泄露路徑分析算法

2.3安卓API函數(shù)

如果直接分析檢測(cè)整個(gè)安卓系統(tǒng)的權(quán)限泄漏問(wèn)題，很容易導(dǎo)致安卓系統(tǒng)的狀態(tài)爆炸和安卓使用的可伸縮性問(wèn)題。本文使用安卓系統(tǒng)已經(jīng)定義的API函數(shù)。

API函數(shù)包含一系列非常健壯的預(yù)定義庫(kù)，該庫(kù)函數(shù)降低了需要開(kāi)發(fā)人員引入第三方庫(kù)來(lái)支持安卓系統(tǒng)的代碼。

通過(guò)調(diào)用這些庫(kù)，每次做應(yīng)用分析時(shí)可以避免花費(fèi)時(shí)間、空間、和其他雜項(xiàng)的相關(guān)成本。

3 實(shí)驗(yàn)分析

本文實(shí)現(xiàn)的安卓系統(tǒng)權(quán)限泄漏檢測(cè)系統(tǒng)包含混合Java代碼、shell腳本和Python腳本。本文的靜態(tài)分析代碼在開(kāi)源baksmali反匯編程序工具編譯。形成一組擴(kuò)展到一個(gè)現(xiàn)有的Java字節(jié)碼動(dòng)態(tài)檢測(cè)分析工具。而后選擇在baksmali直接運(yùn)行，用來(lái)檢測(cè)安卓手機(jī)可能的權(quán)限泄漏能力。

系統(tǒng)首先利用安卓調(diào)試橋(adb)工具來(lái)獲取訪問(wèn)手機(jī)的系統(tǒng)映像，主要是那些文件在/系統(tǒng)/應(yīng)用程序和/系統(tǒng)/框架目錄，這些目錄包含所有的預(yù)裝應(yīng)用程序在設(shè)備上。

而后系統(tǒng)列舉所有已經(jīng)預(yù)裝的應(yīng)用程序。通過(guò)一個(gè)獨(dú)立的腳本實(shí)現(xiàn)對(duì)應(yīng)用程序進(jìn)行預(yù)裝和拆卸，其主要目的是為了后續(xù)分析它們的字節(jié)碼。對(duì)于每個(gè)應(yīng)用程序，系統(tǒng)將對(duì)有關(guān)的安卓包(如apk文件)提取有關(guān)的清單文件(安卓manifest . xml)。提取后的清單文件，本文做如下分析：

對(duì)任何請(qǐng)求權(quán)限要求的應(yīng)用程序，系統(tǒng)檢查應(yīng)用程序所授予相關(guān)的權(quán)限功能是否存在隱式權(quán)限泄漏[14]，而那些擁有sharedUserId屬性設(shè)置檢測(cè)是否存在隱式權(quán)限泄漏。計(jì)算實(shí)際的設(shè)置的權(quán)限并授予每個(gè)預(yù)裝的應(yīng)用程序通過(guò)結(jié)合所有的權(quán)限請(qǐng)求由相同的sharedUserId。

本文通過(guò)對(duì)三星 GALAXY S4檢測(cè)該智能手機(jī)存在的權(quán)限泄漏問(wèn)題，com.sec. Android. app.Selective-Reset程序的目的是出現(xiàn)一個(gè)確認(rèn)屏幕來(lái)詢問(wèn)用戶是否要重新設(shè)置手機(jī)。通過(guò)程序Android. Intent. Action. SELECTIVE _RESET Intent來(lái)調(diào)用，而SelectiveResetR Eceiver程序是上述Android. Intent. Action. SELECTIVE _RESET Intent的子程序。當(dāng)這個(gè)子程序SelectiveResetREceiver接收到指令，它便會(huì)打開(kāi)用戶界面（SelectiveResetApp)并且等待用戶確認(rèn)。

一旦該步驟完成，SelectiveResetService便啟動(dòng)了，最終會(huì)傳輸一個(gè)指令A(yù)ndroid.intent. Action. SELECTIVE _RESET _DONE。原先的SelectiveResetService子程序會(huì)聽(tīng)從于該指令并可以訪問(wèn)CheckinService. masterClear()。

HTC One系列有一個(gè)內(nèi)置的MessageTab的應(yīng)用程序，com. Android.MessageTab，這MessageTab應(yīng)用程序旨在管理手機(jī)的短信，讓用戶查看已發(fā)送郵件，發(fā)送新的郵件。它使用了調(diào)用系統(tǒng)的特權(quán)能力，但并沒(méi)有將其放入文件清單。

4 結(jié)論

本系統(tǒng)發(fā)現(xiàn)了當(dāng)今主流智能手機(jī)在性能上的嚴(yán)重漏洞。如何防御智能手機(jī)的安全性顯得尤為重要。

智能手機(jī)的權(quán)限泄漏從本質(zhì)上反映了當(dāng)前智能手機(jī)存在的嚴(yán)重安全隱患，由于權(quán)限泄漏導(dǎo)致一個(gè)應(yīng)用程序是被另一個(gè)應(yīng)用程序不當(dāng)?shù)貓?zhí)行。雖然是智能手機(jī)主流操作系統(tǒng)的固件或安裝性能低的程序而引起的，雖然安卓系統(tǒng)提供的安全模型可以通過(guò)提升以減輕這些權(quán)限泄漏的危險(xiǎn)。但是如何維護(hù)一臺(tái)智能手機(jī)的功能完整性，以及確保它能在沒(méi)有被應(yīng)用程序調(diào)用的時(shí)候，能盡力避免暴露其性能或底層安卓系統(tǒng)的框架仍需要通過(guò)外界的檢測(cè)系統(tǒng)來(lái)完成。

總之本系統(tǒng)已經(jīng)驗(yàn)證了當(dāng)前安卓智能手機(jī)存在權(quán)限泄漏的問(wèn)題，并提出一種解決方法，它仍然有很多需要解決的問(wèn)題。例如， 本系統(tǒng)現(xiàn)在只能處理Dalvik字節(jié)碼并且需要擴(kuò)展來(lái)適應(yīng)本地代碼。只有處理十幾種功能權(quán)限的泄漏，隨著安卓系統(tǒng)的不斷后續(xù)的功能將會(huì)不斷增加，因而需要考慮更為穩(wěn)健、完善的權(quán)限泄漏方法。

[1]http://www.hiapk.com/.

[2]Android Debug Bridge.http://developer.android.com/ guide/developing/tools/adb.html.

[3]Apple App Store.http://www.apple.com/iphone/ap ps- for-iphone/.

[4]IPhone Stored Location in Test Even if Disabled.http: //online.wsj.com/article/SB10001424052748704123204576202491612.html.

[5]Soot:a Java Optimization Framework.http://www.sabl e.mcgill.ca/soot.

[6]T.J.Watson Libraries for Analysis (WALA).http://wala. sourceforge.net.

[7]L.Davi,A.Dmitrienko,A.-R.Sadeghi,and M. Winandy. Privilege Escalation Attacks on Android. In Proceedings of the 3rd Information Security Conference, October 2010.

[8] M. Dietz,S.Shekhar,Y.Pisetsky,A.Shu, and D. S.Wallach.QUIRE:Lightweight Provenance for Smart Phone Operating Systems. In Proceedings of the 20th USENIX Security Symposium,USENIX Security ’11, August 2011.

[9]M. Egele, C. Kruegel, E. Kirda, and G. Vigna. PiOS: Detecting Privacy Leaks in iOS Applications. In Proceedings of the 18th Annual Network and Distributed System Security Symposium, NDSS ’11, February 2011.

[10]W. Enck, D.Octeau, P.McDaniel,and S.Chaudhuri. A Study of Android Application Security. In Proceedings of the 20th USENIX Security Symposium, USENIX Security ’11,August 2011.

[11]W.Enck,M.Ongtang,and P.McDaniel. On Lightweig- ht Mobile Phone Application Certification.In Proceedings of the 16th ACMConference on Computer and Communication s Security,CCS ’09, February 2009.

[12]A. P. Felt, E. Chin, S. Hanna, D. Song, and D. Wagner. Android Permissions Demystified. In Proceedings of the 18thACM Conference on Computer and Communications Security, CCS ’11, October 2011.

[13]A.P.Felt,M.Finifter,E.Chin,S.Hanna,and D. Wagner. A Survey of Mobile Malware In The Wild. In Proceedings of the ACM CCS Workshop on Security and Privacy in Smartphones and Mobile Devices, October 2011.

[14] A. P. Felt, H. Wang, A. Moschuk, S. Hanna, and E. Chin. Permission Re-Delegation: Attacks and Defenses. In Proceedings of the 20th USENIX Security Symposium, USENIX Security ’11, August 2011.

國(guó)家自然科學(xué)基金資助項(xiàng)目(61203242); 物聯(lián)網(wǎng)云計(jì)算平臺(tái)建設(shè)資助項(xiàng)目( 2013H2002)。