采用即時(shí)權(quán)限授予增強(qiáng)Android安全性的研究.pdf

1、近年來，Android操作系統(tǒng)以其出眾的開放性受到廣大用戶和移動(dòng)設(shè)備廠商的青睞。Android系統(tǒng)采用基于權(quán)限的訪問控制模型來保護(hù)系統(tǒng)內(nèi)部的重要資源。應(yīng)用程序在Manifest文件中聲明其所需的權(quán)限，用戶在安裝應(yīng)用前必須授予應(yīng)用程序所申請的所有權(quán)限，否則將被迫放棄安裝該應(yīng)用。由于用戶在無法獲知應(yīng)用程序?qū)⑷绾问褂眠@些權(quán)限前往往無法做出正確選擇，現(xiàn)有的這種權(quán)限授予方法無法有效防止惡意程序獲得所需的權(quán)限。此外，Android允許并鼓勵(lì)應(yīng)用程序

2、間通信，這意味著一個(gè)應(yīng)用程序可以暴露接口供其他應(yīng)用程序使用。這一特性會(huì)導(dǎo)致一個(gè)未經(jīng)授權(quán)的惡意應(yīng)用程序有可能通過一個(gè)已經(jīng)獲得授權(quán)的應(yīng)用程序所暴露的接口間接地使用某項(xiàng)權(quán)限，這種惡意行為被稱作權(quán)限代理攻擊?，F(xiàn)有的訪問控制模型及相關(guān)工作尚不能夠很好地幫助用戶防范權(quán)限代理攻擊。
　　本文設(shè)計(jì)并實(shí)現(xiàn)了Arbiter:一種基于Android的即時(shí)權(quán)限授予方法。Arbiter將每一次權(quán)限授予推遲至應(yīng)用程序使用該權(quán)限時(shí)進(jìn)行。現(xiàn)有的即時(shí)權(quán)限授予方法往

3、往需要對應(yīng)用程序進(jìn)行修改，或者只能覆蓋部分權(quán)限的使用請求，Arbiter則能夠在不要求對現(xiàn)有應(yīng)用程序進(jìn)行任何修改的前提下攔截應(yīng)用程序發(fā)出的所有權(quán)限使用請求。通過修改Android框架及底層的Linux內(nèi)核，Arbiter在應(yīng)用程序試圖使用權(quán)限時(shí)收集權(quán)限使用的上下文信息，這主要包括應(yīng)用程序使用權(quán)限時(shí)的調(diào)用上下文(Calling Context)以及在應(yīng)用程序進(jìn)行進(jìn)程間通信時(shí)形成的調(diào)用鏈。依賴這些上下文信息，Arbiter能夠區(qū)分同一應(yīng)用程

4、序在不同場景下對同一權(quán)限發(fā)出的使用請求，并識別出潛在的間接權(quán)限使用。通過即時(shí)權(quán)限授予，Arbiter可以有效幫助用戶了解應(yīng)用程序如何使用該權(quán)限并更好地做出即時(shí)授權(quán)決定。為了減少即時(shí)權(quán)限授予對系統(tǒng)可用性帶來的影響，Arbiter采用安全需求工程的方法推導(dǎo)出了一套惡意程序權(quán)限使用特征，并基于該特征識別權(quán)限使用請求中會(huì)造成安全隱患的請求。只有至少符合一項(xiàng)惡意權(quán)限使用特征的權(quán)限使用請求才需要用戶授權(quán)。
　　為了驗(yàn)證惡意程序權(quán)限使用特征的有

5、效性和完整性，本文使用150個(gè)真實(shí)惡意應(yīng)用程序進(jìn)行了有效性測試。測試結(jié)果表明沒有一款惡意應(yīng)用程序能夠在未經(jīng)用戶顯式授權(quán)的情況下自動(dòng)獲得完成其惡意行為所必須的所有權(quán)限。此外，本文從Android官方應(yīng)用市場下載了分屬13個(gè)類別的1378個(gè)應(yīng)用程序，并對這些程序進(jìn)行了可用性測試。測試結(jié)果表明平均每7500余次用戶操作才需要一次用戶顯式授權(quán)，平均290次權(quán)限使用才需要用戶做出一次即時(shí)授權(quán)。這些結(jié)果表明Arbiter可以對絕大多數(shù)權(quán)限使用請求完