android智能手机应用的安全问题

android智能手机应用的安全问题

0android系统恶意程序检测现在智能手机用户的数量正在增加。根据分析机构stryanalysis提供的最新统计数据，2012年第三季度全球智能手机数量超过10亿，达到10.38亿。Google的Android智能操作系统得到广大应用程序开发者的追捧,成为目前主流的智能手机系统。然而Android市场上的应用程序管理混乱,这导致了Android系统上的恶意应用程序频发,使用户能够放心安全的使用应用程序成为亟待解决的问题。为此,学者们进行了深入的研究,文献[2]对Android后台监听实现机制进行了较为深入的研究,便于对Android系统的机制进行了解。文献[3]对Rootkit攻击进行了深入研究,并给出了解决方法。TaintDroid本文提出一种基于程序分析的方法,对应用程序进行恶意行为检测,进而分析应用程序的安全性。首先,对需要分析的应用程序进行预处理,可以快速的识别出不存在恶意行为的应用程序;然后,对通过预处理的应用程序构建函数摘要,即针对应用程序中函数本身的特征,构建与之相对应的函数摘要;最后,在已构建函数摘要的基础上,使用污点传播方法,分析出应用程序中存在的恶意行为,并将检测出的恶意行为输出。本文对该方法进行了详细介绍,实验表明,该方法可以有效检测出应用程序当中存在的恶意行为,具有较高的实用价值。1反汇编和恶意行为检测模块设计检测方法总体框架如图1所示,通过预处理、反汇编、函数摘要构建以及恶意行为检测等步骤,最终给出检测结果。对Android应用程序恶意行为检测主要包含以下五个过程:1)预处理模块通过分析APK文件中的AndroidManifest.xml文件中的权限2)反汇编模块对classes.dex文件进行反汇编,收集分析时需要的程序信息,例如,指令结构,函数结构以及函数中的基本块结构,控制流图以及函数调用图等构建函数摘要必需的结构。3)函数摘要构建模块是本方法中非常关键模块,函数摘要是对应用程序中的函数体的一种抽象解释4)恶意行为检测模块是在函数摘要基础上,使用污点传播方法,检测设置的污点信息(例如,访问通讯录返回的数据即可认为是有污点的)能否传播危险函数(例如,发送短信的函数、连接网络的函数等)调用点。5)根据检测结果生成恶意行为的详细说明,详细描述当前恶意行为的触发流程、关键参数含有的常量值及带来的危害等信息。提供图形化显示,方便查看。2关键模块的设计(1)androidmanifet.rss文件解析预处理是本方法的基础,确定应用程序是否需要进行进一步分析。预处理的检查时相当严格的,所以还是有相当的应用程序需要进一步分析。主要步骤如下:1)解压APK文件,从中获取AndroidManifest.xml文件和classes.dex文件,其中AndroidManifest.xml文件中包含了该应用程序中所使用到的权限,监听器以及服务等必要的组件。2)解析AndroidManifest.xml文件,从中获取申请的权限列表、监听器列表以及服务列表。通过将上述列表与经验库(通过分析大量的恶意应用程序获得)中的模式进行匹配,若匹配成功,则说明应用程序中可能存在恶意行为,需要进一步分析;若匹配不成功,则说明应用程序中不存在危险行为。例如,恶意应用程序一般都需要访问网络的权限,要获取这个权限只有两种方法:一种是通过申请访问网络的权限(INTERNET),另一种是使用已具有网络权限的服务。只需匹配上述两种情况,只有具有网络权限的应用程序需要进一步分析。(2)指令3:函数型指令函数摘要是基于格程序分析技术的,是对函数的一种抽象解释。抽象解释只对被分析代码抽取出感兴趣的程序属性,并对这些属性进行解释分析。对代码的抽象解释通过对需检测的程序属性构建程序属性集合,再定义一种偏序关系,由此构成该程序属性的一个完全格。格为每条指令指定一种抽象的解释。在程序模拟执行时,遍历函数的每条指令,并将其传递给格进行解释,随着程序的模拟执行,格将更新分析关注的程序属性信息,直至函数执行结束,得到一个最终的程序属性信息。函数摘要是在Android字节码指令上构建的,对函数体中的指令进行模拟执行的过程。根据Dalvik字节码的语义,对每条指令进行模拟。例如指令new-instancev6,<t:Sms>,是新建一个Sms对象,将该对象放入v6中。在模拟执行过程中,则会构建一个与Sms相对应的对象,保存Sms的信息。根据函数的运行逻辑,对函数体内每条指令进行模拟执行,在模拟执行过程遇到INVOKE_XXX指令时,则对当前所有与被调函数相关的实参信息保存到函数摘要中,本文中所构建的函数摘要主要是在函数调用点所有变量的信息。(3)android数据处理恶意行为检测使用污点传播分析方法,图2为污点传播分析对应的格结构,含有Top、Untainted、Tainted和Bottom这4种状态,任何2种状态都存在偏序关系。污染格分析关注程序变量的污染状态,每个变量关联一个污染状态,分析时将变量解释为其污染状态,指令操作解释为污染状态间的操作,得到一个结果污染状态并更新相关变量的污染状态。通过污染格的抽象解释方法,可确定代码中每个位置的每个变量的污染状态。本文对Android开发文档恶意行为检测模块包括以下四个步骤:1)可疑行为识别。在函数摘要模拟函数调用,匹配函数调用路径上存在的源函数,标记相应变量为污染,并将标记的污染信息通过函数间的调用进行传播。在污染信息传播过程中,若污染信息传播到与危险函数模式库中相同的函数时,则识别出一条可疑行为。2)危险行为匹配。对步骤1)识别出的可疑行为进行危险确认,通过详细分析当前函数调用点处的参数个数、类型以及常量值信息,并根据恶意行为模式库中的详细配置信息进行危险行为识别。3)危险等级确定。对步骤2)匹配成功的危险行为确定其危险等级。先根据当前恶意行为对应的函数名制定一个初步的危险等级,再根据关键参数的值信息对当前危险等级进一步调整,以确定最终的危险等级。4)检测结果保存。保存检测出的恶意行为的详细信息,给后面的结果显示提供丰富的输入。3恶意行为检测根据上述方法设计实现了一个原型系统,可以恶意扣费、隐私窃取、资费消耗、本地代码、广告链接等五种类型的恶意行为,恶意行为的分类和描述如表1所示。为了更好的描述不同恶意行为的危害程度,将不同类型的恶意行为分为高中低三个等级。为了验证所述方法的有效性,对文献[12]中恶意应用程序样本库中1260个恶意应用程序样本进行检测。危险等级检测结果如图3所示。由于数据库中样本的DEX文件存在相同的MD5值,最终检测了865个应用程序,存在不同等级的恶意行为。其中检测到含有高危险行为的应用程序393个(45.4%),不含高危险而含有中危险行为的应用有400个(46.2%),不含高危险和中危险只含有低危险行为的应用有46个(5.3%)。由于只关心以上五种类型的恶意行为,且没有对恶意样本进行实际执行,分析过程中存在一定程度的检测误差,有27个应用(3.1%)未检测到任何恶意行为。样本中恶意行为检测的结果如图4所示,可以发现恶意应用程序中存在大量的广告链接,这与Android手机收费模式相关,一般应用程序开发者都是通过广告获取利润的,所以讲广告链接设为低危险行为。本地代码出现的频率仅次于广告链接,Java程序通过逆向工具较容易提升到源码,代码的保护较难,开发者越来越倾向于本地库的使用,故也将其设置为低危险。恶意程序主要通过恶意扣费、隐私窃取以及资费消耗获取利润,他们各占检测样本总数的4.97%、43.35%和37.35%。此外,使用原型系统对一些比较常用的应用程序进行检测,发现酷6播放器(v2.5.8)中存在恶意扣费的行为,向1065502180988和10690882两个SP服务商发送短信。通过进一步的手工分析确认了这个恶意行为,而且该恶意行为也被用户举报过。4)应用程序检测本文提出了一种基于程序分析的Android应用程序恶