【 摘 要 】 Android是基于Linux内核的移动智能终端操作系统,由于其开源的特性,使Android相对更容易感染病毒,受到恶意程序的威胁以及隐私信息的泄露。于是Android操作系统的安全性就变得更加重要。论文在深入分析Android移动智能终端安全机制的基础上,结合Android移动智能终端面临的主要安全威胁,提出了Android移动智能终端操作系统的安全评估方法,并设计了一个Android操作系统安全评估工具,检测Android操作系统安全机制是否完整的实现了安全策略。实验结果表明,该工具能有效评估Android操作系统的安全性。
【 关键词 】 安全机制;评估工具;安全评估;Android
【 中图分类号 】 TP311 【 文献标识码 】 A
1 引言
随着移动互联网的发展,2012年我国移动互联网用户数量、应用水平、终端普及、市场规模等均呈现迅猛增长态势。中国互联网络信息中心数据显示,截至2012年12月底,2012年国内智能终端出货量达2.24亿部,已成为全球最大的智能手机生产国。同时智能手机的安全问题也愈发凸显,新增手机恶意软件样本中,71%集中在Android平台。在这种背景下,对Android移动终端安全性的评估显得尤为重要。
由于Android移动智能终端操作系统自身的开源等特性,其安全问题更加突出,使Android智能终端受到恶意扣费、隐私窃取等威胁。为了确保丰富的应用,Android移动智能终端操作系统不得不提供大量的权限,据统计Android移动智能终端应用软件近40%读取非必要权限,造成权限滥用。Android移动智能终端的内存资源有限使得移动智能终端操作系统处理能力受限,因此无法制定功能强大的安全机制,而有限的内存资源使其容易受到拒绝服务攻击(Dos)。Android移动智能终端操作系统管理着所有的资源及服务,是移动智能终端安全评估的首要对象。
在安全评估方面,目前国内外对Android安全评估方面的研究并不多,评估方法和技术还没有形成完整的体系,也缺乏自主研发的评估工具。评估标准是安全评估的关键,我国在2007年发布了专门针对移动终端信息安全的标准YDT1699-2007和安全测评标准YDT1700-2007。但是由于不同操作系统具体实现不同,标准只定制了一个综述性的技术指标。本文在参考计算机以及移动终端操作系统安全标准,并结合移动智能终端自身安全机制的基础上,提出了一个针对Android安全机制的安全评估方法,同时设计了一个Android操作系统安全评估工具。在被测Android操作系统环境中自动完成安全评估工作,完成了对android操作系统安全性的评估。
2 Android操作系统安全评估概述
2.1 Android操作系统安全机制
由于Android操作系统是基于Linux内核开发的,所以在Android安全机制中,既继承了Linux的安全机制又有自己特有的安全机制。下面主要从几个方面介绍Android安全机制。
2.1.1 Linux内核安全机制
(1)访问控制
(2)UID(用户标识)
安装在移动智能终端上的每个应用程序,系统都会给它分配唯一的一个Linux用户ID,并为该应用程序创建 一个沙箱(Sandbox)。这样就保证了每个应用程都运行在自己的进程里。UID在应用程序安装时被分配,并且在该移动智能终端上永久有效。在移动智能终端上每个应用程序所创建的文件都与该应用程序拥有相同的UID,在其他应用程序没有系统授权的情况下不能对这个文件进行访问,从而实现了Android系统中的数据的机密性。
2.1.2 Android应用程序特有的安全机制
(1)应用程序权限机制
权限控制是Android应用程序安全的核心安全机制,是程序实现某些特殊操作(如Broadcast Receiver等)的基础。Android内置大约有一百多种操作的权限控制,包括获取电话状态、收发短信息、接入网络等。应用程序运行在由权限机制及Linux内核机制等构成的沙箱内。在默认情况下,Android应用程序无权访问其他应用程序的数据或系统资源(如读取电话状态、短信数据库及底层日志信息等),除非系统授予应用程序相应的权限。Android通过权限机制增强了程序间调用的安全性。
2.1.3 其他安全机制
(1)数字签名
Android中每一个程序在发布之前都被打包成apk格式并进行签名。应用程序在安装时,Android系统会验证该应用程序是否经过数字签名[6]。签名文件通常是Android确认应用程序来源友好性的依据。只有当用户确信程序提供方的真实性,才会安装该程序,这就杜绝了一些恶意程序被安装。
2.2 权限机制安全准则
Android系统实施的主要安全准则是应用程序只有得到权限许可后,才能执行可能会影响到系统其它程序的操作。Android系统将每个权限定义成一个字符串。
程序开发者必须在布局文件AndroidManifest. xml文件中申请其运行时需获得的权限,在应用程序安装时Android系统会读取程序所申请的权限并检查应用程序签名,由用户决定是否安装该应用程序。应用程序只能在安装时进行权限申请,当应用程序运行时向Android操作系统申请所注册的权限,并且在运行过程中不得再申请任何其他权限。
2.2.1 Android广播机制
一个Android应用程序可以片段式(component)运行,分别是Activity、Service、Broadcast Receiver和Content Provider4类。Activity是包含用户交互界面的程序片段。Service主要提供后台服务调用,在后台运行。Broadcast Receiver提供了一种消息广播机制,Content Provider提供了一种数据传递机制。下面着重讲解Broadcast Receiver广播机制。
Broadcast Receiver包含两部分功能,一个是发送广播消息,一个是接收广播消息。系统和应用程序都可以发送广播消息。广播消息分为两类:一类是系统已经定义的一些广播消息,比如电池电量低、时区变更、打开屏幕等;另一类是自定义的广播消息。广播消息有两种方式:一种同步广播(如短信接收、来电广播),用sendOrderedBroadcast()发送消息,接收器同步执行。执行顺序按照Receiver的优先级,在执行过程中,前面的Receiver可以将处理结果存放进广播Intent,然后传给下一个Receiver。任何一个Receiver都可以终止消息处理,后续的Receiver就得不到消息;另一种异步广播(如系统内部消息广播),接收器同时执行,彼此独立。
2.4 评估方法
3 评估工具的设计与实现
3.1 评估工具总体架构
Android安全评估工具由多个功能模块构成,其中包括客户端的通信模块、测试模块、自测模块、用户界面等模块;服务器端的通信、控制台模块、测试结果模块、测试结果分析模块、待测选项集模块、数据库等模块。
(1)通信模块:实现客户端与服务器端之间的数据传输。
(2)测试模块:根据是指定测试项进行测试。
(3)自测模块:手机端指定测试项,进行测试。
(5)用户界面模块:显示测试结果。
(6)控制台模块:系统提示信息。
(7)测试结果模块:显示已测项的测试结果。
(8)测试结果分析模块:可以根据测试结果生成评估报告。
(9)待测选项模块:需要测试的选项。
(10)数据库:用于存储测试指令与测试结果等。
3.2 评估工具设计关键技术
(1)系统开发环境
(2)服务器端的实现
在服务器端,根据待测项目构建测试指令集,利用套接字技术实现客户端与服务器端的WIFI连接,进行测试指令和测试结果的传输。构建测试结果数据库,实现测试结果的实时存储。利用AHP等算法对测试结果进行分析,计算出各评估要素的相对风险程度,得到Android操作系统的安全风险等级。
(3)客户端的实现
客户端通过Java代码实现评估操作,同样需要根据待测项目构建测试指令集。构建测试评分机制,并记录测试评分结果,及时将评分结果反馈到服务器端,同时客户端也能读取编辑框测试指令,实现测试。
3.3 评估结果
评估工具成功实现了对短信及拨入电话的拦截,并对其内容进行记录。以上说明Android应用程序可以利用安全机制的漏洞获取权限。应用程序可以在不遵循命名规则和限制的基础上任意地命名一个新的权限。应用程序所注册的权限一旦被授权,在应用程序的生命期间,此权限将会永久有效,即使申请此权限的应用程序被删除。一个系统内两个不同的权限可以用相同的字符串来命名,以至于他们中的一个权限可以在未声明的情况下正常使用。
4 结束语
本文根据目前Android操作系统的特点结合相关标准提出一种安全评估方法并实现了一个安全评估工具,对Android操作系统安全机制的安全性进行了评估,证明了Android权限机制存在安全漏洞,提高Android安全性的策略。
(1)完善Android操作系统权限机制,如进程间通信时设置相应的权限机制,并对非root组用户限制其优先级。
(2)在Android市场或智能终端上开发一个应用程序权限检测工具,对手机终端或apk文件进行实时的安全监控。
(3)限制应用程序间的权限传播,完善应用权限命名机制,避免造成不同的权限共用相同的名字。
参考文献
[1] 2012 年中国手机安全状况报告. http://bbs.360safe.com/thread-543278-1-1.html.
[2] Android手机游戏安全状况报告.http://bbs.360safe.com/thread-859256-1-1.html.
[3] YD/T 1699-2007,移动终端信息安全技术要求,2006.
[4] YD/T 1700-2007,移动终端信息安全测试方法,2006.
[5] GB 17859-1999,计算机信息系统安全保护等级划分准则,1999.
[6] 柯元旦,宋锐.Android程序设计.北京航空航天大学出版社. 2010:186.
[7] 唐杰,逯全芳,文红.基于AHP移动智能终端系统的安全风险评估[J].信息安全与技术,2013(03):13-16.
[8] 宋杰,党李成,郭振朝,赵萌.Android OS手机平台的安全机制分析和应用研究[J].计算机技术与发展,2010(06):152-155.
[9] Han Bing, Analysis and Research of System Security Based on Android [J]. IEEE Computer Society, 2012 : 581 - 584.
[10] ENCK, W., ONGTANG, M., AND MCDANIEL, P. 2009b. Understanding Android Security [J]. IEEE Security and Privacy, 7(01):50-57
[11] 丁丽萍.Android 操作系统的安全性分析[J].信息网络安全,2012,(03):23-26.
[12] 贾菲,刘威.基于Android平台恶意代码逆向分析技术的研究[J].信息网络安全,2012,(04):61-63.
[13] 舒心,王永伦,张鑫.手机病毒分析与防范[J].信息网络安全,2012,(08):54-56.
基金项目:
自然科学基金项目(编号:61032003,61071100和61271172)、四川省科技条件平台项目( 编号:2011KJPT01)、四川省应用基础研究项目( 编号:2012JY0001) 和成都市科技计划项目(编号:12DXYB026JH-002)联合资助。
作者简介:
逯全芳(1989-),女,电子科技大学通信抗干扰技术国家级重点实验室,硕士研究生;主要研究方向为移动通信安全。
文红(1969-),女,电子科技大学通信抗干扰技术国家级重点实验室教授,博士生导师;主要研究方向为无线通信与通信安全。
唐杰(1987-),男,电子科技大学通信抗干扰技术国家级重点实验室,硕士研究生;主要研究方向为通信安全与保密。