樊郁徽，徐 寧

(淮南師范學(xué)院計算機(jī)與信息工程系，安徽 淮南 232038)

Andriod智能手機(jī)在給人們生活帶來便利的同時，也出現(xiàn)了許多安全方面的問題.國家互聯(lián)網(wǎng)應(yīng)急中心在2012年發(fā)現(xiàn)了162 981個移動互聯(lián)網(wǎng)惡意樣本程序，較2011年增長了25倍，其中有82.5﹪是針對Andriod平臺的［1］.這些惡意程序不僅影響到用戶智能手機(jī)的正常使用，而且還存在惡意扣費(fèi)、信息竊取及遠(yuǎn)程控制等安全威脅，給智能手機(jī)用戶帶來損失.據(jù)網(wǎng)秦科技2013年上半年的報告稱，惡意扣費(fèi)類惡意軟件通過短信等途徑訂購SP業(yè)務(wù)進(jìn)行惡意扣費(fèi)，每天給中國手機(jī)用戶造成450萬元的話費(fèi)損失;而遠(yuǎn)程控制類惡意軟件通過接受服務(wù)器指令，聯(lián)網(wǎng)下載軟件并強(qiáng)行推送到用戶手機(jī)，在一天時間內(nèi)的獲利額度可達(dá)780萬元.因此，針對智能手機(jī)的惡意軟件的檢測與防范已成為網(wǎng)絡(luò)運(yùn)營商和網(wǎng)絡(luò)安全部分急需解決的重要課題.

1 研究現(xiàn)狀

對于手機(jī)惡意軟件的研究，國內(nèi)外的一些專家和學(xué)者都開展過相關(guān)的研究工作，并取得了一定的成果，如在 M.Miettinen 和 P.Halonen［2］的文章中對移動智能設(shè)備中的惡意軟件的檢測進(jìn)行了分析，并指出面臨的問題和不足.Enck等人則關(guān)注惡意軟件泄露個人隱私的問題，并提出了相應(yīng)的檢測方案［3］.柏林工業(yè)大學(xué)(Technische University Berlin)的 Collin Mulliner和Aubrey-DerrickSchmidt等也在智能手機(jī)的惡意軟件分析方面做出了很多研究工作［4-5］.Abhijit Bose等人的論文提出使用SVM機(jī)器學(xué)習(xí)的方式進(jìn)行智能手機(jī)的異常檢測，并建立了相關(guān)檢測模型［6］.

目前，針對手機(jī)惡意軟件的研究雖然已經(jīng)取得了一些研究成果，但所采取的方法主要還是將原來計算機(jī)平臺上的技術(shù)在手機(jī)平臺上進(jìn)行延伸.歸納起來，現(xiàn)有的手機(jī)平臺惡意軟件的研究可大致分為兩個方面:一是研究手機(jī)惡意軟件包括移動僵尸網(wǎng)絡(luò)對手機(jī)用戶、電信網(wǎng)絡(luò)和互聯(lián)網(wǎng)的攻擊方式和安全威脅;二是對基于傳統(tǒng)僵尸網(wǎng)絡(luò)設(shè)計技術(shù)的移動僵尸網(wǎng)絡(luò)設(shè)計的研究，研究內(nèi)容包括移動僵尸網(wǎng)絡(luò)架構(gòu)、傳播方式、命令與控制網(wǎng)絡(luò)和通信算法等.

2 Andriod平臺的惡意軟件檢測技術(shù)分析

2.1 Andriod平臺的安全性分析

Andriod平臺是Google公司在Linux 2.6平臺上開發(fā)的，它由兩部分組成:Linux和Java，并采用了分層式的架構(gòu)設(shè)計，分別是Linux Kernel、Libraries和 Andriod Runtime、Application Framework、Applications，如圖1 所示.

圖1 Andriod系統(tǒng)結(jié)構(gòu)圖

Andriod應(yīng)用程序主要通過Java語言開發(fā)，需要在Dalvik VM上運(yùn)行，并由Andriod的運(yùn)行環(huán)境提供核心Java核心函數(shù)庫，每個Andriod應(yīng)用程序都必須在Dalvik VM中運(yùn)行.

每一個Andriod應(yīng)用程序在運(yùn)行時都會作為一個進(jìn)程出現(xiàn)在系統(tǒng)中，每個進(jìn)程之間相互隔離，每個Andriod應(yīng)用程序中都存在一個AndriodManifest.xml文件，該文件中包含了該應(yīng)用程序運(yùn)行所需的權(quán)限.如果該應(yīng)用程序需要使用AndriodManifest.xml文件中規(guī)定的其他權(quán)限的話，則會被系統(tǒng)阻止或終止運(yùn)行，應(yīng)用程序在安裝時也會將所需的權(quán)限向用戶提示.作為Andriod系統(tǒng)的安全防護(hù)措施，對應(yīng)用程序超出限定的行為雖然可以進(jìn)行控制，但并不能阻止應(yīng)用程序利用已獲得的權(quán)限發(fā)生惡意行為，對于絕大多數(shù)的用戶來說，在安裝應(yīng)用程序時并不會去仔細(xì)核對應(yīng)用程序申請的訪問權(quán)限.

Andriod系統(tǒng)采取的另外一項(xiàng)安全措施是APK應(yīng)用程序的文件簽名.Andriod應(yīng)用程序在發(fā)布時可以通過Debug Key工具進(jìn)行編譯并簽名，通過簽名機(jī)制可以保護(hù)應(yīng)用程序的同源性.當(dāng)一個被惡意修改過的應(yīng)用程序再次在用戶的Andriod系統(tǒng)中安裝時，由于惡意修改過的應(yīng)用程序無法匹配原簽名，系統(tǒng)將不允許該應(yīng)用程序的安裝或升級.文件簽名制度只能保護(hù)已安裝的應(yīng)用程序不會被惡意修改，對新安裝的應(yīng)用程序或者本身就包含惡意行為的原有的應(yīng)用程序來說沒有任何的防護(hù)作用.

Andriod應(yīng)用程序在Google Play平臺上發(fā)布時，需要開發(fā)者注冊賬號，并將發(fā)布的應(yīng)用程序通過Google Play Developer Distribution Agreement(DDA)和Google Play Developer Program Policies(DPP)的檢查，對違反協(xié)議和規(guī)定的應(yīng)用程序會暫停發(fā)布，并通知相關(guān)開發(fā)者，對于惡意軟件，Google Play Store可以通過遠(yuǎn)程方式卸載用戶設(shè)備中的該軟件.雖然Google Play采取了一些措施對Andriod應(yīng)用程序進(jìn)行檢查，但 Google Play Store并不像Apple App Store和Windows Phone Marketplace那樣對上架的應(yīng)用程序進(jìn)行嚴(yán)格的審核，只有通過審核的應(yīng)用程序才能允許上架發(fā)布.在世界的各個地方還存在著大量的Andriod在線應(yīng)用商店，同樣在發(fā)布未經(jīng)審核的應(yīng)用程序，這也是導(dǎo)致Andriod惡意軟件大量傳播的重要原因.而“刷機(jī)包”、社交網(wǎng)絡(luò)等也為惡意軟件的傳播提供了更多、更方便的途徑.

2.2 Andriod惡意軟件的檢測方法

現(xiàn)在，用于Andriod惡意軟件的檢測技術(shù)主要分為2類:靜態(tài)行為檢測方法和動態(tài)行為檢測方法.

2.2.1 靜態(tài)行為檢測方法

靜態(tài)行為檢測方法主要通過對軟件的指令代碼進(jìn)行分析、比較，檢測其中是否包含有導(dǎo)致惡意行為的API函數(shù)調(diào)用，采用這種方式進(jìn)行檢測首先要獲取到Andriod應(yīng)用軟件的Java源代碼，然后通過分析其中是否包含對敏感函數(shù)的調(diào)用，并分析是否存在安全隱患，最終得出該軟件是否為惡意軟件的結(jié)果.靜態(tài)行為檢測方法需要通過逆向工程的方式對應(yīng)用程序進(jìn)行反編譯，獲得源代碼，在分析過程中往往會受到軟件加密及隱式函數(shù)(虛函數(shù)等)的影響，往往無法得出正確的結(jié)論.

2.2.2 動態(tài)行為檢測方法

動態(tài)行為檢測方法在程序運(yùn)行的過程中執(zhí)行，監(jiān)控系統(tǒng)中的通信、短信息、網(wǎng)絡(luò)接口及相關(guān)隱式信息的訪問情況，并進(jìn)行記錄，從而獲得應(yīng)用程序的行為模式.動態(tài)行為檢測方法可以很好解決應(yīng)用程序代碼因加密、混淆無法通過靜態(tài)方式檢測的問題.動態(tài)行為檢測方法主要通過使用沙箱、虛擬機(jī)等形式來構(gòu)建運(yùn)行環(huán)境，并模擬應(yīng)用程序的執(zhí)行，從而獲得應(yīng)用程序的行為模式.這對檢測的實(shí)時性要求較高.

3 Andriod惡意軟件的行為分析

在對Andriod惡意軟件進(jìn)行檢測的時候，無論采用靜態(tài)行為檢測方法還是動態(tài)行為檢測方法，都必須要先獲取到Andriod應(yīng)用程序的行為表現(xiàn)方式，包括正常應(yīng)用程序和惡意軟件，然后再對其進(jìn)行機(jī)器學(xué)習(xí)，獲得惡意軟件的行為特征，從而區(qū)分惡意軟件與正常的應(yīng)用程序.

本文從Andriod應(yīng)用程序的函數(shù)調(diào)用進(jìn)行分析，對惡意軟件的系統(tǒng)函數(shù)調(diào)用進(jìn)行分析，獲得惡意軟件的典型文件特征，并作為檢測的依據(jù).

3.1 獲取惡意行為

首先采集50個惡意軟件樣本，其中包括木馬程序、間諜程序、蠕蟲病毒等，對其進(jìn)行反編譯后，分析其APK源代碼的系統(tǒng)函數(shù)調(diào)用.在反編譯過程中，利用DEX2JAR將classes.dex文件轉(zhuǎn)換成為Java代碼，轉(zhuǎn)換后的classex.dex文件中包含了該APK的實(shí)現(xiàn)代碼.從中獲得該程序的resources文件和class文件，再使用Java Decompiler將class文件轉(zhuǎn)換成可讀取的格式，而二進(jìn)制的AndriodManifest.XML文件通過AXMLPrinter2 進(jìn)行轉(zhuǎn)換［7］.

所有轉(zhuǎn)換完成后，就可以對該軟件代碼進(jìn)行分析，通過對AndriodManifest.XML文件進(jìn)行分析，取得該程序所有的API調(diào)用，50個惡意軟件的行為匯總見表1所示.

在表1中對惡意軟件的行為進(jìn)行了分析.在進(jìn)行這些行為的同時，惡意軟件還收集用戶的隱私信息，見表2.

3.2 惡意行為的分析

通過對惡意軟件的行為進(jìn)行分析，可以發(fā)現(xiàn)惡意軟件的主要表現(xiàn)形式有以下5點(diǎn):(1)惡意扣費(fèi);(2)遠(yuǎn)程控制;(3)隱私竊取;(4)資費(fèi)消耗;(5)流氓行為.

以上5種惡意行為所調(diào)用的系統(tǒng)相關(guān)權(quán)限見表3.

表1 樣本的惡意行為統(tǒng)計

4 檢測與防范

上文中通過對樣本程序進(jìn)行分析，獲得了Andriod惡意軟件的主要表現(xiàn)形式，見表3所示.利用分析的結(jié)果可以為Andriod惡意軟件的檢測與防范提供相應(yīng)依據(jù).

4.1 權(quán)限管理

雖然Andriod系統(tǒng)中對應(yīng)用程序的權(quán)限有著較為嚴(yán)格的設(shè)定，對每一個應(yīng)用程序都采用進(jìn)程隔離的方式來運(yùn)行，每一個應(yīng)用程序如果需要訪問該程序以外的數(shù)據(jù)和目錄都必須要在安裝時向系統(tǒng)提出申請，由用戶進(jìn)行批準(zhǔn).但大多數(shù)用戶在安裝應(yīng)用程序時往往并不會認(rèn)真了解該應(yīng)用程序申請的權(quán)限是否合理，因此并不能確保惡意軟件不會被正常安裝.

由于Andriod系統(tǒng)底層使用的是Linux的內(nèi)核，并且會將手機(jī)中每個文件建立相關(guān)的訪問策略，保存在Linux內(nèi)核的存儲空間中.由此，可以根據(jù)文件的重要程度去設(shè)定相關(guān)權(quán)限［8］.權(quán)限設(shè)定見表4所示.

表2 隱私信息收集分類統(tǒng)計

表3 惡意行為對應(yīng)的主要權(quán)限

上述方法可以從一定程度上能夠保護(hù)手機(jī)不會受到惡意軟件的侵害，并能有效保護(hù)手機(jī)數(shù)據(jù)不會被非法使用.但這種方式存在著訪問策略的制定過于粗放，往往在阻斷惡意軟件的訪問時也會影響到正常軟件的使用.

4.2 行為檢測

行為檢測的方法是現(xiàn)在Andriod惡意軟件檢測中所采用的常見方式.無論是靜態(tài)行為檢測還是動態(tài)行為檢測，都是通過分析惡意軟件的特征行為，并在此基礎(chǔ)上進(jìn)行機(jī)器學(xué)習(xí)，從而建立相關(guān)規(guī)則，用以區(qū)分正常軟件和惡意軟件.由于Andriod應(yīng)用軟件的應(yīng)用范圍在不斷擴(kuò)大，應(yīng)用形式也在不斷更新，因此行為檢測的方法要想始終保持檢測的準(zhǔn)確度，就必須不斷更新，以適應(yīng)新的環(huán)境.現(xiàn)在通常的做法是將行為檢測與黑、白名單相結(jié)合，這樣既降低檢測的復(fù)雜程度，又提高了檢測效率.

表4 文件權(quán)限設(shè)置

5 結(jié)語

Andriod平臺由于其開放性特點(diǎn)，給應(yīng)用軟件的開發(fā)與推廣提供了便利條件，成為迅速占領(lǐng)市場的重要因素.也正是由于其開放性，使得Andriod惡意軟件的泛濫程度遠(yuǎn)遠(yuǎn)大于其他平臺.隨著手機(jī)性能的不斷提高，惡意行為所造成的危害也在不斷提高，對Andriod惡意軟件的檢測與防治工作所面臨的挑戰(zhàn)也變得越來越大.Andriod平臺自身的安全性問題和軟件的審核機(jī)制如果不能在后續(xù)的發(fā)展中得到改善，Andriod平臺安全問題也將會成為另外一個Windows.

［1］國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心.2012年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告［R］.北京:人民郵電出版社，2013.

［2］Miettinen M，Halonen P.Host-based intrusion detection for advanced mobile devices［J］.Information Networking and Applications，2006，20(4):72-76.

［3］Enck W，Gilbert P，Chun B，et al.TaintDroid:An Information-flow Tracking System for Realtime Privacy Monitoring on Smartphones［C］//Proc.of OSDI'10.Vancouver，Canada，2010.

［4］Schmidt A D.Smartphone malware evolution revisited:Android next target? ［C］.In Proceedings of the 4th International Conference on Malicious and Unwanted Software(malware).Montreal，QC，2009:1-7.

［5］Schmidt A D.Detection of Smartphone Maiware［D］.Universitatsbibliothek，2011.

［6］Bose A，Hu X，Shin K G，et al.Behavioral detection of malware on mobile handsets［C］.Proceedings of the 6th international conference on Mobile systems，applications and services.ACM，2008:225-238.

［7］Sharma K，Dand T，Oh T，et al.Malware analysis for Android operating［C］.The 8th Annual Symposium on Information Assurance(ASIA'13).2013:31.

［8］劉昌平，范明鈺，王光衛(wèi)，等.Android手機(jī)的輕量級訪問控制［J］.計算機(jī)應(yīng)用研究，2010，27(7):2611-2613.