謝金鳳　中國(guó)信息通信研究院西部分院工程師戴　燕　西南計(jì)算機(jī)有限責(zé)任公司工程師化潔玉　中國(guó)信息通信研究院西部分院工程師

?

Android系統(tǒng)智能手機(jī)安全威脅及保護(hù)機(jī)制淺析*

謝金鳳中國(guó)信息通信研究院西部分院工程師
戴燕西南計(jì)算機(jī)有限責(zé)任公司工程師
化潔玉中國(guó)信息通信研究院西部分院工程師

摘要：介紹了Android系統(tǒng)智能手機(jī)的多種安全機(jī)制，包括程序沙盒、文件訪問(wèn)控制、Root權(quán)限控制、應(yīng)用權(quán)限管理、程序數(shù)字簽名等。同時(shí)，從應(yīng)用程序內(nèi)嵌惡意代碼、入侵Android系統(tǒng)漏洞、利用Root權(quán)限惡意操作三個(gè)方面分析了Android系統(tǒng)的常見(jiàn)安全威脅，提出了相應(yīng)應(yīng)對(duì)措施。

關(guān)鍵詞：Android系統(tǒng)；智能手機(jī)；信息安全

1　引言

隨著移動(dòng)互聯(lián)網(wǎng)、智能芯片、云計(jì)算等技術(shù)的日益成熟，智能手機(jī)已不再僅僅作為通訊工具，而是滲透入了人們生活的購(gòu)物、出行、生活繳費(fèi)、定向資訊等方方面面。Android手機(jī)操作系統(tǒng)是Google公司基于Linux開(kāi)發(fā)的手機(jī)操作系統(tǒng)，于2007年問(wèn)世以來(lái)，由于其開(kāi)放性、擴(kuò)展性、可操作性，在智能手機(jī)中獲得了廣泛應(yīng)用。據(jù)2015年12月市場(chǎng)研究機(jī)構(gòu)IDC公布的《全球手機(jī)季度跟蹤報(bào)告》預(yù)測(cè)，2015年全球智能手機(jī)出貨量達(dá)到14.3億部，其中Android市場(chǎng)份額在可達(dá)82%。Android智能手機(jī)操作系統(tǒng)在可預(yù)見(jiàn)的未來(lái)仍將處于主導(dǎo)地位。

伴隨著Android智能手機(jī)系統(tǒng)深入滲透人們?nèi)粘Ｉ?，Android系統(tǒng)的安全性也成為廣受關(guān)注的問(wèn)題。由于智能手機(jī)目前已涉及地理位置記錄、銀行賬號(hào)、人際關(guān)系等重要個(gè)人隱私信息，一旦被不良人士入侵將造成嚴(yán)重的財(cái)產(chǎn)甚至人身?yè)p失。因此，分析Android系統(tǒng)智能手機(jī)的安全體系及潛在威脅，對(duì)于健全Android智能手機(jī)安全保護(hù)機(jī)制具有重要意義。

2　Android系統(tǒng)安全體系

Android系統(tǒng)是基于Linux內(nèi)核實(shí)現(xiàn)的，保留了Linux系統(tǒng)中程序沙盒、文件訪問(wèn)控制等安全機(jī)制，此外設(shè)置了系統(tǒng)Root權(quán)限、應(yīng)用權(quán)限管理、程序數(shù)字簽名等安全機(jī)制，分別保障了應(yīng)用發(fā)布、安裝和運(yùn)行過(guò)程中的安全。

（1）程序沙盒

Android系統(tǒng)為每個(gè)應(yīng)用提供一個(gè)Dalvik虛擬機(jī)，并為其創(chuàng)建一個(gè)UID。系統(tǒng)為每個(gè)運(yùn)行程序分配一塊內(nèi)存空間，令各個(gè)應(yīng)用程序于獨(dú)立進(jìn)程運(yùn)行，從而實(shí)現(xiàn)相互隔離。只有通過(guò)設(shè)置sharedUserID，令兩個(gè)應(yīng)用實(shí)用同一個(gè)UID，方能運(yùn)行于同一進(jìn)程，實(shí)現(xiàn)資源和權(quán)限的共享。基于程序沙盒，可保障應(yīng)用的獨(dú)立性，在單個(gè)應(yīng)用出現(xiàn)問(wèn)題時(shí)，可通過(guò)消除其Dalvik虛擬機(jī)實(shí)例保障系統(tǒng)的安全運(yùn)行。

（2）文件訪問(wèn)控制

基于Android系統(tǒng)為每個(gè)用戶和應(yīng)用程序創(chuàng)建的UID，可實(shí)現(xiàn)對(duì)文件訪問(wèn)的控制。每個(gè)用戶對(duì)于每個(gè)文件都有不同的權(quán)限，分別為R（可讀）、W（可寫）和X（可執(zhí)行）。每個(gè)應(yīng)用程序創(chuàng)建的文件會(huì)分配該應(yīng)用程序的用戶ID。通過(guò)文件所屬的權(quán)限、組ID和RWX組合，可實(shí)現(xiàn)應(yīng)用程序?qū)ξ募脑L問(wèn)控制。僅Root用戶對(duì)所有文件都有讀寫和執(zhí)行的權(quán)限。其他情況下，應(yīng)用程序僅能訪問(wèn)特定的文件，而不能訪問(wèn)系統(tǒng)文件，從而保護(hù)系統(tǒng)免受外部修改，保障系統(tǒng)的正常運(yùn)行。

（3）Root權(quán)限控制

Android系統(tǒng)角色分為普通用戶、Root用戶兩種。普通用戶只能操作與自己有關(guān)的內(nèi)容。而Root用戶具有操作系統(tǒng)文件、操作硬件設(shè)備等最高權(quán)限，系統(tǒng)中只有個(gè)別程序具有Root權(quán)限。即使對(duì)手機(jī)進(jìn)行Root破解，令普通用戶和應(yīng)用程序也擁有Root權(quán)限，Android系統(tǒng)仍會(huì)采用SuperUser程序?qū)彶镽oot權(quán)限的操作，進(jìn)一步保障系統(tǒng)的正常運(yùn)行。

（4）應(yīng)用權(quán)限管理

Android系統(tǒng)提供了多粒度的權(quán)限控制機(jī)制，應(yīng)用程序在配置文件里可聲明自身各個(gè)組建的訪問(wèn)權(quán)限。權(quán)限包括權(quán)限的名稱、權(quán)限所屬的組和保護(hù)類別3方面信息，保護(hù)級(jí)別分為普通、危險(xiǎn)、簽名、簽名或系統(tǒng)4類。在程序安裝時(shí)，該程序使用的權(quán)限將清晰羅列并呈現(xiàn)給用戶，以供用戶選擇是否安裝。

（5）程序數(shù)字簽名

Android系統(tǒng)的每個(gè)應(yīng)用程序都必須通過(guò)數(shù)字證書簽名，以供標(biāo)識(shí)此應(yīng)用的開(kāi)發(fā)者。通過(guò)對(duì)比應(yīng)用APK安裝程序的簽名，可判斷此安裝程序是否為被破解、篡改后重新簽名打包的盜版軟件。

3　Android系統(tǒng)威脅

由于Android系統(tǒng)采用開(kāi)放式架構(gòu)，在為開(kāi)發(fā)者提供API接口與開(kāi)發(fā)工具包以供便捷調(diào)用的同時(shí)，也為惡意代碼惡意扣費(fèi)、竊取隱私、破壞系統(tǒng)、消耗資費(fèi)等違法操作提供了條件，主要途徑包括應(yīng)用程序內(nèi)嵌惡意代碼、入侵Android系統(tǒng)漏洞、利用Root權(quán)限惡意操作等。

（1）應(yīng)用程序內(nèi)嵌惡意代碼

Android系統(tǒng)的數(shù)字簽名機(jī)制雖可判斷應(yīng)用程序是否為插入惡意攻擊代碼后重新打包的惡意應(yīng)用，一定程度上防范了惡意程序的安裝。然而，由于Android系統(tǒng)的開(kāi)放性及版本的碎片化，仍存在部分繞過(guò)數(shù)字簽名認(rèn)證的手段。其一，是Android系統(tǒng)的簽名認(rèn)證繞過(guò)漏洞，惡意開(kāi)發(fā)者可通過(guò)在APK文件中內(nèi)嵌新的字節(jié)碼文件classes.dex繞過(guò)簽名機(jī)制。其二，是修改簽名APK包META-INF文件夾中的簽名數(shù)據(jù)文件。

當(dāng)前，對(duì)此類惡意應(yīng)用程序的檢測(cè)手段可分為兩種方式：

●靜態(tài)分析Android應(yīng)用的掃描特征碼和簽名信息等。

●動(dòng)態(tài)監(jiān)控Android應(yīng)用的API調(diào)用行為。

（2）入侵Android系統(tǒng)漏洞

Android系統(tǒng)的版本一直在不斷更新升級(jí)，然而每個(gè)版本都可能存在一些漏洞，如Stagefright漏洞、Mediaserver漏洞、0day漏洞等。攻擊者可通過(guò)惡意APP或網(wǎng)站，利用Android系統(tǒng)漏洞造成設(shè)備無(wú)法響應(yīng)、繞過(guò)沙盒操作程序、竊取用戶信息、導(dǎo)致設(shè)備變磚等安全事件。

業(yè)內(nèi)已有Trend Micro、WooYun等多個(gè)殺毒軟件公司、安全研究機(jī)構(gòu)針對(duì)Android系統(tǒng)漏洞進(jìn)行研究。一方面，Google應(yīng)對(duì)系統(tǒng)漏洞引起足夠重視，盡快修正漏洞，推行更新、更穩(wěn)定的系統(tǒng)版本；另一方面，Android智能手機(jī)使用者應(yīng)保持足夠警惕，及時(shí)更新系統(tǒng)版本，于正規(guī)應(yīng)用市場(chǎng)下載正版軟件，避免登錄不可靠的網(wǎng)站等。

（3）利用Root權(quán)限惡意操作

基于Android系統(tǒng)的開(kāi)源性，用戶可基于刷機(jī)在手機(jī)中安裝他人發(fā)布的系統(tǒng)鏡像，或基于獲取Root權(quán)限操作系統(tǒng)文件，從而改變系統(tǒng)界面、實(shí)現(xiàn)特殊功能。然而惡意開(kāi)發(fā)者可能在ROM中內(nèi)置惡意軟件，獲取用戶隱私信息、私自扣費(fèi)等，或基于惡意應(yīng)用修改和控制系統(tǒng)文件，為用戶造成不易察覺(jué)的財(cái)產(chǎn)損失。

為防范此類安全威脅，一方面，論壇、應(yīng)用分享社區(qū)、第3方應(yīng)用市場(chǎng)等應(yīng)加強(qiáng)對(duì)所發(fā)布和分享Rom、APP等資源的管理，及時(shí)開(kāi)展安全性檢查、刪除清理等工作，防止成為惡意資源傳播的溫床；另一方面，用戶應(yīng)加強(qiáng)防范意識(shí)，對(duì)新安裝的應(yīng)用或Rom進(jìn)行入侵檢測(cè)，及時(shí)發(fā)現(xiàn)和卸載惡意軟件，避免造成持續(xù)損失。

4　結(jié)束語(yǔ)

雖然Android系統(tǒng)的安全體系已經(jīng)比較完善，但由于Android系統(tǒng)自身的開(kāi)放性、開(kāi)源性，仍存在多種多樣的安全威脅，亟需強(qiáng)化Android安全機(jī)制，完善惡意應(yīng)用檢測(cè)手段，規(guī)范國(guó)內(nèi)第3方應(yīng)用市場(chǎng)，提升系統(tǒng)漏洞挖掘能力。營(yíng)造安全的Android智能手機(jī)應(yīng)用環(huán)境，需要Google、信息安全檢測(cè)機(jī)構(gòu)、信息安全實(shí)驗(yàn)室、應(yīng)用共享社區(qū)的多方面角色的共同努力，任重而道遠(yuǎn)。

參考文獻(xiàn)

［1］Google Inc.Android security［EB/OL］.［2013-06-26］.https：// source.android.com/tech/security.

［2］雷靈光，張中文，王悅武，等.Android系統(tǒng)代碼簽名驗(yàn)證機(jī)制的實(shí)現(xiàn)及安全性分析［J］.信息網(wǎng)絡(luò)安全，2012（8）.

［3］WooYun.Androiduncobersmaster-keyvulnerabilityanalysis ［EB/OL］.［2013-12-09］.http：//drops.wooyun.org/papers/219.

中創(chuàng)信測(cè)技術(shù)專欄

Analysisonthe security threats and protectionmechanismof android intelligent mobile phone

XIEJinfeng，DAIYan，HUAJieyu

Abstract：This paper introduces the security mechanisms of android intelligent mobile phone， includes app sandbox， file access control， root right control， app authorization management， and file access control. What’s more， the paper analysis the common security threats of android system， includes application with embedded malicious code， intrusion android system vulnerabilities， and malicious operations using root right.At thesametime， put forward the corresponding countermeasures.

Keywords:android system； intelligent mobile phone； information safety

*基金項(xiàng)目：重慶市應(yīng)用開(kāi)發(fā)計(jì)劃項(xiàng)目（cstc2014yykfC40002），重慶市科技平臺(tái)與基地建設(shè)計(jì)劃項(xiàng)目（cstc2014pt-gc40002），重慶市電子信息產(chǎn)品測(cè)試工程技術(shù)研究中心項(xiàng)目（渝科委發(fā)［2014］1號(hào)）資助

收稿日期：（2016-02-20）