曹淑賢

摘 要 安卓（Android）操作系統(tǒng)是最為流行的手機(jī)移動(dòng)端操作系統(tǒng)，目前安卓8.0版本已經(jīng)上線了。本文基于安卓操作系統(tǒng)的各種版本，對(duì)其進(jìn)行安全性分析。本文的分析建立在Linux操作系統(tǒng)和安卓系統(tǒng)的異同之上，分析出了安卓系統(tǒng)所面對(duì)的安全困境，從安卓的安全建模、安全體系設(shè)置、安卓的結(jié)構(gòu)設(shè)置和如何實(shí)現(xiàn)系統(tǒng)安全等方面進(jìn)行了詳盡的分析。

關(guān)鍵詞 操作系統(tǒng) 安全分析 安卓

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A

1安卓操作系統(tǒng)的構(gòu)架

安卓操作系統(tǒng)是運(yùn)用了Linux內(nèi)核和JAVA語(yǔ)言編程的開源手機(jī)端操作系統(tǒng)，大多數(shù)用于例如手機(jī)移動(dòng)終端、平板電腦等。安卓系統(tǒng)分為四層軟件構(gòu)架。從上往下數(shù)分別為，第一，應(yīng)用軟件層，該層包含各種應(yīng)用軟件，例如郵件存儲(chǔ)軟件，短信發(fā)送軟件，電話軟件等，全部用Java語(yǔ)言編寫。第二，應(yīng)用程序?qū)哟?，該層次可以提供系統(tǒng)的基本功能，主要包括一些內(nèi)容提供器文件，比如資源管理器、活動(dòng)管理器、通知管理器、擴(kuò)展視圖等，該層次也是有JAVA語(yǔ)言編寫的。第三，運(yùn)行層次庫(kù)，該層次主要包含了安卓系統(tǒng)運(yùn)行的函數(shù)庫(kù)，包含了一些C語(yǔ)言標(biāo)準(zhǔn)，比如數(shù)據(jù)庫(kù)引擎、安全協(xié)議、圖像引擎、游覽器內(nèi)核文件等。第四，Linux系統(tǒng)內(nèi)核層次，該層以Linux操作系統(tǒng)為內(nèi)核，采用的不是Java而是C語(yǔ)言，提供的是進(jìn)程管理方面的功能，可以進(jìn)行安全設(shè)置、進(jìn)程管理、內(nèi)存管理、網(wǎng)絡(luò)設(shè)置以及硬件設(shè)置等內(nèi)容。

安卓系統(tǒng)當(dāng)中有一個(gè)名為Dalvik的虛擬機(jī)，虛擬機(jī)對(duì)于安卓系統(tǒng)來說尤為重要，虛擬機(jī)可以分配系統(tǒng)的進(jìn)程，系統(tǒng)當(dāng)中的每一個(gè)應(yīng)用程序都在虛擬機(jī)當(dāng)中運(yùn)行，一個(gè)虛擬機(jī)就是一個(gè)進(jìn)程，如果相應(yīng)的程序發(fā)生了崩潰，則設(shè)備整體的運(yùn)行不會(huì)受到該程序的影響。也就是說，安卓系統(tǒng)中一個(gè)程序的運(yùn)行不會(huì)依靠另外一個(gè)程序。

安卓系統(tǒng)的整體都在內(nèi)核空間當(dāng)中進(jìn)行工作運(yùn)行，也就是說如果缺少了必要的驅(qū)動(dòng)程序或者內(nèi)核擴(kuò)展程序不夠完整，則無法對(duì)硬件設(shè)備進(jìn)行訪問。在內(nèi)核空間運(yùn)行的程序可以占領(lǐng)用戶的運(yùn)行空間的程序，比如文件系統(tǒng)雖然運(yùn)行在用戶的空間當(dāng)中，但是與顯示相關(guān)的驅(qū)動(dòng)程序則是在內(nèi)核空間中運(yùn)行，因此顯示相關(guān)的驅(qū)動(dòng)就可以搶占文件系統(tǒng)的應(yīng)用進(jìn)程。

2安卓系統(tǒng)的安全機(jī)制問題

安卓系統(tǒng)在Linux系統(tǒng)的安全機(jī)制基礎(chǔ)之上，又加載了谷歌公司為其專門定制的增強(qiáng)安全機(jī)制。增加了UID和GID，UID是用戶識(shí)別標(biāo)志，GID是組織機(jī)構(gòu)識(shí)別標(biāo)志。谷歌公司還為其增加了簽名機(jī)制和用戶授權(quán)機(jī)制，并且使用的JAVA語(yǔ)言也更加安全。

2.1 Android系統(tǒng)的用戶識(shí)別和機(jī)構(gòu)識(shí)別

安卓系統(tǒng)的設(shè)置權(quán)限是相互分離的，雖然Linux系統(tǒng)已經(jīng)出現(xiàn)了權(quán)限的分離，安卓系統(tǒng)還是對(duì)其安全權(quán)限設(shè)置進(jìn)行了擴(kuò)展。具體到操作層面，安卓系統(tǒng)為應(yīng)用程序分配有用戶識(shí)別功能和機(jī)構(gòu)識(shí)別功能，使得相應(yīng)的訪問屬于相互之間處于相對(duì)隔離的狀態(tài)，達(dá)到了更加安全的目的。

安卓系統(tǒng)每安裝一個(gè)相關(guān)的應(yīng)用軟件都會(huì)分配一個(gè)獨(dú)特的用戶識(shí)別標(biāo)志，而Linux系統(tǒng)是所有的用戶都是同一個(gè)用戶識(shí)別標(biāo)志。其中如果用戶沒有root，則文件的讀寫和執(zhí)行操作的權(quán)限之外還有不同的權(quán)限設(shè)置，如果進(jìn)行過root則其權(quán)限為零，也即沒有UID。不同的用戶對(duì)于文件都有相應(yīng)的權(quán)限，分為可以執(zhí)行、可以讀取處理以及可讀。安卓系統(tǒng)的所有應(yīng)用程序都有不同的用戶標(biāo)志，只有攜帶有獨(dú)特UID的應(yīng)用程序，才能讀取其所需要的相關(guān)資料。

GID也是安卓系統(tǒng)用戶權(quán)限管理的一部分。GID是一組權(quán)限的合集，在獨(dú)特的框架當(dāng)中運(yùn)行，與應(yīng)用需要的具體權(quán)限相關(guān)聯(lián)。應(yīng)用每去申請(qǐng)一個(gè)權(quán)限，GID就會(huì)加入一個(gè)對(duì)應(yīng)的識(shí)別標(biāo)志，因此GID可以認(rèn)為是一個(gè)關(guān)于權(quán)限的合集，對(duì)于普通的應(yīng)用程序而言，GID就是UID，但是由于安卓系統(tǒng)的每一個(gè)程序都有對(duì)應(yīng)的不同應(yīng)用，每一個(gè)進(jìn)程都有相應(yīng)的UID權(quán)限，也就是說安卓系統(tǒng)的應(yīng)用程序之間是相互分離的，每一個(gè)應(yīng)用程序都有各自的一個(gè)黑箱，其他的應(yīng)用程序無法影響相應(yīng)的應(yīng)用程序。

2.2安卓系統(tǒng)的權(quán)限管理

權(quán)限許可的英文為permission，權(quán)限許可也可以保障安卓系統(tǒng)的安全性，也是一種安全標(biāo)志，同時(shí)也是安卓系統(tǒng)一些特殊功能的操作基礎(chǔ)，安卓系統(tǒng)的操作權(quán)限管理相關(guān)的安全機(jī)制主要可劃分成，訪問權(quán)限管控和操作權(quán)限細(xì)分。

安卓系統(tǒng)的權(quán)限劃分主要分為三方面，包括權(quán)限的命名、權(quán)限的分組、權(quán)限的級(jí)別。一個(gè)權(quán)限組又可以劃分成不同的合集，例如在一個(gè)名為COSTMONEY權(quán)限合集當(dāng)中，又包括了permission，SMS-permission，CALLPHONE等和付費(fèi)相關(guān)的權(quán)限，每個(gè)權(quán)限都有不同的保護(hù)級(jí)別，都有相異的標(biāo)志來劃分。安卓共有四個(gè)不同的級(jí)別，安全程度分別是normal正常，dangerous危險(xiǎn)，signature，和signature or system，不同的保護(hù)層次都有不同的認(rèn)證方法，例如normal的權(quán)限只要進(jìn)行申請(qǐng)就可以，dangerous的權(quán)限需要用戶安裝應(yīng)用的過程之中就進(jìn)行確定。Signature則需要獨(dú)特的數(shù)字證書。

安卓系統(tǒng)的權(quán)限許可機(jī)制也限制了其某些操作的執(zhí)行，目前的安卓系統(tǒng)的內(nèi)置權(quán)限大約有一百多條，如果涉及到相關(guān)的應(yīng)用更改時(shí)則不計(jì)其數(shù)，例如打電話、攝像、使用網(wǎng)絡(luò)等等，發(fā)送信息也有相應(yīng)的安全設(shè)置。所有的安卓應(yīng)用都能申請(qǐng)某些權(quán)限，或者被授權(quán)進(jìn)行某些特殊的操作，在程序安裝的過程當(dāng)中就需要進(jìn)行一些權(quán)限申請(qǐng)。

如果一個(gè)特定的安卓程序沒有相關(guān)的權(quán)限設(shè)置，那么其有可能進(jìn)行了一些危害用戶安全的操作，客戶的一些敏感數(shù)據(jù)會(huì)被未經(jīng)授權(quán)的操作程序所損壞。如果相應(yīng)的操作程序不在自己特定的黑箱之中，在特定的運(yùn)行范圍之外運(yùn)行了惡意程序，將會(huì)對(duì)系統(tǒng)整體產(chǎn)生非常大的不利影響。

2.3安卓系統(tǒng)的簽名機(jī)制

安卓系統(tǒng)也可以通過簽名機(jī)制對(duì)自己進(jìn)行保護(hù)，安卓系統(tǒng)的應(yīng)用都是需要進(jìn)行簽名的，通過簽名可以限制對(duì)程序的部分修改，確保改變的來源是相同的。在軟件安裝的過程當(dāng)中主要是通過提取證書進(jìn)行認(rèn)證，獲取簽名的算法信息，與之前的應(yīng)用程序進(jìn)行比對(duì)，獲取是否匹配的結(jié)論。endprint

3安卓系統(tǒng)所面對(duì)的安全威脅

安卓系統(tǒng)所面臨的安全威脅的種類是多種多樣的，具體而言主要有以下一些。

3.1開源的系統(tǒng)所帶來的風(fēng)險(xiǎn)

安卓系統(tǒng)采用了較為激進(jìn)的開源型系統(tǒng)軟件開發(fā)模式，所有用戶都可以通過應(yīng)用商店下載應(yīng)用程序，同時(shí)用戶也可以安裝應(yīng)用商店當(dāng)中沒有的應(yīng)用，除官方應(yīng)用商店之外還有其他應(yīng)用商店也可以下載程序。雖然應(yīng)用程序上傳應(yīng)用商店之后，都會(huì)被進(jìn)行強(qiáng)制安全檢查，但是某些應(yīng)用市場(chǎng)沒有執(zhí)行很好的檢查措施，一些應(yīng)用程序沒有通過應(yīng)用市場(chǎng)進(jìn)行安裝，一些程序還可以通過電腦軟件復(fù)制到手機(jī)當(dāng)中進(jìn)行安裝。安卓系統(tǒng)的這種過于開放的安裝模式豐富了系統(tǒng)應(yīng)用軟件的同時(shí)，也造成了惡意代碼的廣泛侵襲。惡意代碼的開發(fā)者可以通過各種渠道進(jìn)入手機(jī)，通過應(yīng)用商店合法的下載應(yīng)用，然后植入惡意代碼重新打包，之后再次發(fā)布，將會(huì)造成偽裝的應(yīng)用程序和合法的原生程序具有相同的數(shù)字簽名，雖然國(guó)內(nèi)的手機(jī)市場(chǎng)和相關(guān)論壇都有相應(yīng)的檢測(cè)辦法，但是安卓的系統(tǒng)安全還是過于簡(jiǎn)單，根據(jù)360公司統(tǒng)計(jì)的數(shù)據(jù)，國(guó)內(nèi)的設(shè)備感染惡意程序的發(fā)生概率為百分之五十以上。

3.2權(quán)限的許可方法問題

安卓系統(tǒng)的安全模式當(dāng)中，雖然應(yīng)用程序需要獲取的權(quán)限在安裝過程當(dāng)中已經(jīng)向客戶進(jìn)行了示明，并且安裝之后無法改變，在程序的安裝過程當(dāng)中，相關(guān)的權(quán)限列表客戶是可以獲取的，并且客戶可以判斷這些權(quán)限是否為滿足軟件的正常使用所必須，但是，如果出現(xiàn)一個(gè)軟件所要求的應(yīng)用權(quán)限過多的情況，用戶還是無法直接選擇不安裝或者將該程序標(biāo)記為可疑。沒有機(jī)制可保證系統(tǒng)對(duì)于不受控制的安裝源頭完全規(guī)避，惡意代碼的防范機(jī)制沒有有效運(yùn)行，仍然有軟件可疑超出常規(guī)的進(jìn)行操作。惡意代碼的防范機(jī)制依賴于客戶的判斷，如果客戶沒有這種判斷能力，則防范機(jī)制無法發(fā)揮作用，上述惡意代碼防范機(jī)制顯得不夠合理，需要改進(jìn)。大多數(shù)普通用戶是程序的使用者而不是程序的開發(fā)者，如果他們不了解程序的運(yùn)行機(jī)制，則無法對(duì)其安全性進(jìn)行判斷，普通的用戶也完全沒有必要去了解程序的運(yùn)行機(jī)制。惡意代碼的開發(fā)者只要去發(fā)現(xiàn)某一特定的應(yīng)用，然后根據(jù)提示進(jìn)行捆綁，然后很多惡意代碼就會(huì)自動(dòng)的轉(zhuǎn)入用戶的手機(jī)當(dāng)中，如此一來惡意代碼的開發(fā)者非常方便的獲取傳播路徑，可以通過代碼的不斷更新獲取更多權(quán)限。由于很多用戶信任某類特定的應(yīng)用，沒有防范意識(shí)，更加造成了惡意程序容易入侵手機(jī)系統(tǒng)。

3.3操作系統(tǒng)漏洞

任何復(fù)雜的軟件系統(tǒng)都有自身的漏洞，安卓系統(tǒng)也有自身的缺陷和漏洞，例如安卓系統(tǒng)利用黑箱來處理相互孤立的程序，惡意程序可以在自己獨(dú)立的黑箱當(dāng)中運(yùn)行，移動(dòng)設(shè)備無法給予用戶特定的權(quán)限，如果需要獲取安卓系統(tǒng)的控制權(quán)限就必須進(jìn)行root，更加加重了不安全性。惡意程序還可以運(yùn)用漏洞所存在的黑箱，獲取系統(tǒng)的root權(quán)限。如果用戶基于其他目的而對(duì)手機(jī)進(jìn)行root，惡意代碼就獲得了可以隨意入侵的通道。同時(shí)，如果想對(duì)手機(jī)進(jìn)行root，則必須利用系統(tǒng)漏洞，這也就造成更多的開發(fā)者想要獲取系統(tǒng)漏洞，使得系統(tǒng)漏洞成為了一種資源，同時(shí)開發(fā)者也不希望當(dāng)前已知的系統(tǒng)漏洞被堵上。惡意代碼通過漏洞不斷發(fā)展，獲取了root權(quán)限之后則在系統(tǒng)當(dāng)中進(jìn)行不受控制的安裝，隨意修改客戶的程序文件，對(duì)用戶的系統(tǒng)造成了非常大的不利影響。

3.4利用軟件漏洞進(jìn)行攻擊

一些應(yīng)用程序本身存在漏洞，應(yīng)用軟件的漏洞也會(huì)受到攻擊，惡意代碼能夠通過應(yīng)用軟件本身的漏洞攻擊手機(jī)，游覽器是一種最容易受到攻擊的應(yīng)用軟件，本身包含了大量可被攻擊的漏洞代碼。與此同時(shí)，游覽器是系統(tǒng)所不可缺少的組成部分之一，客戶的使用頻次也更多，因此危險(xiǎn)性也更大，同時(shí)由于游覽器存在的漏洞比較難以修復(fù)，游覽器的版本和固件的版本是相同的，也很難進(jìn)行升級(jí)換代。大量的安卓用戶為了系統(tǒng)的運(yùn)行順暢或者獲得新的用戶體驗(yàn)，而不斷進(jìn)行刷機(jī)，市場(chǎng)上也有很多定制的優(yōu)化版本，如果惡意代碼被嵌入到ROM當(dāng)中將會(huì)更加隱蔽，同時(shí)惡意代碼還將獲得更加強(qiáng)大的破壞力，根據(jù)安全軟件公司的統(tǒng)計(jì)數(shù)據(jù)，內(nèi)嵌式的惡意代碼占到了被感染用戶的百分之十左右。

4安卓系統(tǒng)安全的發(fā)展需求

雖然安卓系統(tǒng)有完善的保護(hù)機(jī)制，但是在巨大的安全壓力下，該系統(tǒng)也暴露了一些缺陷，如何更好的保護(hù)用戶的安全一直是一個(gè)棘手的問題，隨著安卓系統(tǒng)使用人數(shù)的增加，更多的用戶將會(huì)受到不安全因素的影響，除了不斷更新安全保護(hù)方法之外，似乎沒有更好的方法。在現(xiàn)有的安全防范機(jī)制之外，可以探索新的開發(fā)模式，改變一些權(quán)限操作辦法，彌補(bǔ)更多的系統(tǒng)漏洞，或許可以應(yīng)對(duì)軟件面對(duì)的安全威脅。

參考文獻(xiàn)

[1] 于桂芹.基于安卓操作系統(tǒng)安全機(jī)制的安全性研究[J].產(chǎn)業(yè)與科技論壇，2017，16（11）：35-36.

[2] 于桂芹.安卓系統(tǒng)開發(fā)中的數(shù)據(jù)存儲(chǔ)及其安全性研究[J].信息記錄材料，2017，18（03）：34-36.

[3] 嚴(yán)磊.安卓操作系統(tǒng)的安全性研究[J].電腦與信息技術(shù)，2016，24（05）：39-41+63.

[4] 羅來曦，朱漁.試論安卓系統(tǒng)的安全性及提升策略[J].信息系統(tǒng)工程，2014（11）：65.

[5] 諸姣，李宏偉，彭鑫，趙文耘.安卓應(yīng)用系統(tǒng)的功能與權(quán)限相關(guān)性研究[J].計(jì)算機(jī)應(yīng)用與軟件，2014，31（10）：27-33.endprint