◎北京郵電大學(xué)網(wǎng)絡(luò)與交換技術(shù)國家重點實驗室信息安全中心 于成麗

北京信息科技大學(xué)理學(xué)院 吳秋新

北京郵電大學(xué)網(wǎng)絡(luò)與交換技術(shù)國家重點實驗室信息安全中心 郭燕慧

一種Android應(yīng)用安全審核認證系統(tǒng)的設(shè)計方案

◎北京郵電大學(xué)網(wǎng)絡(luò)與交換技術(shù)國家重點實驗室信息安全中心 于成麗

北京信息科技大學(xué)理學(xué)院 吳秋新

北京郵電大學(xué)網(wǎng)絡(luò)與交換技術(shù)國家重點實驗室信息安全中心 郭燕慧

針對惡意APK文件泛濫問題，綜合靜態(tài)、動態(tài)安全檢測和APK重簽名技術(shù)，設(shè)計了一套安全的Android應(yīng)用審核認證系統(tǒng)，它由基于Web應(yīng)用的安全審核平臺和智能終端APK安全認證模塊構(gòu)成。安全審核平臺利用強健的調(diào)度子系統(tǒng)完成了批量APK應(yīng)用的提交、安全檢測、重簽名、發(fā)布及統(tǒng)計查詢功能，保證了發(fā)布到官方應(yīng)用商城中APK的安全性；智能終端APK安全認證模塊引入了新型的重簽名技術(shù)，可有效判斷APK應(yīng)用是否由“官方”安全認證。由此可見，該系統(tǒng)從“源”（應(yīng)用商城）到“端”（智能終端）保障了APK文件的安全。

安全審核平臺；APK安全認證；靜態(tài)檢測；動態(tài)檢測；APK重簽名

近年來，隨著操作系統(tǒng)、生態(tài)體系、無線互聯(lián)技術(shù)的日益完善，智能電視成為繼PC、手機和平板電腦之后互聯(lián)網(wǎng)企業(yè)競逐的一塊全新領(lǐng)地，基于此，智能電視產(chǎn)業(yè)開始進入快速發(fā)展階段?！?014年智能電視行業(yè)媒介數(shù)據(jù)報告》顯示，截至2014年3月，國內(nèi)智能電視銷售量已超過0.35億臺，智能電視應(yīng)用數(shù)量更超過3.2萬款，其中，基于And?riod系統(tǒng)的智能終端操作系統(tǒng)已經(jīng)占據(jù)了大半江山。在Android電視應(yīng)用系統(tǒng)快速發(fā)展的同時，惡意APK應(yīng)用、惡意代碼、詐騙軟件等隨之涌現(xiàn)。由于Android平臺的開放性，部分被收買的開發(fā)者在定制ROM時肆意破解篡改發(fā)布的APK軟件安裝包，在APK編譯后，通過植入大量的木馬病毒來竊取用戶信息，給Android用戶帶來了嚴(yán)重的隱私安全和經(jīng)濟損失[1-3]。截至2014年7月底，惡意和高風(fēng)險Android應(yīng)用程序數(shù)量已經(jīng)達到290萬，Zhou等[4]在對第三方電子市場研究后發(fā)現(xiàn)，惡意代碼往往通過篡改并將自身注入到正常應(yīng)用程序（即重打包）的方法，達到偽裝并欺騙用戶下載的目的。鑒于以上原因，他們提出采用Fuzzy Hashing方法，以實現(xiàn)重打包檢測。實驗結(jié)果顯示，第三方電子市場5%～13%的應(yīng)用程序被黑客進行了重打包。更多研究表明[5-6]，現(xiàn)存眾多第三方電子市場由于普遍缺乏健全的Android應(yīng)用審核認證機制，因此成為了惡意軟件的溫床。

智能電視和智能手機在應(yīng)用方面不存在本質(zhì)上的區(qū)別，在某種程度上，甚至可以認為是將手機上的應(yīng)用照搬到電視上，因此，從飽受病毒侵?jǐn)_的智能手機的現(xiàn)狀可以預(yù)見，未來智能電視也將出現(xiàn)大量的安全問題。為保障整個家庭的信息安全，減少用戶不必要的經(jīng)濟損失，搭建并維護一套安全的Android應(yīng)用審核認證系統(tǒng)勢在必得。

然而，某些Android應(yīng)用審核系統(tǒng)單憑第三方安全檢測軟件對相關(guān)APK進行審核估計便發(fā)布應(yīng)用商城，而當(dāng)用戶下載安裝APK時，終端并沒有認證機制來保證其安全性。從某種意義上說，這樣審核機制治標(biāo)不治本，它無法阻止不法分子先下載APK后對其篡改，然后再通過某些未被審核的應(yīng)用商城轉(zhuǎn)到Android用戶。

基于此，本文提出了一套可從“源”（應(yīng)用商城）到“端”（智能終端）保障APK文件安全的系統(tǒng)。

設(shè)計方案

為徹底防御惡意APK，北京郵電大學(xué)網(wǎng)絡(luò)與交換技術(shù)國家重點實驗室信息安全中心設(shè)計了一套安全的APK應(yīng)用審核認證系統(tǒng)。本系統(tǒng)除了利用靜態(tài)、動態(tài)、病毒檢測逐層加強APK安全性外，還可利用“官方”私鑰，在智能終端中引入新型的重簽名技術(shù)，通過對APK重簽，以保證其安全和可認證性。同時，在智能終端嵌入APK安全認證模塊，認證模塊在應(yīng)用安裝過程中對APK進行驗簽，判斷它是否由“官方”安全認證，從而判定它是否為已被破解、被篡改過的打包“盜版軟件”，以有效確保Android用戶安全使用APK軟件安裝包。該系統(tǒng)通過實施“三重保障”安全檢測技術(shù)和終端重簽名驗簽安全認證機制，可從“源”（應(yīng)用商城）到“端”（智能終端）保障APK文件的安全。

本系統(tǒng)為應(yīng)用開發(fā)者和Android用戶提供了APK應(yīng)用提交、安全測試、重簽名、發(fā)布、終端安全認證服務(wù)。此外，系統(tǒng)還通過一個基于任務(wù)隊列的調(diào)度子系統(tǒng)完成相關(guān)任務(wù)調(diào)度功能，具備高可靠性、高容錯性、高效、高擴展性等特點，能夠應(yīng)對海量數(shù)據(jù)的并發(fā)處理和調(diào)度，同時可滿足負載均衡的要求，實現(xiàn)了平臺任務(wù)的高效處理和回收。具體設(shè)計框架及運行流程如圖1所示。

系統(tǒng)功能結(jié)構(gòu)

本Android應(yīng)用審核認證系統(tǒng)主要由基于Web應(yīng)用的安全審核平臺和智能終端APK安全認證模塊構(gòu)成。以安全檢測技術(shù)為基礎(chǔ)，審核平臺能夠檢測發(fā)布到官方應(yīng)用商城中的APK安全，而智能終端APK安全認證模塊可利用“官方”公私鑰證書對待安裝到終端的APK文件進行簽名驗證。

1.基于Web應(yīng)用的安全審核平臺

基于Web應(yīng)用的安全審核平臺主要由用戶層、應(yīng)用層、數(shù)據(jù)層和網(wǎng)絡(luò)層構(gòu)成，其架構(gòu)如圖2所示。用戶層泛指面向平臺的使用對象，主要包括管理員、智能電視等靜態(tài)用戶和智能手機、平板電腦等動態(tài)用戶；應(yīng)用層主要職責(zé)是接收用戶層分發(fā)的各種任務(wù)、調(diào)度并匹配平臺資源、回收安全檢測和重簽名相關(guān)結(jié)果信息，最終將信息傳遞給數(shù)據(jù)層；數(shù)據(jù)層以數(shù)據(jù)庫集群和磁盤陣列等形式完成各層對相應(yīng)業(yè)務(wù)數(shù)據(jù)的快速存儲和安全訪問；網(wǎng)絡(luò)層為系統(tǒng)平臺網(wǎng)絡(luò)連接、數(shù)據(jù)流量控制、網(wǎng)絡(luò)運行狀態(tài)控制等最基本網(wǎng)絡(luò)數(shù)據(jù)傳送服務(wù)。顯然，應(yīng)用層是審核平臺的核心，本小節(jié)將主要圍繞Web前端、調(diào)度子系統(tǒng)和功能引擎等三方面介紹平臺核心應(yīng)用層的體系結(jié)構(gòu)。

Web前端：Web前端的主要功能是完成與用戶層的交互工作，通過端口監(jiān)聽、查詢MySQL和MongoDB數(shù)據(jù)庫完成檢測結(jié)果的查詢與分析、數(shù)據(jù)更新與整合、文件上傳與下載、APK應(yīng)用狀態(tài)查詢、系統(tǒng)管理等功能。

調(diào)度子系統(tǒng)：調(diào)度子系統(tǒng)的主要功能是實現(xiàn)批量任務(wù)接收、調(diào)度、結(jié)果回收、結(jié)果數(shù)據(jù)存儲等功能?；谌蝿?wù)隊列和心跳反射機制，調(diào)度子系統(tǒng)根據(jù)評估系統(tǒng)性能，調(diào)度并匹配系統(tǒng)資源進而根據(jù)匹配結(jié)果分發(fā)任務(wù)，以保證系統(tǒng)資源池服務(wù)器集群的相對負載均衡。

圖1 Android應(yīng)用安全審核認證系統(tǒng)

它主要包括3部分：

1）外節(jié)點，調(diào)度子系統(tǒng)的對外接口。具有接收上層下發(fā)任務(wù)及檢測結(jié)果、更新應(yīng)用狀態(tài)、同步安全檢測規(guī)則庫等基本數(shù)據(jù)庫操作功能。

2）中心節(jié)點，調(diào)度子系統(tǒng)任務(wù)調(diào)度、分發(fā)的核心部分。首先，任務(wù)隊列模塊根據(jù)提交的任務(wù)形成待分配的任務(wù)隊列并提交給任務(wù)調(diào)度模塊；其次，利用指定的調(diào)度算法，任務(wù)調(diào)度模塊根據(jù)子節(jié)點心跳信息匹配資源與分配任務(wù)，形成待下發(fā)任務(wù)隊列并向指定的資源節(jié)點下發(fā)任務(wù)；最后，當(dāng)任務(wù)完成后，結(jié)果回收模塊回收結(jié)果并存儲數(shù)據(jù)庫。

3）子節(jié)點，調(diào)度子系統(tǒng)的任務(wù)下發(fā)執(zhí)行及系統(tǒng)性能評估部分。依據(jù)中心節(jié)點的任務(wù)下發(fā)指示、執(zhí)行樣本檢測與驗證業(yè)務(wù)、回傳檢測結(jié)果至上層節(jié)點、根據(jù)收集的系統(tǒng)相關(guān)軟件或硬件性能（如CPU使用率、內(nèi)存占用率等）信息持續(xù)向中心節(jié)點發(fā)送心跳。

功能引擎：功能引擎是具體功能執(zhí)行模塊，將具有特定安全策略的軟件部署在服務(wù)器中Linux虛擬機上，一般有靜態(tài)、動態(tài)、病毒檢測引擎和APK重簽名服務(wù)。

2.智能終端APK安全認證模塊

如圖3所示，智能終端APK安全認證模塊主要由嵌入APK安裝器中驗簽接口、安全代理（實現(xiàn)驗簽核心工作的后臺應(yīng)用）和公鑰證書存儲區(qū)組成。

具體流程如下：

首先，APK安裝器接收待激活安裝的SignedApp.apk應(yīng)用后，調(diào)用驗簽庫中對外驗簽接口Verify（App路徑)啟動安全代理。

其次，安全代理在公鑰證書存儲區(qū)獲取公鑰證書，調(diào)用內(nèi)部驗簽接口Verify并結(jié)合公鑰證書對已簽名的SignedApp.apk進行驗簽。

最后，安全代理依次通過內(nèi)部驗簽接口、外部驗簽接口將驗簽結(jié)果返回安裝器。

圖2 安全審核平臺體系結(jié)構(gòu)

圖3 APK安全認證模塊結(jié)構(gòu)流程

由于該認證模塊僅在APK安裝器中嵌入了輕量級的驗簽接口，而驗簽過程中的各種復(fù)雜計算、公鑰證書的提取等流程均由安全代理完成，因此可在有效地實現(xiàn)模塊分離的同時，保證APK安裝器安全穩(wěn)定地運行。

系統(tǒng)實現(xiàn)的關(guān)鍵技術(shù)

1.安全檢測技術(shù)

安全審核平臺的安全性由靜態(tài)、動態(tài)、病毒檢測技術(shù)逐層提供安全保障。首先，靜態(tài)檢測發(fā)現(xiàn)已知惡意代碼片段；其次，動態(tài)檢測發(fā)現(xiàn)未知惡意行為；最后，病毒檢測把關(guān)審查文件是否被病毒、蠕蟲、木馬及各類惡意軟件感染。病毒檢測利用python編寫的自動化檢測腳本，上傳APK到由42個第三方病毒檢測引擎組成病毒檢測服務(wù)器完成安全檢測，此處不再贅述。下面主要介紹靜態(tài)和動態(tài)檢測原理。

1）靜態(tài)檢測

基于安全規(guī)則庫的設(shè)計，靜態(tài)檢測以APK反編譯和面向?qū)ο笳Z言的源代碼靜態(tài)分析技術(shù)為核心發(fā)現(xiàn)已知惡意代碼片段。其中，安全規(guī)則庫是從源代碼角度對Android應(yīng)用中常見的耗費、隱私竊取等惡意行為的關(guān)鍵API（應(yīng)用程序編程接口）調(diào)用進行總結(jié)和風(fēng)險評級，來編寫相應(yīng)的檢測規(guī)則。靜態(tài)檢測原理如圖4所示。

首先，利用Dex-Class、Class-Java、Xml文件等反編譯器對Android應(yīng)用程序class.dex、AndroidManifest.xm l文件進行反編譯。

其次，對反編譯后Java源代碼進行詞法、語法解析，將分析結(jié)果轉(zhuǎn)換成抽象語法樹（AST），匹配靜態(tài)安全規(guī)則庫中API對AST進行控制流、數(shù)據(jù)流分析。

然后查詢引起惡意行為的關(guān)鍵API調(diào)用，數(shù)據(jù)流追蹤被引入敏感數(shù)據(jù)的API，精確定位到程序至懷疑出現(xiàn)惡意行為的關(guān)鍵代碼段。

最后，安全風(fēng)險報告器出靜態(tài)檢測結(jié)果。

2）動態(tài)檢測

靜態(tài)檢測只能檢測出特征庫中已有的惡意代碼樣本，無法檢測未知的惡意代碼，同時它很難應(yīng)對代碼混淆、反射、加密等情況。針對靜態(tài)檢測的不足，需要進一步實施動態(tài)檢測。動態(tài)檢測分析主要在受控環(huán)境（真機、模擬器）中運行一個應(yīng)用程序并檢測其行為，可以在程序運行期間對尚未添加入惡意代碼庫的新型程序進行甄別。

動態(tài)檢測技術(shù)，一方面包括利用Monkeyrunner等自動化測試技術(shù)對應(yīng)用軟件的自動安裝、啟動、運行測試、卸載應(yīng)用程序，并對整個測試過程的界面進行截圖保存；另一方面從Linux內(nèi)核層安全監(jiān)控出發(fā)，利用系統(tǒng)調(diào)用攔截機制以實現(xiàn)內(nèi)核層的Hook功能。內(nèi)核層安全監(jiān)控模塊是用戶自定義編寫的，利用LKM技術(shù)動態(tài)加載到系統(tǒng)內(nèi)核中，在動態(tài)測試的過程中，監(jiān)控應(yīng)用程序運行中的惡意行為，比如發(fā)送短信、竊取用戶隱私文件、后臺自動聯(lián)網(wǎng)等。當(dāng)APK應(yīng)用有調(diào)用行為時，內(nèi)核層監(jiān)控模塊會記錄調(diào)用行為，通過通信Netlinksocket，將信息傳遞給用戶態(tài)的程序，并保存相應(yīng)的檢測報告，其具體步驟如圖5所示。

圖4 靜態(tài)檢測原理

圖5 動態(tài)檢測原理

2.APK重簽名技術(shù)

智能終端APK安全認證模塊由新型的APK重簽名技術(shù)保證，它利用“官方”公私鑰對待安裝的APK進行重簽名驗簽。

APK簽名是Android系統(tǒng)對APK包完整性和發(fā)布機構(gòu)唯一性的校驗機制之一，其借助于SHA1、RSA等經(jīng)典數(shù)字簽名算法[7-8]，可保證APK的安全性、完整性和不可否認性。簽名后的APK包中會增加一個目錄文件“/ META-INF”，含有3個開發(fā)者簽名的信息文件：MANI?FEST.MF、CERT. SF和CERT.RSA，基本流程如圖6的左半部分。然而，跟蹤Android系統(tǒng)驗簽源碼發(fā)現(xiàn)，驗證3個簽名信息文件雖然可以校驗APK，但并沒有對META-INF作自校驗處理。同時，如果在META-INF中添加其他文件并不會影響APK系統(tǒng)驗簽、安裝、運行和更新。

基于此，試圖在APK系統(tǒng)簽名之上，基于信任鏈傳遞機制設(shè)計一種新型的APK重簽名算法，以保證認證模塊的高效安全性。以 Android系統(tǒng)原生簽名為信任根，將信任不斷向上傳遞到APK重簽名流程。重簽名時，僅對MANIFEST. MF、CERT.SF、CERT.RSA重簽，對其他文件不作任何處理，并將重簽名文件Sign.sig和公鑰鑰證信息文件Info.txt獨立存放到META-INF下，具體流程如圖6右半部分所示。驗簽時，通過“官方”公鑰證書利用Sign.sig對MANIFEST. MF、CERT.SF、CERT.RSA進行驗簽，驗簽結(jié)果對用戶進行風(fēng)險提示，用戶自行選擇是否繼續(xù)安裝。該過程不僅可保證開發(fā)者自身簽名文件的完整性，而且在APK繼續(xù)安裝時，可進一步驗證APK中所有文件的完整性，這是由于APK文件一旦被改動將會導(dǎo)致驗簽無法順利通過。

方案測試

本節(jié)分別針對該審核認證系統(tǒng)中的安全審核平臺和終端認證模塊進行測試。

1.安全審核平臺

安全審核平臺對1000個APK應(yīng)用進行安全審核測試，其中包含400個公認的惡意應(yīng)用（如：近期超級手機病毒“XX神器”）分10個批次下發(fā)。

在測試原型系統(tǒng)及實驗平臺配置中，包括服務(wù)器（3臺），采用雙路16核CPU，4Gbyte內(nèi)存，CentOs6.2，CPU為core（TM）i3-2120CPU，3.30GHz內(nèi)存大小4Gbyte，64位Windows7系統(tǒng)。其中，調(diào)度節(jié)點、安全檢測引擎、數(shù)據(jù)庫都以Linux虛擬機的形式部署在服務(wù)器上。

系統(tǒng)實驗部署示意圖如圖7所示。

該系統(tǒng)的功能、性能等測試結(jié)果如下：

1）在安全審核結(jié)果方面，檢測出正常應(yīng)用數(shù)量為598，惡意引應(yīng)用數(shù)量為402，此結(jié)果初步顯示檢測應(yīng)用的誤判率僅為0.20%。

2）以100個應(yīng)用任務(wù)作為一批次下發(fā)到檢測引擎，檢測發(fā)現(xiàn)每次總耗費時間不超過1.3min；而對于每單次任務(wù)，平臺從接收到調(diào)度平均不超過0.15min，從接收結(jié)果到回收完成不超過0.18min。

（3）靜態(tài)、動態(tài)、病毒檢測平均時間分別為2～3min、5～15min、不超過1min（與網(wǎng)絡(luò)速度有關(guān))；平均大小為31.8MbyteAPK文件的重簽名時間為93ms左右。

圖6 APK重簽名流程

圖7 系統(tǒng)測試部署圖

由此可見，安全審核平臺在高準(zhǔn)確率的安全審核前提下，可高效地完成批量APK應(yīng)用的靜態(tài)、動態(tài)、病毒檢測和重簽名調(diào)度處理工作。

2.終端APK安全認證模塊

該次測試模擬真實電視用戶的裝機環(huán)境，選取了Android智能電視裝機必備的10款不同APK應(yīng)用（譬如安全工具、文件管理、購物、影音、生活等）為例進行測試，測試原型系統(tǒng)配置中，驗簽移動智能終端的配置為：CPU（1.45 Hz），RAM（2.00 Gbyte），OS（Android 4.2），測試結(jié)果如表1所示。

測試表明，Android用戶在安裝Android智能電視中如上10款A(yù)PK應(yīng)用時，利用本系統(tǒng)內(nèi)置的APK安全認證模塊平均所需等待時間僅為0.3 s，對用戶安全體驗滿意度影響微小。

表1 Android智能電視中的10款不同APK應(yīng)用驗簽測試結(jié)果

小結(jié)

本文綜合靜態(tài)、動態(tài)、病毒安全檢測和APK重簽名技術(shù)，設(shè)計了一套安全的Android應(yīng)用審核認證系統(tǒng)，它由基于Web應(yīng)用的安全審核平臺和智能終端APK安全認證模塊構(gòu)成。該系統(tǒng)通過采用“三重保障”安全檢測技術(shù)和終端重簽名驗簽安全認證機制，可從“源”到“端”保障了APK文件的安全使用。同時，該系統(tǒng)能夠應(yīng)對海量數(shù)據(jù)的并發(fā)處理和調(diào)度，滿足負載均衡的要求，實現(xiàn)平臺任務(wù)的高效處理和回收，具備高效、高可靠性、高容錯性、高擴展性等特點。通過對第三方應(yīng)用市場Android應(yīng)用的分析檢測以及對系統(tǒng)誤報和漏報測試表明，本系統(tǒng)審核認證效果良好，具備高實用性、靈活性和可擴展性等優(yōu)點，也具有較高的應(yīng)用價值和推廣價值。而如何聯(lián)合官方安全機構(gòu)、應(yīng)用商城及各大智能電視終端廠商建立并維護一套可監(jiān)管的、健全的、標(biāo)準(zhǔn)化的APK應(yīng)用安全審核認證系統(tǒng)還需要集體的力量。

[1]閆梅，彭新光.基于Android安全機制的權(quán)限檢測系統(tǒng)[J].計算機工程與設(shè)計，2013，（3）:85-88.

[2] 李靜華，慕德俊，楊鳴坤.Android惡意程序行為分析系統(tǒng)設(shè)計[J].北京郵電大學(xué)學(xué)報，2014（S1）:104-107.

[3]史立原，譚金蓉.安卓電視機芯智能升級的應(yīng)用研究[J].電視技術(shù)，2014，38（6）：58-61.

[4]ZHOU W，ZHOU Y，JIANG X，et al. Detecting repackaged smartphone appli?cations in third-party Android market places[C]//Proc.the second ACM Confer?ence on Data And Application Security and Privacy.[s.l.]：IEEE Press，2012：317-326.

[5]BORJA S，IGOR S，CARLOS L，et al. Permission usage to detect malware in Android[C]//ProC.International Joint Conference CISIS’12-ICEUTE’12-SO?CO’12 special sessions，[s.l.]：IEEE Press，2012：289-298.

[6]BURGUERA I，ZRUTUZA U，NADJM S. Behavior-basedmalware detection system for Android[C]//Proc.the 15THACM Workshop on Security and Privacy in Smartphones and Mobile Devices.[s.l.]：IEEE Press，2011：15-26.

[7]DANGRAD I.A design principle for hash functions[C]//Prol.In:Crypto LNCS.[s.l.]： IEEE Press，1989：416-427.

[8]RIVEST R L，SHAMIR A，ADLEMAN L M.A method for obtaining digital sig?natures and public-key crypto-systems [J].Communications of the ACM，1978（21）:120-126.

于成麗（1989—），碩士生，主要從事智能終端安全保障、移動互聯(lián)網(wǎng)安全檢測、安全加密、密碼學(xué)、數(shù)字水印等研究；

吳秋新（1967—），副教授，碩士生導(dǎo)師，主要從事密碼學(xué)、信息安全、可信計算等研究；

郭燕慧（1974—），副教授，碩士生導(dǎo)師，主要從事內(nèi)容安全、軟件安全、機器學(xué)習(xí)、知識發(fā)現(xiàn)等研究。

TP393.08

A

【本文獻信息】于成麗，吳秋新，郭燕慧.一種Android應(yīng)用安全審核認證系統(tǒng)的設(shè)計方案[J].電視技術(shù)，2014，38（20）.