曹歡歡，李永忠

（江蘇科技大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院，江蘇 鎮(zhèn)江 212003）

Android是一個(gè)開(kāi)源的移動(dòng)平臺(tái)操作系統(tǒng)，占據(jù)了大部分市場(chǎng)份額。隨著Android的快速發(fā)展，針對(duì)Android的惡意軟件也越來(lái)越多。從2004年第一個(gè)手機(jī)病毒出現(xiàn)起[1]，現(xiàn)在已發(fā)展有數(shù)百種，而且還在繼續(xù)增長(zhǎng)。根據(jù)日前發(fā)布的“2014年上半年手機(jī)安全狀況報(bào)告”顯示，2014年上半年互聯(lián)網(wǎng)安全中心共截獲Android平臺(tái)新增惡意程序樣本21.53萬(wàn)個(gè)，較2013年同期增長(zhǎng)116%，手機(jī)木馬增長(zhǎng)一倍、垃圾短信規(guī)模已超百億，造成用戶(hù)大量的直接或間接經(jīng)濟(jì)損失、隱私泄露等危害。

Android惡意軟件的危害越來(lái)越嚴(yán)重，本文結(jié)合Android系統(tǒng)自身特點(diǎn)，提出并實(shí)現(xiàn)了一個(gè)安全檢測(cè)軟件。

1 Android體系結(jié)構(gòu)

Android的系統(tǒng)架構(gòu)采用了分層架構(gòu)的思想[2]，如圖1所示。從上層到底層共包括四層，分別是應(yīng)用層（Applications）、應(yīng)用框架層（Application Framework）、系統(tǒng)庫(kù)和Android運(yùn)行時(shí) （Libraries、Android Runtime） 以 及 Linux 內(nèi) 核 層 （Linux Kernel）。

應(yīng)用層主要是一些核心應(yīng)用程序包，包括系統(tǒng)自帶的和用戶(hù)安裝的應(yīng)用程序。應(yīng)用框架層是Android應(yīng)用開(kāi)發(fā)的基礎(chǔ)，為應(yīng)用程序提供API，包括活動(dòng)管理器、內(nèi)容提供者、電話(huà)管理器、位置管理器等。系統(tǒng)庫(kù)為應(yīng)用框架層提供C/C++庫(kù)，Android運(yùn)行時(shí)提供JAVA核心庫(kù)和Dalvik虛擬機(jī)。Linux內(nèi)核層是Android的核心，也是作為硬件與軟件棧的抽象層，提供底層服務(wù)。

圖1 Android系統(tǒng)架構(gòu)圖Fig.1 System architecture of Android

2 Android平臺(tái)的安全檢測(cè)軟件的設(shè)計(jì)

2.1 設(shè)計(jì)原理

針對(duì)Android系統(tǒng)的惡意軟件類(lèi)型包括：

1）資費(fèi)消耗[3]：這類(lèi)惡意軟件在后臺(tái)連網(wǎng)，上傳用戶(hù)的隱私信息或者在后臺(tái)下載其他應(yīng)用程序、訂購(gòu)業(yè)務(wù)或者其它病毒程序。

2）獲取隱私[4]：這類(lèi)惡意軟件主要竊取用戶(hù)位置信息、通訊錄、支付信息等隱私資料，通過(guò)網(wǎng)絡(luò)上傳到指定的服務(wù)器或者通過(guò)短信發(fā)送到指定的手機(jī)上。

3）流氓軟件：這類(lèi)惡意軟件一般從網(wǎng)絡(luò)上下載或者被二次打包到別的應(yīng)用中，難以卸載，影響手機(jī)的正常使用。

4）惡意扣費(fèi)軟件[5]：這類(lèi)惡意軟件通過(guò)短信或者電話(huà)等詐騙用戶(hù)，或在用戶(hù)不知情的情況下，向SP訂購(gòu)付費(fèi)業(yè)務(wù)，造成用戶(hù)的經(jīng)濟(jì)損失。

現(xiàn)在惡意軟件大多采用偽裝的方式，騙取用戶(hù)安裝并授予一定的權(quán)限，之后濫用這些權(quán)限在后臺(tái)執(zhí)行一些特定行為，給用戶(hù)造成損失。因此本文著重加強(qiáng)短信、電話(huà)、網(wǎng)絡(luò)方面的檢測(cè)，加強(qiáng)手機(jī)的安全。

2.2 系統(tǒng)設(shè)計(jì)

本文根據(jù)Android手機(jī)特點(diǎn)，研究實(shí)現(xiàn)了一個(gè)在應(yīng)用層上保護(hù)和加強(qiáng)系統(tǒng)和用戶(hù)數(shù)據(jù)的安全檢測(cè)軟件[6-8]。

該軟件主要根據(jù)病毒特征[9-10]，進(jìn)行病毒掃描，查殺病毒程序，同時(shí)監(jiān)聽(tīng)短信、電話(huà)、網(wǎng)絡(luò)、流量、支付環(huán)境和程序安裝等敏感行為，實(shí)時(shí)檢測(cè)系統(tǒng)的安全狀態(tài)。系統(tǒng)主要由5個(gè)模塊構(gòu)成：手機(jī)殺毒、支付檢測(cè)、安全檢測(cè)、安全日志、和手機(jī)防盜模塊，如圖2所示。

圖2 Android安全檢測(cè)系統(tǒng)結(jié)構(gòu)圖Fig.2 Schematic diagram of the Android security detection system

系統(tǒng)中手機(jī)殺毒和支付檢測(cè)模塊是提取手機(jī)的特征碼，并與病毒庫(kù)中的特征碼進(jìn)行比較，是依賴(lài)已有的病毒庫(kù)來(lái)殺毒的。安全檢測(cè)模塊是在后臺(tái)檢測(cè)手機(jī)的短信、電話(huà)、流量等來(lái)判斷程序是否正常，除了依賴(lài)已有的病毒庫(kù)，還由用戶(hù)來(lái)進(jìn)行判斷程序是否是病毒程序。日志模塊用來(lái)顯示檢測(cè)的信息，手機(jī)防盜模塊防止手機(jī)丟失后，用戶(hù)的信息泄露。系統(tǒng)的這些模塊可以全面的保護(hù)Android手機(jī)用戶(hù)的安全。

3 Android平臺(tái)安全檢測(cè)軟件的實(shí)現(xiàn)

3.1 手機(jī)殺毒模塊

殺毒模塊使用靜態(tài)檢測(cè)方法，提取Android設(shè)備中所有應(yīng)用程序的特征值，與病毒特征庫(kù)中的值相匹配。每一種病毒都有特定的特征碼，就是MD5值。殺毒模塊就是根據(jù)程序和文件的特征碼來(lái)判斷是否是病毒。

每一個(gè)Android應(yīng)用程序的包名和簽名都是一一對(duì)應(yīng)的，對(duì)在Android上已經(jīng)安裝的應(yīng)用程序，只要提取到應(yīng)用程序的特征碼，然后查詢(xún)數(shù)據(jù)庫(kù)，對(duì)比即可實(shí)現(xiàn)病毒的查詢(xún)。用PackageManager類(lèi)可以獲取已安裝的應(yīng)用程序的簽名信息，遍歷應(yīng)用程序的簽名信息，將簽名信息轉(zhuǎn)成MD5值，用于與病毒數(shù)據(jù)庫(kù)比對(duì)。

而殺毒過(guò)程就是一個(gè)卸載應(yīng)用程序的過(guò)程，需要將病毒存入緩存中，然后通過(guò)遍歷卸載即可。

3.2 支付檢測(cè)模塊

隨著手機(jī)支付的流行，支付類(lèi)病毒越來(lái)越多，保護(hù)網(wǎng)購(gòu)的環(huán)境至關(guān)重要。本系統(tǒng)中，支付檢測(cè)模塊可以在手機(jī)進(jìn)行網(wǎng)上支付的時(shí)候，檢測(cè)手機(jī)的環(huán)境是否有病毒。

當(dāng)用戶(hù)選擇支付檢測(cè)保護(hù)之后，會(huì)發(fā)送一個(gè)Brocast Receiver的子類(lèi)PaymentReceive，用來(lái)監(jiān)聽(tīng)正在運(yùn)行的程序。如果正在運(yùn)行手機(jī)錢(qián)包、米折等支付類(lèi)程序時(shí)，掃描手機(jī)正在運(yùn)行的程序是否是病毒程序，以保證用戶(hù)支付環(huán)境的安全。

3.3 安全檢測(cè)模塊

安全檢測(cè)模塊是具有主動(dòng)防御的功能。此模塊可以監(jiān)聽(tīng)短信、監(jiān)聽(tīng)電話(huà)、監(jiān)聽(tīng)程序的安裝、監(jiān)聽(tīng)網(wǎng)絡(luò)、流量檢測(cè)等，可以檢測(cè)除了病毒庫(kù)之外的惡意軟件和病毒。此模塊是一個(gè)后臺(tái)的Service服務(wù)，在應(yīng)用上沒(méi)有顯示界面，可以實(shí)時(shí)監(jiān)控手機(jī)的安全，有病毒入侵時(shí)可以及時(shí)檢測(cè)出來(lái)，提醒用戶(hù)處理病毒。

在Service中創(chuàng)建一個(gè)BrocastReceiver的子類(lèi)Detection Receiver，為了防止廣播被病毒優(yōu)先接到而終止，把優(yōu)先級(jí)設(shè)為最大整型數(shù)，監(jiān)聽(tīng)短信電話(huà)、網(wǎng)絡(luò)、流量等信息，流程圖如圖3。

圖3 安全檢測(cè)流程圖Fig.3 Flow chart of the security detection

3.4 安全日志模塊

安全日志模塊用于記錄手機(jī)掃描的結(jié)果和安全檢測(cè)發(fā)現(xiàn)病毒的日志，包括手機(jī)掃描的時(shí)間、掃描的結(jié)果，以及后臺(tái)監(jiān)聽(tīng)的時(shí)候發(fā)現(xiàn)病毒的時(shí)間、名稱(chēng)、路徑、處理結(jié)果。

利用SQLite在本地創(chuàng)建一個(gè)數(shù)據(jù)庫(kù)securitylog.db，發(fā)現(xiàn)可疑程序后，先與病毒庫(kù)比對(duì)，如果不在病毒庫(kù)內(nèi)，再讓用戶(hù)判斷；如果確定是病毒程序，就用SQL語(yǔ)句，將可疑病毒加入到病毒庫(kù)，并在安全日志中記錄。

3.5 手機(jī)防盜模塊

隨著手機(jī)支付的流行，手機(jī)里不僅有用戶(hù)的個(gè)人隱私信息，還有個(gè)人的銀行賬號(hào)信息。如果手機(jī)不小心遺失，里面的信息都會(huì)泄露，可能會(huì)遭受經(jīng)濟(jì)損失。手機(jī)防盜模塊可以向綁定的安全號(hào)碼發(fā)送一些防盜指令，來(lái)獲取手機(jī)位置、播放報(bào)警音樂(lè)、遠(yuǎn)程鎖屏、清除手機(jī)數(shù)據(jù)，從而保護(hù)用戶(hù)的信息安全。

對(duì)于手機(jī)，當(dāng)SIM卡發(fā)生變化時(shí)，系統(tǒng)會(huì)重新啟動(dòng)，然后重新識(shí)別SIM卡。系統(tǒng)重新啟動(dòng)時(shí)，手機(jī)發(fā)出“android.intent.action.BOOT_COMPLETED”的消息廣播，需要配置接收開(kāi)機(jī)自動(dòng)啟動(dòng)廣播的權(quán)限和發(fā)送短信的權(quán)限：

android.permission.RECEIVE_BOOT_COMPLETED

android.permission.SEND_SMS

當(dāng)SIM卡改變之后，可以向指定的安全號(hào)碼發(fā)送消息。安全號(hào)碼收到報(bào)警信息之后，可以向丟失的手機(jī)發(fā)送一些指令：播放報(bào)警音樂(lè)、鎖屏、獲取位置信息、清除數(shù)據(jù)恢復(fù)至出廠設(shè)置。丟失的手機(jī)收到信息之后，分析信息類(lèi)容，獲取超級(jí)管理員權(quán)限，做出相應(yīng)的處理：

#*location*#獲取手機(jī)位置

#*alarm*# 播放報(bào)警音樂(lè)

#*locksrceen*#遠(yuǎn)程鎖屏

#*wipedata*#清除數(shù)據(jù)

4 測(cè) 試

Android安全檢測(cè)系統(tǒng)的實(shí)現(xiàn)如圖4所示。

圖4 Android安全檢測(cè)系統(tǒng)實(shí)現(xiàn)圖Fig.4 Implementation diagram of Android detection system

4.1 功能測(cè)試

測(cè)試項(xiàng)：1）手機(jī)殺毒；2）支付檢測(cè)；3）安全檢測(cè)；4）日志；5）手機(jī)防盜。

測(cè)試時(shí)，對(duì)每項(xiàng)功能都進(jìn)行了驗(yàn)證，結(jié)果如表1。

4.2 壓力測(cè)試

Android自帶的Monkey測(cè)試是Android平臺(tái)自動(dòng)化測(cè)試的一種手段，通過(guò)Monkey程序模擬用戶(hù)觸摸屏幕、滑動(dòng)Tracball、按鍵燈操作來(lái)對(duì)設(shè)備上的程序進(jìn)行壓力測(cè)試，檢測(cè)程序多久的時(shí)間會(huì)發(fā)生異常。

表1 測(cè)試結(jié)果Tab.1 Test result

將安裝Eclipse的tools路徑添加到環(huán)境變量中，在PC上執(zhí)行Monkey對(duì)程序進(jìn)行1000次測(cè)試：

adb shell monkey-p com.example.mobilesafe-v 1000

參數(shù)-p用于指定限制包名，-v用于反饋信息級(jí)別，就是日志的詳細(xì)程度。測(cè)試結(jié)果如圖5所示。

圖5 測(cè)試結(jié)果Fig.5 Test result

測(cè)試共耗時(shí)9 746 ms，在1000次測(cè)試中，只有2個(gè)按鍵操作丟失，其它事件的丟失數(shù)為0，表明此軟件具有較強(qiáng)的穩(wěn)定性。

5 結(jié) 論

根據(jù)測(cè)試結(jié)果，軟件在應(yīng)用層能夠有效查殺已安裝的病毒程序和病毒文件，并能實(shí)時(shí)監(jiān)控短信、電話(huà)、流量等。同時(shí)，抗壓能力較強(qiáng)，能夠穩(wěn)定的運(yùn)行，有效保護(hù)Android用戶(hù)的安全。

[1]Aubrey-Derrick Schmidt，Hans-Gunther Schmidt，Batyuk L，et al.Smartphone malware evolution revisited:Android next target[R].International Conference on Malicious and Unwanted Software，2009.

[2]乜聚虎，周學(xué)海，余艷瑋，等．Android安全加固技術(shù)[J]．計(jì)算機(jī)系統(tǒng)應(yīng)用，2011，20（10）：74-77．NIE Ju-hu，ZHOU Xue-hai，YU Yan-wei，et a1．Android security reinforcement technology[J].Computer Systems&Applications，2011，20（10）:74-77．

[3]程勝利．計(jì)算機(jī)病毒及其防治技術(shù)[C]．北京：清華大學(xué)出版社，2004．

[4]羅忠，張旭，羅英，等．手機(jī)病毒——一個(gè)并不遙遠(yuǎn)的話(huà)題[J]．移動(dòng)通信，2002（5）:83-85．LUO Zhong，ZHANG Xu，LUO Ying，et a1．Mobile phone virus-A not too distant topic[J].Mobile Communications，2002（5）:83-85．

[5]朱圣軍，劉功申.智能手機(jī)病毒與信息安全[J].信息安全與通信保密，2011（5）:96-97．ZHU Sheng-jun，LIU Gong-shen．Smartphone virus and information security[J].Information Security and Communications Privacy，2011（5）:96-97.

[6]沈才樑，唐科萍，俞立峰，等．Android權(quán)限提升漏洞攻擊的檢測(cè)[J]．電信科學(xué)，2012.28（5）:115-119．SHEN Cai-Liang，TAGN Ke-Ping，YU Li-Feng，et a1．Android privilegeescalation vulnerability attacksdetection[J].Telecommunications Science，2012，28（5）:115-119．

[7]王力生，葉希哲.一種基于Android的防火墻的研究與實(shí)現(xiàn)[J]．計(jì)算機(jī)安全，2009（10）:36-38．WANG Li-Sheng，YE Xi-Zhe．Study and realization of a firewall based on android[J].Network and Computer Security，2009，（10）:36-38．

[8]Ming-Yang Su.Prevention of selective black hole attacks on mobile ad hoc networks through intrusion detection systems[J].Computer communications，2011，34（1）:107-117.

[9]Olli-Pekka Niemi，Jukka Manner et al.Dismantling Intrusion Prevention Systems[J].Computer Communication Review，2012.42（4）:285-286.

[10]Cheung，Steven.Securing Collaborative Intrusion Detection Systems[J].IEEE Security&Privacy，2011，9（6）:36-42.