黃俊強(qiáng)， 于洪君

(黑龍江省信息安全測(cè)評(píng)中心，黑龍江哈爾濱150090)

0 引言

伴隨移動(dòng)互聯(lián)網(wǎng)的發(fā)展，手機(jī)隱私安全越來越受到關(guān)注。截止到2014年6月，官方發(fā)布了Android移動(dòng)終端隱私安全檢測(cè)報(bào)告，報(bào)告顯示:移動(dòng)終端安卓用戶手機(jī)中存放隱私數(shù)據(jù)達(dá)92.8%?；ヂ?lián)網(wǎng)數(shù)據(jù)中心聯(lián)合部分安全檢測(cè)機(jī)構(gòu)對(duì)1200個(gè)安卓移動(dòng)應(yīng)用程序檢測(cè)發(fā)現(xiàn):有92%的應(yīng)用程序在安裝過程中申請(qǐng)獲取用戶隱私權(quán)限。其中申請(qǐng)1～5項(xiàng)隱私權(quán)限的移動(dòng)應(yīng)用程序占61.5%，申請(qǐng)6～10項(xiàng)隱私權(quán)限的應(yīng)用程序占26.2%，申請(qǐng)超過11項(xiàng)隱私權(quán)限的APP占4.3%。一些移動(dòng)應(yīng)用程序根據(jù)自身的應(yīng)用需求獲取部分用戶隱私權(quán)限是合理的，但是仍然存在大量的應(yīng)用程序通過用戶安全意識(shí)的薄弱獲取不必要的用戶隱私權(quán)限。這意味著幾乎所有安卓應(yīng)用程序都或多或少掌握著用戶隱私數(shù)據(jù)，其中，GPS定位權(quán)限、無線網(wǎng)絡(luò)連接情況和讀取通信錄權(quán)限這三項(xiàng)隱私的獲取位居前列。比如百度地圖類應(yīng)用則會(huì)申請(qǐng)獲取GPS位置信息;電子支付類應(yīng)用會(huì)申請(qǐng)讀取用戶位置、發(fā)送確認(rèn)支付短信;電子游戲類應(yīng)用也會(huì)優(yōu)先申請(qǐng)用戶位置和短信權(quán)限;電子閱讀類應(yīng)用通過短消息確認(rèn)權(quán)限實(shí)現(xiàn)付費(fèi)流程。即時(shí)通訊類應(yīng)用程序申請(qǐng)的權(quán)限更多，包括攝像頭開啟，讀取聯(lián)系人列表，錄音等權(quán)限。從這些APP應(yīng)用程序中，完全可以定位一個(gè)人的日?；顒?dòng)軌跡。

有些移動(dòng)應(yīng)用程序申請(qǐng)獲取的權(quán)限是合理的，例如:地圖類應(yīng)用如果不能獲取用戶GPS定位信息，將無法完成用戶的地圖導(dǎo)航功能，電子支付類應(yīng)用如果不讀取短信記錄就不能方便地填寫短信驗(yàn)證碼。但隱私權(quán)限越軌行為畢將帶來更多安全風(fēng)險(xiǎn)。

移動(dòng)應(yīng)用程序隱私權(quán)限申請(qǐng)?jiān)杰壭袨橹饕侵敢苿?dòng)應(yīng)用程序申請(qǐng)了超過自身功能需求的過多的用戶隱私權(quán)限。例如，一款輸入法類應(yīng)用，卻要求讀取通話記錄;一款閱讀類應(yīng)用，卻要求開放相冊(cè)權(quán)限……，某些APP為了商業(yè)利益經(jīng)常會(huì)增加其不相關(guān)用戶隱私權(quán)限的獲取，從而造成對(duì)用戶隱私權(quán)限的“越軌”獲取，有一些惡意應(yīng)用程序會(huì)從中套取用戶基本信息，各種賬號(hào)信息，認(rèn)證碼等信息，從而對(duì)用戶的財(cái)產(chǎn)和個(gè)人隱私造成嚴(yán)重威脅。

最新數(shù)據(jù)統(tǒng)計(jì)，超8成用戶安裝移動(dòng)應(yīng)用程序時(shí)，對(duì)于應(yīng)用程序申請(qǐng)的權(quán)限直接全部允許，沒有對(duì)其權(quán)限的合理性進(jìn)行檢查，這為惡意軟件，流氓軟件創(chuàng)造了便利條件，可以非常容易獲取用戶隱私數(shù)據(jù)。

本論文在移動(dòng)應(yīng)用程序隱私權(quán)限泄露的背景下，提出了一種基于移動(dòng)應(yīng)用程序的隱私權(quán)限合理性檢測(cè)模型，通過這個(gè)模型，幫助用戶識(shí)別應(yīng)用程序的權(quán)限申請(qǐng)合理性。實(shí)驗(yàn)結(jié)果表明在造成一定時(shí)間開銷的情況下，該模型可以有效識(shí)別應(yīng)用程序的隱私權(quán)限申請(qǐng)合理性。

1 相關(guān)工作

Android系統(tǒng)主要采用功能組件和權(quán)限機(jī)制對(duì)應(yīng)用程序進(jìn)行管理和控制，應(yīng)用程序在安裝時(shí)需要聲明與其所使用到的資源相關(guān)的權(quán)限，且只能使用所聲明過的權(quán)限范圍內(nèi)的資源。這種機(jī)制在一定程度上限制了權(quán)限的申請(qǐng)，但是這種機(jī)制隨著安全技術(shù)的發(fā)展控制力已經(jīng)大大減弱，很多應(yīng)用程序在安裝后需要用戶確認(rèn)權(quán)限的申請(qǐng)，對(duì)于隱私權(quán)限的申請(qǐng)的合理性，國(guó)內(nèi)外有很多學(xué)者針對(duì)這一領(lǐng)域進(jìn)行了廣泛的研究。

1.1 國(guó)內(nèi)研究現(xiàn)狀

清華大學(xué)白小龍［1］基于Android應(yīng)用程序權(quán)限自動(dòng)裁剪系統(tǒng)。這個(gè)系統(tǒng)對(duì)于應(yīng)用程序的權(quán)限裁剪很可能導(dǎo)致軟件的不可用，具有一定的局限性。太原理工大學(xué)閆梅［2］提出一種基于Android應(yīng)用程序權(quán)限檢測(cè)機(jī)制。北京交通大學(xué)趙幸［3］對(duì)Android平臺(tái)惡意應(yīng)用程序行為進(jìn)行研究與分析，提出一種靜態(tài)檢測(cè)系統(tǒng)?？傮w上看，國(guó)內(nèi)的研究還比較少，研究成果也不太理想。

1.2 國(guó)外研究現(xiàn)狀

David Barrera等人［7］提出一種基于自組織算法的權(quán)限安全模型，通過對(duì)1100個(gè)Android應(yīng)用程序的分類研究，發(fā)現(xiàn)該模型可以應(yīng)用于更大范圍的應(yīng)用程序權(quán)限檢測(cè)。Wei Xuetao等人［4］在Android系統(tǒng)權(quán)限評(píng)估一文中，通過對(duì)已有軟件庫中237個(gè)第三方應(yīng)用程序的1703個(gè)版本進(jìn)行權(quán)限申請(qǐng)分析，發(fā)現(xiàn)在新發(fā)布的應(yīng)用程序版本中有19.6%的軟件存在權(quán)限申請(qǐng)?jiān)杰壭袨?。在舊版本中有25.2%的軟件就已存在權(quán)限申請(qǐng)過度行為。在移動(dòng)應(yīng)用程序不斷更新的總體趨勢(shì)下，過度申請(qǐng)用戶隱私權(quán)限的應(yīng)用程序正呈現(xiàn)爆發(fā)式增長(zhǎng)。William Enck等人［6］提出了一種Kirin安全服務(wù)系統(tǒng)，該系統(tǒng)利用大量的安全規(guī)則對(duì)應(yīng)用程序進(jìn)行深度安全分析，得出安卓應(yīng)用程序附帶的安全配置是檢測(cè)惡意行為的一個(gè)有效手段。Peng H等人［8］通過使用樸素貝葉斯和分層混合等概率生成模型，來完成對(duì)應(yīng)用程序的風(fēng)險(xiǎn)評(píng)估。

Yang Bo等人［5］通過靜態(tài)數(shù)據(jù)流分析實(shí)現(xiàn)對(duì)安卓應(yīng)用程序的權(quán)限檢測(cè)，并實(shí)現(xiàn)了一種靜態(tài)檢測(cè)工具Brox用于對(duì)權(quán)限申請(qǐng)?jiān)杰壍膽?yīng)用程序進(jìn)行檢測(cè)，實(shí)驗(yàn)效果和性能都很令人滿意。Pearce P等人［9］提出一種基于安卓平臺(tái)的Ad－Droid架構(gòu)，該架構(gòu)開發(fā)了一個(gè)新的API用于實(shí)現(xiàn)對(duì)應(yīng)用程序中廣告申請(qǐng)的權(quán)限進(jìn)行分離，對(duì)這些廣告申請(qǐng)的權(quán)限進(jìn)行過濾，從而避免個(gè)人隱私泄露。Yang Huan等人［11］提出一種三層混合系綜算法實(shí)現(xiàn)對(duì)多類安卓惡意行為進(jìn)行檢測(cè)，通過對(duì)1126個(gè)惡意軟件的檢測(cè)，獲取的實(shí)驗(yàn)效果良好。Zhang Rui等人［12］提出一種基于權(quán)限相關(guān)性的安卓惡意應(yīng)用程序檢測(cè)方案，通過對(duì)2000個(gè)軟件進(jìn)行檢測(cè)，惡意軟件漏檢率在10%左右，該方案有待進(jìn)一步改進(jìn)。Zhang Yuan等人［10］提出了一種動(dòng)態(tài)分析平臺(tái)VetDroid，該平臺(tái)主要是對(duì)應(yīng)用程序的權(quán)限申請(qǐng)等敏感行為進(jìn)行重建，這樣安全分析師可以很容易對(duì)應(yīng)用程序的內(nèi)部敏感行為進(jìn)行檢測(cè)。

這些研究工作雖然都對(duì)Android應(yīng)用程序的隱私權(quán)限進(jìn)行了研究與分析，但是大部分都是基于Android系統(tǒng)本身的權(quán)限申請(qǐng)研究，基于移動(dòng)應(yīng)用程序安裝后的權(quán)限申請(qǐng)研究較少，本文在此基礎(chǔ)上，提出一種基于移動(dòng)應(yīng)用程序的隱私權(quán)限合理性檢測(cè)模型，主要用于移動(dòng)程序安裝后的權(quán)限合理性檢測(cè)。

2 背景

2.1 Android權(quán)限機(jī)制

Android系統(tǒng)在整體架構(gòu)上是一個(gè)權(quán)限分離系統(tǒng)，對(duì)API的權(quán)限檢查通常包括三個(gè)方面:Intent、Content Provider及函數(shù)調(diào)用。Intent在Android系統(tǒng)中主要負(fù)責(zé)進(jìn)程間的通信，專門提供組件互相調(diào)用的相關(guān)信息，當(dāng)一個(gè)程序函數(shù)調(diào)用另一個(gè)程序函數(shù)時(shí)，需要向被調(diào)用的程序發(fā)送一個(gè)具有Action參數(shù)的Intent。但是在請(qǐng)求部分系統(tǒng)程序時(shí)則需要具有相對(duì)應(yīng)的權(quán)限才可以發(fā)出Intent。比如，應(yīng)用程序在請(qǐng)求使用撥號(hào)函數(shù)撥打電話時(shí)，需要向撥號(hào)函數(shù)發(fā)送具有 android.intent.action.CALL 參數(shù)的 Intent，則該應(yīng)用需要聲明Android.permission.CALL_PHONE權(quán)限。Content Provider主要用于存儲(chǔ)數(shù)據(jù)信息，并為其他程序提供接口，以便外接程序獲取其相關(guān)數(shù)據(jù)。應(yīng)用程序想要需要獲取Content Provider組件中的數(shù)據(jù)，則需要通過不同的URL schema來完成請(qǐng)求，而對(duì)于系統(tǒng)提供的部分Content Provider，應(yīng)用程序在請(qǐng)求時(shí)需要具有相對(duì)應(yīng)的權(quán)限。比如，當(dāng)應(yīng)用程序使用schema為content://sms的URL請(qǐng)求讀取設(shè)備中的短信列表時(shí)就需要具有android.permission.READ_SMS權(quán)限。函數(shù)調(diào)用主要指的是系統(tǒng)API函數(shù)的調(diào)用，獲取必要的功能函數(shù)和資源，幣如想要使用SmsManager類中的Send－TextMessage()函數(shù)來發(fā)送短信。

2.2 APK文件

APK文件是利用JAVA語言編寫和編譯的一種特殊的字節(jié)碼文件，通常稱為Dalvik Bytecode，將全部Java Class的Dalvik Bytecode組合一個(gè)dex文件。除dex文件之外，應(yīng)用程序還需要在AndroidManifest.xml文件中對(duì)應(yīng)用程序的組成部分和所使用到的權(quán)限進(jìn)行聲明。這個(gè)dex文件和AndroidManifest.xml文件以及其它一些需要使用到的資源文件通過JDK(Java DevelopmentKit)中的jar工具打包，然后通過jarsigner工具使用開發(fā)者私鑰對(duì)打包文件進(jìn)行簽名，最后形成了Android應(yīng)用程序包文件(簡(jiǎn)稱APK文件)，APK文件就是安卓應(yīng)用程序的安裝文件。

3 模型實(shí)現(xiàn)及結(jié)果分析

3.1 模型實(shí)現(xiàn)

本文提出一種基于移動(dòng)應(yīng)用程序的隱私權(quán)限合理性檢測(cè)模型，主要是采用程序功能與權(quán)限申請(qǐng)對(duì)比關(guān)系，判斷應(yīng)用程序申請(qǐng)權(quán)限的合理性，幫助用戶取舍應(yīng)用程序申請(qǐng)的權(quán)限。該模型主要包含四個(gè)部分，應(yīng)用程序APK權(quán)限提取，應(yīng)用程序功能庫，權(quán)限資源庫，KMP比較算法合理性判定。模型框架如圖1所示:

圖1 權(quán)限申請(qǐng)合理性檢測(cè)模型流程圖

對(duì)安裝的APK應(yīng)用程序首先使用經(jīng)過修改的開源Andro-Guard工具對(duì)其申請(qǐng)權(quán)限進(jìn)行獲取，然后調(diào)用應(yīng)用程序功能庫和權(quán)限資源庫，通過KMP比較算法挖掘程序功能與權(quán)限對(duì)應(yīng)關(guān)系的合理性，給出哪些權(quán)限申請(qǐng)是合理的，哪些是不合理的。對(duì)于本文所用到的部分程序功能庫，如表1所示:

表1 程序功能庫

本文對(duì)300個(gè)關(guān)鍵Android API進(jìn)行了測(cè)試，基本上覆蓋了比較完整的安卓權(quán)限集合，主要包括sendingBroadcast，receving-Broadcasts DisallowedBroadcasts，startin － gActivities，contendProviders，startingServices等權(quán)限。部分權(quán)限資源庫如表2所示。

表2 權(quán)限資源庫

3.2 結(jié)果分析

通過對(duì)2015年以前的560個(gè)移動(dòng)應(yīng)用程序檢測(cè)分析發(fā)現(xiàn):訪問網(wǎng)絡(luò)、讀取短信、通話監(jiān)聽、寫SD卡等權(quán)限在應(yīng)用程序中廣泛使用，但有些應(yīng)用程序的權(quán)限申請(qǐng)脫離本身功能需求，更傾向于獲取額外權(quán)限，在所分析的應(yīng)用程序中:附加申請(qǐng)短信權(quán)限的占56.2%、訪問網(wǎng)絡(luò)權(quán)限占82.5%、通話監(jiān)聽占37.3%，不排除有些應(yīng)用軟件是為了收集用戶隱私數(shù)據(jù)為了改善自己的產(chǎn)品或者提升服務(wù)，但是也有一些利用用戶隱私數(shù)據(jù)從事非法活動(dòng)。

從360手機(jī)商店的Android市場(chǎng)下載100個(gè)樣本程序。涵蓋了游戲娛樂類、通信類、系統(tǒng)管理類等移動(dòng)應(yīng)用程序。其中包括了一些主流的應(yīng)用程序，如:微信 ，QQ空間，百度云，京東等。并對(duì)這些應(yīng)用程序進(jìn)行了模型檢測(cè)，發(fā)現(xiàn)了很多應(yīng)用程序存在權(quán)限申請(qǐng)過度的情況。如表3所示。

表3 移動(dòng)應(yīng)用程序樣本權(quán)限申請(qǐng)合理性檢測(cè)列表

本文的檢測(cè)模型能夠在應(yīng)用獲取權(quán)限之前，檢測(cè)到這些申請(qǐng)的權(quán)限，對(duì)于完全沒有必要的權(quán)限，該模型會(huì)將其過濾，對(duì)于可疑的權(quán)限申請(qǐng)，會(huì)提示用戶其危險(xiǎn)程度，幫助用戶提高個(gè)人隱私的保護(hù)程度。

4 結(jié)語

本文介紹了Android應(yīng)用程序竊取用戶隱私的安全現(xiàn)狀，解讀了國(guó)內(nèi)外的研究情況，分析Android權(quán)限機(jī)制。針對(duì)Android權(quán)限申請(qǐng)的安全機(jī)制，提出一種基于Android應(yīng)用程序的隱私權(quán)限合理性檢測(cè)模型，并進(jìn)行了模擬實(shí)驗(yàn)和分析，效果較好。今后，筆者將繼續(xù)對(duì)Android系統(tǒng)的應(yīng)用軟件權(quán)限檢測(cè)進(jìn)行研究，并對(duì)移動(dòng)應(yīng)用程序的安全漏洞權(quán)限做進(jìn)一步研究;另外，除了在技術(shù)層面來保證用戶隱私外，還希望通過規(guī)范來制約這種應(yīng)用程序的發(fā)布，對(duì)于每一款A(yù)PP在發(fā)布之后，說明書中要詳細(xì)說明獲取每一種權(quán)限的目的，通過這樣兩層保障，用戶隱私才能得到更好的保護(hù)。

［1］ 白小龍.Android應(yīng)用程序權(quán)限自動(dòng)裁剪系統(tǒng)［J］.計(jì)算機(jī)工程與科學(xué)，2014，34(11):2075 －2086.

［2］ 閆梅，彭新光.基于Android安全機(jī)制的權(quán)限檢測(cè)系統(tǒng)［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2013，34(3):854 －858.

［3］ 趙幸.Android平臺(tái)惡意應(yīng)用程序行為分析與研究［D］.北京:北京交通大學(xué)，2014.

［4］ WEI X，Gomez L，Neamtiu I，et al.Permission evolution in the Android ecosystem［C］//Proc of the 28th Annual Computer Security Applications Conference.Orlando:ACSAC，2012:31－40.

［5］ YANG Bo，TANG Zhu － shou，ZHU Hao － jin，et al.Method of Android Applications Permission Detection based on Static Dataflow Analysis［J］.Computer Science:2012，39(11A):16－18.

［6］ Enck W，Ongtang M，Mcdaniel P，On lightweight mobile phone application certification［C］//Proc of the 16th ACM Conference on Computer and Communications Security.New York:ACM，2009:235－245.

［7］ Barrera D，Kayacik H G，van Orschot P C，et al.A methodology for empirical analysis of permission－based security models and its application to android［C］ //Proc of the 17th ACM Conference on Computer and Communications Security.Chicago:CCS2010，2010:73－84.

［8］ Peng H，Gates C，Sarma B，et al.Using probabilistic generative models for ranking risks of Android apps［C］//Proc of the 2012 ACM Conference on Computer and Communications Security.Raleigh:CCS，2012:241 －252.

［9］ Perace P，F(xiàn)elt A P，Nunez G，et al.AdDroid:Privilege separation for applications and advertisers in Android［C］//Proc of the 7th ACM Symposium on Information，Computer and Communications Security.South Korea:ASIACCS，2012:71－72.

［10］ ZHANG Y，YANG M，XU B，et al.Vetting undesirable behaviors in Android apps with permission use analysis［C］ //Proc of the 2013 ACM SIGSAC Conference on Computer and Communications Security.Berlin:CCS'13，2013:611－622.

［11］ YANG Huan ，ZHANG Yu － qing，HU Yu － pu，et al.A malware behavior detection system of Android applications based on multi－ class features［J］.Chinese Journal of Computers:2014，37(1):15 －27.

［12］ Zhang Rui，Yang Ji－ yun.Android malware detection based on permission correlation［J］ .Journal of Computer Applications:2014，34(5):1322 －1325.

［13］ Roesner F，Kohno T，Moshchuk A，et al.User－ driven access control:rethinking permission granting in modern operating systems［C］//Proc of IEEE Symposium on Security and Privacy.Washington DC:IEEE Computer Society，2012:224 －238.

［14］ Lapolla M，Mar Tinelli F，Sgandurra D.A survey on security for mobile devices［J］.IEEE Communications Surveys ＆ Tutorials:2012，15(1):108 －117.

［15］ AU K W Y，ZHOU Yi－ fan，HUANG Zhen，et al.PScout:analyzing the Android permission specification［C］//Proc of ACM Conference on Computer and Communications Security.New York:ACM Press，2012:217 －228.

［16］ CHEN K Z，Johnson N，D’Silva V，et al.Contextual policy enforcement in Android programs with permission event graphs［C］//Proc of the 20th Annual Network and Distributed System Security Symposium.San Diego:Internet Society，2013:455－464.

［17］ Grace M，ZHOU Ya － jin，WANG Zhi，et al.Systematic detection of capability leaks in stock Android smartphones［C］//Proc of the 19th Annual Symposium on Network and Distributed System Security.San Diego:Internet Society，2012:235－244.

［18］ WU Dong－ jie，MAO C H，WEI T E，et al.DroidMat:Android malware detection through manifest and API calls tracing［C］//Proc of the 7th Asia Joint Conference on Information Security.Tokyo:ASIAJCIS，2012:62 －69.

［19］ 蔣紹林，王金雙，于晗，等.改進(jìn)的Android強(qiáng)制訪問控制模型［J］.計(jì)算機(jī)應(yīng)用，2013，33(6):1630－1636.

［20］ PARKY，LEE C，LEE C，et al.Rgbdroid:a novel response －based approach to Android privilege escalation attacks［C］//Proc of the 5th USENIX Conference on Large－scale Exploits and Emergent Threats.Berkeley:USENIX Association，2012:56－67.

［21］ Mann C，Starostin A.A framework for static detection of privacy leaks in Android applications［C］//Proc of the 27th Annual ACM Symposium on Applied Computing.New York:ACM Press，2012:1457 －1462.

［22］ Gibler C，Crussell J，Erickson J，et al.AndroidLeaks:automatically detecting potential privacy leaks in Android applications on a large scale［C］//Proc of the 5th International Conference on Trust and Trustworthy Computing.Berlin:Springer，2012:291 －307.

［23］ 楊廣亮，龔曉銳，姚剛，等.一個(gè)面向Android的隱私泄露檢測(cè)系統(tǒng)［J］.計(jì)算機(jī)工程，2012，38(23):5747－5752.

［24］ 戴威，鄭滔.基于Android權(quán)限機(jī)制的動(dòng)態(tài)隱私保護(hù)模型［J］.計(jì)算機(jī)應(yīng)用研究，2012，29(9):3478 －3482.

［25］ JIA Li－ min，Aljuraidan J，F(xiàn)ragkaki E，et al.Run － time enforcement of information－flow properties on Android［C］//Computer Security － ESORICS.Berlin:Springer，2013:775－792.

［26］ Elli Fragkaki，Lujo Bauer，Limin Jia，et al.Modeling and enhancing Android’s permission system［M］.Computer Security－ ESORICS.Berlin:Springer，2012:1 －18.