◆孫夢陽

（上海交通大學(xué) 上海 200240）

TaintDroid數(shù)據(jù)流監(jiān)控系統(tǒng)缺陷及優(yōu)化策略研究

◆孫夢陽

（上海交通大學(xué) 上海 200240）

本文首先綜述安卓系統(tǒng)安全檢測技術(shù)發(fā)展現(xiàn)狀，在詳細(xì)分析了基于安卓惡意應(yīng)用檢測的TaintDroid數(shù)據(jù)流監(jiān)控系統(tǒng)缺陷的基礎(chǔ)上，給出了一種基于擴(kuò)展TaintDroid的檢測范圍來實(shí)現(xiàn)用戶隱私保護(hù)的策略。

數(shù)據(jù)流；監(jiān)控系統(tǒng)；優(yōu)化策略

0 引言

隨著移動(dòng)智能設(shè)備的大量普及，人們使用智能手機(jī)的場合也越來越多，無論是登錄社交應(yīng)用跟別人聊天，還是使用手機(jī)保存自己的重要信息，智能移動(dòng)設(shè)備現(xiàn)在已經(jīng)完全變成了每個(gè)人的隨身私密管家，對人們的生活起著至關(guān)重要的作用。正是由于智能終端設(shè)備的功能已經(jīng)進(jìn)步的如此強(qiáng)大，由此而來吸費(fèi)、流量消耗、隱私泄漏、系統(tǒng)破壞、遠(yuǎn)程控制等安全問題也越來越嚴(yán)重。目前流行的移動(dòng)智能終端操作系統(tǒng)多為蘋果公司的iOS系統(tǒng)以及Google公司的Android系統(tǒng)，兩者占據(jù)了幾乎全部的移動(dòng)智能終端市場。由于iOS平臺(tái)的封閉性和非定制性，使得用戶和應(yīng)用的大量操作被限制。并且，未越獄的iOS只能夠從App Store中下載app應(yīng)用，這確保了其中的app已經(jīng)經(jīng)過審核，相對安全。Android是Google公司推出的手機(jī)操作系統(tǒng)，由于Android具有開源、可編程軟件框架、網(wǎng)絡(luò)化設(shè)備的特點(diǎn)，Android更易受到智能手機(jī)病毒的攻擊。因此，基于安卓Android系統(tǒng)的移動(dòng)智能終端，如何保護(hù)用戶的隱私數(shù)據(jù)，已逐漸成為業(yè)內(nèi)關(guān)注的一個(gè)極其重要的課題。

1 Android系統(tǒng)安全檢測技術(shù)研究現(xiàn)狀

目前基于Android安全問題的安全檢測系統(tǒng)已經(jīng)初具規(guī)模，一部分研究者致力于研究Android的系統(tǒng)安全，他們通過分析系統(tǒng)內(nèi)核層和框架層的安全來研究Android的安全性。另一部分人致力于研究應(yīng)用安全，他們的主要研究集中在惡意應(yīng)用的檢測和應(yīng)用漏洞的挖掘上。

針對于惡意應(yīng)用的檢測，研究人員主要致力于強(qiáng)化Android程序安裝時(shí)的權(quán)限審核，以及程序運(yùn)行時(shí)的行為檢測。這兩種方案都可以在某種程度上防止應(yīng)用程序惡意的獲取系統(tǒng)的隱私數(shù)據(jù)和機(jī)密資源。目前該領(lǐng)域的研究現(xiàn)狀以及成果如下：

為了限制惡意應(yīng)用程序的行為，Samlley等人提出了運(yùn)用強(qiáng)制訪問控制策略保護(hù)Android中的系統(tǒng)資源的方法。為了保護(hù)Android智能手機(jī)安全，在深入分析Android系統(tǒng)安全機(jī)制的基礎(chǔ)上，乜聚虎等人提出了一個(gè)基于強(qiáng)制訪問控制的安全加固技術(shù)[23]。Shebaro等人提出了基于上下文環(huán)境的訪問控制模型，讓應(yīng)用程序只在特定的環(huán)境下使用敏感數(shù)據(jù)[18]。楊歡等人設(shè)計(jì)了基于權(quán)限頻繁模式的挖掘算法，用來挖掘應(yīng)用程序權(quán)限之間的關(guān)聯(lián)性[2]。通過挖掘權(quán)限之間的關(guān)聯(lián)性，找出程序申請權(quán)限的特點(diǎn)，利用機(jī)器學(xué)習(xí)的方法將應(yīng)用程序分類，找出惡意程序。為實(shí)現(xiàn)Android平臺(tái)下惡意軟件的高效檢測，李挺等人提出了一種基于Dalvik指令的Android惡意代碼特征形式化描述和分析方法，能夠在無需反編譯應(yīng)用程序的基礎(chǔ)上，快速檢測樣本的惡意特征[25]。上述這些方法，都是基于對應(yīng)用程序或者系統(tǒng)本身的訪問動(dòng)作的限制和檢測來達(dá)到確保隱私數(shù)據(jù)安全的目的。

除此之外，還有一類方法是通過對系統(tǒng)中的數(shù)據(jù)流或者指令流的分析和追蹤入手來分析系統(tǒng)安全的。例如，F(xiàn)lowDroid通過靜態(tài)分析法構(gòu)造控制或數(shù)據(jù)流圖，來分析數(shù)據(jù)流的走向，并給出隱私數(shù)據(jù)是否被泄露的結(jié)論。經(jīng)過修改，傳統(tǒng)的靜態(tài)程序檢測技術(shù)可以應(yīng)用到Android應(yīng)用程序的檢測上，并能夠準(zhǔn)確地檢測出程序中存在的隱私泄露的問題[6]。為提高Android移動(dòng)平臺(tái)的安全性，白鴿等人提出一種基于Dalvik指令的靜態(tài)檢測方法，通過分析應(yīng)用程序的虛擬機(jī)代碼，找出敏感信息的數(shù)據(jù)流，包括跟蹤敏感信息、函數(shù)的調(diào)用，從而判斷出該應(yīng)用程序是否有惡意行為[30]。

然而，靜態(tài)的數(shù)據(jù)流或者指令流的分析方法存在其局限性，它無法實(shí)時(shí)的確保檢測和分析當(dāng)前系統(tǒng)的隱私數(shù)據(jù)走向，只能對某個(gè)現(xiàn)階段的系統(tǒng)進(jìn)行分析來評估其安全性，無法動(dòng)態(tài)的檢測系統(tǒng)的安全。因此，很多人通過對數(shù)據(jù)流或者指令流的動(dòng)態(tài)監(jiān)測的方式來實(shí)現(xiàn)對隱私數(shù)據(jù)的保護(hù)。由Yan L K等人提出的Droid Scope就是一個(gè)基于Android模擬器QEMU的動(dòng)態(tài)分析平臺(tái)[15]。

此外，針對于數(shù)據(jù)流的動(dòng)態(tài)監(jiān)測，Enck等人提出了從應(yīng)用程序執(zhí)行過程的數(shù)據(jù)流跟蹤出發(fā)的隱私數(shù)據(jù)污點(diǎn)跟蹤系統(tǒng)TaintDroid。正是由于Android平臺(tái)隱私數(shù)據(jù)保護(hù)的嚴(yán)峻形勢，這種基于修改Android虛擬機(jī)Dalvik的數(shù)據(jù)流監(jiān)控系統(tǒng)TaintDroid應(yīng)運(yùn)而生。

2 TaintDroid數(shù)據(jù)流監(jiān)控系統(tǒng)功能分析

TaintDroid對安卓系統(tǒng)的隱私數(shù)據(jù)設(shè)置污點(diǎn)，來跟蹤隱私數(shù)據(jù)在系統(tǒng)中和網(wǎng)絡(luò)中的傳播。若隱私數(shù)據(jù)衍生了新的數(shù)據(jù)，則新的數(shù)據(jù)也要被污點(diǎn)標(biāo)記。這樣一來，通過對網(wǎng)絡(luò)API的檢測算法，可以檢測、記錄和丟棄存在隱私泄露的連接。

從本質(zhì)上來講，TaintDroid是在Dalvik的基礎(chǔ)上進(jìn)行修改，主要在Dalvik代碼中添加了TaintDroid相關(guān)的部分，因此可以說TaintDroid就是一個(gè)Dalvik改版的Android虛擬機(jī)，因此，針對于所有在Java代碼層面的行為，這個(gè)新的虛擬機(jī)都可以進(jìn)行監(jiān)控。

這種基于信息流的動(dòng)態(tài)分析方法易用性很高，它不需要用戶的過多參與，誤報(bào)率高而漏報(bào)率低。可是其效率沒有靜態(tài)分析來的高效，因?yàn)樘摂M機(jī)在執(zhí)行污點(diǎn)傳播時(shí)需要占用較大內(nèi)存，且指令也更加復(fù)雜。因此，TaintDroid系統(tǒng)本身也含有一些優(yōu)化的思想。例如在應(yīng)用程序中采用變量級別的追蹤，在應(yīng)用程序之間采用消息級別的跟蹤，對于系統(tǒng)原生庫的調(diào)用采用方法級別的跟蹤，而對于一些永久性信息的追蹤則采用文件級別追蹤。這樣可以確保檢測率和高效性的平衡。如圖1所示：

圖1 TaintDroid系統(tǒng)的分級追蹤示意圖

3 TaintDroid 數(shù)據(jù)流監(jiān)控系統(tǒng)缺陷及優(yōu)化策略

TaintDroid系統(tǒng)的本身并沒有非常完善，其仍然存有缺陷，主要缺陷包括幾下幾部分：

（1）能夠檢測的隱私泄露源還不夠全面，能夠檢測到的控件類型有局限性，例如藍(lán)牙和鍵盤輸入都無法檢測；

（2）字符串跟蹤粒度不夠細(xì)，可能會(huì)導(dǎo)致污點(diǎn)的過渡擴(kuò)散，產(chǎn)生誤報(bào)[3]；

（3）不能提供程序執(zhí)行過程中的隱私數(shù)據(jù)的路徑和擴(kuò)散信息，依賴于網(wǎng)絡(luò)API檢測；

（4）測試時(shí)需要人工參與，不利于自動(dòng)化；

（5）對于程序調(diào)用第三方現(xiàn)成的庫的情況，無法追蹤。

針對以上問題，業(yè)界研究人員陸續(xù)給出了一定程度上的補(bǔ)充和優(yōu)化。

楊廣亮等人借鑒了其動(dòng)態(tài)污點(diǎn)跟蹤技術(shù)，實(shí)現(xiàn)了Taint Chaser自動(dòng)化檢測系統(tǒng)，該系統(tǒng)能夠?qū)崿F(xiàn)更加細(xì)粒度和自動(dòng)化的跟蹤。戴威等人將Android的權(quán)限機(jī)制的訪問控制和動(dòng)態(tài)隱私數(shù)據(jù)的追蹤相結(jié)合，利用隱私數(shù)據(jù)著色跟蹤的方式[4]。此系統(tǒng)能實(shí)現(xiàn)對應(yīng)用程序間傳播的包含不同隱私權(quán)限標(biāo)簽的消息的隔離控制[5]。

另一方面，TaintDroid系統(tǒng)針對Android應(yīng)用程序中大量使用的WebView交互，沒有能夠提供安全性的追蹤功能。針對這一問題，王偉平等人提出了一種基于TaintDroid擴(kuò)展的WebView隱私泄露檢測方法WTD。通過測試WebView應(yīng)用程序，與TaintDroid對比，能夠更有效地檢測出由于WebView應(yīng)用導(dǎo)致的隱私泄露問題[16]。

上述研究人員分別從不同角度對用TaintDroid進(jìn)行了優(yōu)化，從一定程度了彌補(bǔ)了其存在的一些缺陷。目前，TaintDroid的檢測范圍包括位置LOCATION、通訊錄CONTACTS、麥克風(fēng)MIC、手機(jī)號PHONE NUMBER、GPS位置LOCATION GPS、網(wǎng)絡(luò)位置LOCATION NET、上一次位置LOCATION LAST、攝像頭CAMERA、加速器ACCELEROMETER、短信SMS、機(jī)器標(biāo)識IMEI、移動(dòng)用戶標(biāo)識IMSI、SIM卡標(biāo)識ICCID、設(shè)備SN號DEVICE SN、賬戶ACCOUNT以及歷史HISTORY。為了能夠更好的對隱私數(shù)據(jù)進(jìn)行全面跟蹤和檢測，本文將以檢測鍵盤Keyboard輸入留存在EditText控件中的信息為例，提出對TaintDroid進(jìn)行優(yōu)化及補(bǔ)充的設(shè)想，主要思路及做法如下：

要實(shí)現(xiàn)能夠?qū)⒂脩糨斎氲臄?shù)據(jù)添加上TaintDroid污點(diǎn)標(biāo)記，有兩種實(shí)現(xiàn)途徑。其中之一是監(jiān)控用戶Keyboard的輸入數(shù)據(jù)，并在輸入結(jié)束的那一刻，將輸入的每一個(gè)字符合起來所構(gòu)成的字符串?dāng)?shù)據(jù)添加Taint標(biāo)記。但是這種方法非常繁瑣，且需要知道Android系統(tǒng)的Keyboard點(diǎn)擊監(jiān)聽事件的相關(guān)邏輯過程和實(shí)現(xiàn)方法。除此之外，另一種方法就是監(jiān)控EditText控件的變化。在Android源碼的框架目錄frameworks下有采用Java實(shí)現(xiàn)的核心功能代碼，其中包含text的部分，尋找到Editable接口，通過在代碼中加入Taint接口的調(diào)用，可以實(shí)現(xiàn)對基于EditText變換過來的String數(shù)據(jù)全部加上污點(diǎn)。這樣優(yōu)化后可以實(shí)現(xiàn)如下功能：當(dāng)用戶輸入用戶名或者密碼或打開一個(gè)具有同步功能的記事簿或者筆記本時(shí)，用戶輸入的信息就會(huì)被認(rèn)為是私密的，但當(dāng)其被傳遞到網(wǎng)絡(luò)的時(shí)候就會(huì)被TaintDroid掃描和記錄，并呈現(xiàn)給用戶，呈現(xiàn)的方式與其它類型的污點(diǎn)數(shù)據(jù)監(jiān)控的方式相同，都是采用Android的Notification功能來提示用戶。

需要注意的是，Editable是一個(gè)接口，它需要提供它的實(shí)現(xiàn)類，但是無法給Editable的實(shí)現(xiàn)類的對象添加污點(diǎn)標(biāo)記，因?yàn)樗皇且粋€(gè)Java基本類型。只有Java基本類型，比如int，string等才可以被添加污點(diǎn)標(biāo)記，因此對于這類數(shù)據(jù)，只能將其封裝內(nèi)部的基本類型的數(shù)據(jù)添加上污點(diǎn)。本文最終的選擇是將其封裝類內(nèi)部真正表示字符串信息的那一部分?jǐn)?shù)據(jù)添加污點(diǎn)。

其具體結(jié)構(gòu)如下圖2所示：

圖2 EditText控件實(shí)現(xiàn)用戶輸入信息的流程

針對于Editable的修改，本文采用的是TaintDroid基于變量級別的追蹤。修改后，TaintDroid針對于EditText的具體實(shí)現(xiàn)流程為：

（1）某個(gè)EditText的控件，對應(yīng)于某個(gè)具體的Editable接口實(shí)現(xiàn)類的對象。

（2）控件輸入數(shù)據(jù)的變化，會(huì)導(dǎo)致該對象內(nèi)容的變化。

（3）當(dāng)用戶應(yīng)用程序準(zhǔn)備調(diào)用該控件輸入的字符串信息時(shí)，它會(huì)調(diào)用這個(gè)控件對應(yīng)的對象的某個(gè)生成字符串的方法（實(shí)驗(yàn)當(dāng)中作為舉例，使用的是toString（）方法）。

（4）本文將TaintDroid添加污點(diǎn)的步驟加入到該方法下之后，所有生成的字符串則自動(dòng)會(huì)擁有特定的污點(diǎn)標(biāo)記，是一種基于Java層的方法級別的污點(diǎn)追蹤。

4 結(jié)語

本文所述的TaintDroid數(shù)據(jù)流監(jiān)控系統(tǒng)進(jìn)行優(yōu)化的策略，主要基于擴(kuò)展TaintDroid的檢測范圍，旨在實(shí)現(xiàn)全面布控地毯式檢測，避免疏漏。實(shí)驗(yàn)證明，文中所述優(yōu)化策略在一定程度上保護(hù)了用戶隱私數(shù)據(jù)，解決了安卓系統(tǒng)相關(guān)安全問題。本文研究的結(jié)果可用于任何使用EditText的應(yīng)用程序的任何場合，兼容于Android4.1的系統(tǒng)。