謝金鳳　中國信息通信研究院西部分院工程師戴　燕　西南計(jì)算機(jī)有限責(zé)任公司工程師化潔玉　中國信息通信研究院西部分院工程師

?

Android系統(tǒng)智能手機(jī)安全威脅及保護(hù)機(jī)制淺析*

謝金鳳中國信息通信研究院西部分院工程師
戴燕西南計(jì)算機(jī)有限責(zé)任公司工程師
化潔玉中國信息通信研究院西部分院工程師

摘要：介紹了Android系統(tǒng)智能手機(jī)的多種安全機(jī)制，包括程序沙盒、文件訪問控制、Root權(quán)限控制、應(yīng)用權(quán)限管理、程序數(shù)字簽名等。同時，從應(yīng)用程序內(nèi)嵌惡意代碼、入侵Android系統(tǒng)漏洞、利用Root權(quán)限惡意操作三個方面分析了Android系統(tǒng)的常見安全威脅，提出了相應(yīng)應(yīng)對措施。

關(guān)鍵詞：Android系統(tǒng)；智能手機(jī)；信息安全

1　引言

隨著移動互聯(lián)網(wǎng)、智能芯片、云計(jì)算等技術(shù)的日益成熟，智能手機(jī)已不再僅僅作為通訊工具，而是滲透入了人們生活的購物、出行、生活繳費(fèi)、定向資訊等方方面面。Android手機(jī)操作系統(tǒng)是Google公司基于Linux開發(fā)的手機(jī)操作系統(tǒng)，于2007年問世以來，由于其開放性、擴(kuò)展性、可操作性，在智能手機(jī)中獲得了廣泛應(yīng)用。據(jù)2015年12月市場研究機(jī)構(gòu)IDC公布的《全球手機(jī)季度跟蹤報(bào)告》預(yù)測，2015年全球智能手機(jī)出貨量達(dá)到14.3億部，其中Android市場份額在可達(dá)82%。Android智能手機(jī)操作系統(tǒng)在可預(yù)見的未來仍將處于主導(dǎo)地位。

伴隨著Android智能手機(jī)系統(tǒng)深入滲透人們?nèi)粘Ｉ?，Android系統(tǒng)的安全性也成為廣受關(guān)注的問題。由于智能手機(jī)目前已涉及地理位置記錄、銀行賬號、人際關(guān)系等重要個人隱私信息，一旦被不良人士入侵將造成嚴(yán)重的財(cái)產(chǎn)甚至人身損失。因此，分析Android系統(tǒng)智能手機(jī)的安全體系及潛在威脅，對于健全Android智能手機(jī)安全保護(hù)機(jī)制具有重要意義。

2　Android系統(tǒng)安全體系

Android系統(tǒng)是基于Linux內(nèi)核實(shí)現(xiàn)的，保留了Linux系統(tǒng)中程序沙盒、文件訪問控制等安全機(jī)制，此外設(shè)置了系統(tǒng)Root權(quán)限、應(yīng)用權(quán)限管理、程序數(shù)字簽名等安全機(jī)制，分別保障了應(yīng)用發(fā)布、安裝和運(yùn)行過程中的安全。

（1）程序沙盒

Android系統(tǒng)為每個應(yīng)用提供一個Dalvik虛擬機(jī)，并為其創(chuàng)建一個UID。系統(tǒng)為每個運(yùn)行程序分配一塊內(nèi)存空間，令各個應(yīng)用程序于獨(dú)立進(jìn)程運(yùn)行，從而實(shí)現(xiàn)相互隔離。只有通過設(shè)置sharedUserID，令兩個應(yīng)用實(shí)用同一個UID，方能運(yùn)行于同一進(jìn)程，實(shí)現(xiàn)資源和權(quán)限的共享?；诔绦蛏澈校杀Ｕ蠎?yīng)用的獨(dú)立性，在單個應(yīng)用出現(xiàn)問題時，可通過消除其Dalvik虛擬機(jī)實(shí)例保障系統(tǒng)的安全運(yùn)行。

（2）文件訪問控制

基于Android系統(tǒng)為每個用戶和應(yīng)用程序創(chuàng)建的UID，可實(shí)現(xiàn)對文件訪問的控制。每個用戶對于每個文件都有不同的權(quán)限，分別為R（可讀）、W（可寫）和X（可執(zhí)行）。每個應(yīng)用程序創(chuàng)建的文件會分配該應(yīng)用程序的用戶ID。通過文件所屬的權(quán)限、組ID和RWX組合，可實(shí)現(xiàn)應(yīng)用程序?qū)ξ募脑L問控制。僅Root用戶對所有文件都有讀寫和執(zhí)行的權(quán)限。其他情況下，應(yīng)用程序僅能訪問特定的文件，而不能訪問系統(tǒng)文件，從而保護(hù)系統(tǒng)免受外部修改，保障系統(tǒng)的正常運(yùn)行。

（3）Root權(quán)限控制

Android系統(tǒng)角色分為普通用戶、Root用戶兩種。普通用戶只能操作與自己有關(guān)的內(nèi)容。而Root用戶具有操作系統(tǒng)文件、操作硬件設(shè)備等最高權(quán)限，系統(tǒng)中只有個別程序具有Root權(quán)限。即使對手機(jī)進(jìn)行Root破解，令普通用戶和應(yīng)用程序也擁有Root權(quán)限，Android系統(tǒng)仍會采用SuperUser程序?qū)彶镽oot權(quán)限的操作，進(jìn)一步保障系統(tǒng)的正常運(yùn)行。

（4）應(yīng)用權(quán)限管理

Android系統(tǒng)提供了多粒度的權(quán)限控制機(jī)制，應(yīng)用程序在配置文件里可聲明自身各個組建的訪問權(quán)限。權(quán)限包括權(quán)限的名稱、權(quán)限所屬的組和保護(hù)類別3方面信息，保護(hù)級別分為普通、危險(xiǎn)、簽名、簽名或系統(tǒng)4類。在程序安裝時，該程序使用的權(quán)限將清晰羅列并呈現(xiàn)給用戶，以供用戶選擇是否安裝。

（5）程序數(shù)字簽名

Android系統(tǒng)的每個應(yīng)用程序都必須通過數(shù)字證書簽名，以供標(biāo)識此應(yīng)用的開發(fā)者。通過對比應(yīng)用APK安裝程序的簽名，可判斷此安裝程序是否為被破解、篡改后重新簽名打包的盜版軟件。

3　Android系統(tǒng)威脅

由于Android系統(tǒng)采用開放式架構(gòu)，在為開發(fā)者提供API接口與開發(fā)工具包以供便捷調(diào)用的同時，也為惡意代碼惡意扣費(fèi)、竊取隱私、破壞系統(tǒng)、消耗資費(fèi)等違法操作提供了條件，主要途徑包括應(yīng)用程序內(nèi)嵌惡意代碼、入侵Android系統(tǒng)漏洞、利用Root權(quán)限惡意操作等。

（1）應(yīng)用程序內(nèi)嵌惡意代碼

Android系統(tǒng)的數(shù)字簽名機(jī)制雖可判斷應(yīng)用程序是否為插入惡意攻擊代碼后重新打包的惡意應(yīng)用，一定程度上防范了惡意程序的安裝。然而，由于Android系統(tǒng)的開放性及版本的碎片化，仍存在部分繞過數(shù)字簽名認(rèn)證的手段。其一，是Android系統(tǒng)的簽名認(rèn)證繞過漏洞，惡意開發(fā)者可通過在APK文件中內(nèi)嵌新的字節(jié)碼文件classes.dex繞過簽名機(jī)制。其二，是修改簽名APK包META-INF文件夾中的簽名數(shù)據(jù)文件。

當(dāng)前，對此類惡意應(yīng)用程序的檢測手段可分為兩種方式：

●靜態(tài)分析Android應(yīng)用的掃描特征碼和簽名信息等。

●動態(tài)監(jiān)控Android應(yīng)用的API調(diào)用行為。

（2）入侵Android系統(tǒng)漏洞

Android系統(tǒng)的版本一直在不斷更新升級，然而每個版本都可能存在一些漏洞，如Stagefright漏洞、Mediaserver漏洞、0day漏洞等。攻擊者可通過惡意APP或網(wǎng)站，利用Android系統(tǒng)漏洞造成設(shè)備無法響應(yīng)、繞過沙盒操作程序、竊取用戶信息、導(dǎo)致設(shè)備變磚等安全事件。

業(yè)內(nèi)已有Trend Micro、WooYun等多個殺毒軟件公司、安全研究機(jī)構(gòu)針對Android系統(tǒng)漏洞進(jìn)行研究。一方面，Google應(yīng)對系統(tǒng)漏洞引起足夠重視，盡快修正漏洞，推行更新、更穩(wěn)定的系統(tǒng)版本；另一方面，Android智能手機(jī)使用者應(yīng)保持足夠警惕，及時更新系統(tǒng)版本，于正規(guī)應(yīng)用市場下載正版軟件，避免登錄不可靠的網(wǎng)站等。

（3）利用Root權(quán)限惡意操作

基于Android系統(tǒng)的開源性，用戶可基于刷機(jī)在手機(jī)中安裝他人發(fā)布的系統(tǒng)鏡像，或基于獲取Root權(quán)限操作系統(tǒng)文件，從而改變系統(tǒng)界面、實(shí)現(xiàn)特殊功能。然而惡意開發(fā)者可能在ROM中內(nèi)置惡意軟件，獲取用戶隱私信息、私自扣費(fèi)等，或基于惡意應(yīng)用修改和控制系統(tǒng)文件，為用戶造成不易察覺的財(cái)產(chǎn)損失。

為防范此類安全威脅，一方面，論壇、應(yīng)用分享社區(qū)、第3方應(yīng)用市場等應(yīng)加強(qiáng)對所發(fā)布和分享Rom、APP等資源的管理，及時開展安全性檢查、刪除清理等工作，防止成為惡意資源傳播的溫床；另一方面，用戶應(yīng)加強(qiáng)防范意識，對新安裝的應(yīng)用或Rom進(jìn)行入侵檢測，及時發(fā)現(xiàn)和卸載惡意軟件，避免造成持續(xù)損失。

4　結(jié)束語

雖然Android系統(tǒng)的安全體系已經(jīng)比較完善，但由于Android系統(tǒng)自身的開放性、開源性，仍存在多種多樣的安全威脅，亟需強(qiáng)化Android安全機(jī)制，完善惡意應(yīng)用檢測手段，規(guī)范國內(nèi)第3方應(yīng)用市場，提升系統(tǒng)漏洞挖掘能力。營造安全的Android智能手機(jī)應(yīng)用環(huán)境，需要Google、信息安全檢測機(jī)構(gòu)、信息安全實(shí)驗(yàn)室、應(yīng)用共享社區(qū)的多方面角色的共同努力，任重而道遠(yuǎn)。

參考文獻(xiàn)

［1］Google Inc.Android security［EB/OL］.［2013-06-26］.https：// source.android.com/tech/security.

［2］雷靈光，張中文，王悅武，等.Android系統(tǒng)代碼簽名驗(yàn)證機(jī)制的實(shí)現(xiàn)及安全性分析［J］.信息網(wǎng)絡(luò)安全，2012（8）.

［3］WooYun.Androiduncobersmaster-keyvulnerabilityanalysis ［EB/OL］.［2013-12-09］.http：//drops.wooyun.org/papers/219.

中創(chuàng)信測技術(shù)專欄

Analysisonthe security threats and protectionmechanismof android intelligent mobile phone

XIEJinfeng，DAIYan，HUAJieyu

Abstract：This paper introduces the security mechanisms of android intelligent mobile phone， includes app sandbox， file access control， root right control， app authorization management， and file access control. What’s more， the paper analysis the common security threats of android system， includes application with embedded malicious code， intrusion android system vulnerabilities， and malicious operations using root right.At thesametime， put forward the corresponding countermeasures.

Keywords:android system； intelligent mobile phone； information safety

*基金項(xiàng)目：重慶市應(yīng)用開發(fā)計(jì)劃項(xiàng)目（cstc2014yykfC40002），重慶市科技平臺與基地建設(shè)計(jì)劃項(xiàng)目（cstc2014pt-gc40002），重慶市電子信息產(chǎn)品測試工程技術(shù)研究中心項(xiàng)目（渝科委發(fā)［2014］1號）資助

收稿日期：（2016-02-20）