曹淑賢

摘 要 安卓（Android）操作系統(tǒng)是最為流行的手機移動端操作系統(tǒng)，目前安卓8.0版本已經上線了。本文基于安卓操作系統(tǒng)的各種版本，對其進行安全性分析。本文的分析建立在Linux操作系統(tǒng)和安卓系統(tǒng)的異同之上，分析出了安卓系統(tǒng)所面對的安全困境，從安卓的安全建模、安全體系設置、安卓的結構設置和如何實現系統(tǒng)安全等方面進行了詳盡的分析。

關鍵詞 操作系統(tǒng) 安全分析 安卓

中圖分類號：TP393.08 文獻標識碼：A

1安卓操作系統(tǒng)的構架

安卓操作系統(tǒng)是運用了Linux內核和JAVA語言編程的開源手機端操作系統(tǒng)，大多數用于例如手機移動終端、平板電腦等。安卓系統(tǒng)分為四層軟件構架。從上往下數分別為，第一，應用軟件層，該層包含各種應用軟件，例如郵件存儲軟件，短信發(fā)送軟件，電話軟件等，全部用Java語言編寫。第二，應用程序層次，該層次可以提供系統(tǒng)的基本功能，主要包括一些內容提供器文件，比如資源管理器、活動管理器、通知管理器、擴展視圖等，該層次也是有JAVA語言編寫的。第三，運行層次庫，該層次主要包含了安卓系統(tǒng)運行的函數庫，包含了一些C語言標準，比如數據庫引擎、安全協(xié)議、圖像引擎、游覽器內核文件等。第四，Linux系統(tǒng)內核層次，該層以Linux操作系統(tǒng)為內核，采用的不是Java而是C語言，提供的是進程管理方面的功能，可以進行安全設置、進程管理、內存管理、網絡設置以及硬件設置等內容。

安卓系統(tǒng)當中有一個名為Dalvik的虛擬機，虛擬機對于安卓系統(tǒng)來說尤為重要，虛擬機可以分配系統(tǒng)的進程，系統(tǒng)當中的每一個應用程序都在虛擬機當中運行，一個虛擬機就是一個進程，如果相應的程序發(fā)生了崩潰，則設備整體的運行不會受到該程序的影響。也就是說，安卓系統(tǒng)中一個程序的運行不會依靠另外一個程序。

安卓系統(tǒng)的整體都在內核空間當中進行工作運行，也就是說如果缺少了必要的驅動程序或者內核擴展程序不夠完整，則無法對硬件設備進行訪問。在內核空間運行的程序可以占領用戶的運行空間的程序，比如文件系統(tǒng)雖然運行在用戶的空間當中，但是與顯示相關的驅動程序則是在內核空間中運行，因此顯示相關的驅動就可以搶占文件系統(tǒng)的應用進程。

2安卓系統(tǒng)的安全機制問題

安卓系統(tǒng)在Linux系統(tǒng)的安全機制基礎之上，又加載了谷歌公司為其專門定制的增強安全機制。增加了UID和GID，UID是用戶識別標志，GID是組織機構識別標志。谷歌公司還為其增加了簽名機制和用戶授權機制，并且使用的JAVA語言也更加安全。

2.1 Android系統(tǒng)的用戶識別和機構識別

安卓系統(tǒng)的設置權限是相互分離的，雖然Linux系統(tǒng)已經出現了權限的分離，安卓系統(tǒng)還是對其安全權限設置進行了擴展。具體到操作層面，安卓系統(tǒng)為應用程序分配有用戶識別功能和機構識別功能，使得相應的訪問屬于相互之間處于相對隔離的狀態(tài)，達到了更加安全的目的。

安卓系統(tǒng)每安裝一個相關的應用軟件都會分配一個獨特的用戶識別標志，而Linux系統(tǒng)是所有的用戶都是同一個用戶識別標志。其中如果用戶沒有root，則文件的讀寫和執(zhí)行操作的權限之外還有不同的權限設置，如果進行過root則其權限為零，也即沒有UID。不同的用戶對于文件都有相應的權限，分為可以執(zhí)行、可以讀取處理以及可讀。安卓系統(tǒng)的所有應用程序都有不同的用戶標志，只有攜帶有獨特UID的應用程序，才能讀取其所需要的相關資料。

GID也是安卓系統(tǒng)用戶權限管理的一部分。GID是一組權限的合集，在獨特的框架當中運行，與應用需要的具體權限相關聯(lián)。應用每去申請一個權限，GID就會加入一個對應的識別標志，因此GID可以認為是一個關于權限的合集，對于普通的應用程序而言，GID就是UID，但是由于安卓系統(tǒng)的每一個程序都有對應的不同應用，每一個進程都有相應的UID權限，也就是說安卓系統(tǒng)的應用程序之間是相互分離的，每一個應用程序都有各自的一個黑箱，其他的應用程序無法影響相應的應用程序。

2.2安卓系統(tǒng)的權限管理

權限許可的英文為permission，權限許可也可以保障安卓系統(tǒng)的安全性，也是一種安全標志，同時也是安卓系統(tǒng)一些特殊功能的操作基礎，安卓系統(tǒng)的操作權限管理相關的安全機制主要可劃分成，訪問權限管控和操作權限細分。

安卓系統(tǒng)的權限劃分主要分為三方面，包括權限的命名、權限的分組、權限的級別。一個權限組又可以劃分成不同的合集，例如在一個名為COSTMONEY權限合集當中，又包括了permission，SMS-permission，CALLPHONE等和付費相關的權限，每個權限都有不同的保護級別，都有相異的標志來劃分。安卓共有四個不同的級別，安全程度分別是normal正常，dangerous危險，signature，和signature or system，不同的保護層次都有不同的認證方法，例如normal的權限只要進行申請就可以，dangerous的權限需要用戶安裝應用的過程之中就進行確定。Signature則需要獨特的數字證書。

安卓系統(tǒng)的權限許可機制也限制了其某些操作的執(zhí)行，目前的安卓系統(tǒng)的內置權限大約有一百多條，如果涉及到相關的應用更改時則不計其數，例如打電話、攝像、使用網絡等等，發(fā)送信息也有相應的安全設置。所有的安卓應用都能申請某些權限，或者被授權進行某些特殊的操作，在程序安裝的過程當中就需要進行一些權限申請。

如果一個特定的安卓程序沒有相關的權限設置，那么其有可能進行了一些危害用戶安全的操作，客戶的一些敏感數據會被未經授權的操作程序所損壞。如果相應的操作程序不在自己特定的黑箱之中，在特定的運行范圍之外運行了惡意程序，將會對系統(tǒng)整體產生非常大的不利影響。

2.3安卓系統(tǒng)的簽名機制

安卓系統(tǒng)也可以通過簽名機制對自己進行保護，安卓系統(tǒng)的應用都是需要進行簽名的，通過簽名可以限制對程序的部分修改，確保改變的來源是相同的。在軟件安裝的過程當中主要是通過提取證書進行認證，獲取簽名的算法信息，與之前的應用程序進行比對，獲取是否匹配的結論。endprint

3安卓系統(tǒng)所面對的安全威脅

安卓系統(tǒng)所面臨的安全威脅的種類是多種多樣的，具體而言主要有以下一些。

3.1開源的系統(tǒng)所帶來的風險

安卓系統(tǒng)采用了較為激進的開源型系統(tǒng)軟件開發(fā)模式，所有用戶都可以通過應用商店下載應用程序，同時用戶也可以安裝應用商店當中沒有的應用，除官方應用商店之外還有其他應用商店也可以下載程序。雖然應用程序上傳應用商店之后，都會被進行強制安全檢查，但是某些應用市場沒有執(zhí)行很好的檢查措施，一些應用程序沒有通過應用市場進行安裝，一些程序還可以通過電腦軟件復制到手機當中進行安裝。安卓系統(tǒng)的這種過于開放的安裝模式豐富了系統(tǒng)應用軟件的同時，也造成了惡意代碼的廣泛侵襲。惡意代碼的開發(fā)者可以通過各種渠道進入手機，通過應用商店合法的下載應用，然后植入惡意代碼重新打包，之后再次發(fā)布，將會造成偽裝的應用程序和合法的原生程序具有相同的數字簽名，雖然國內的手機市場和相關論壇都有相應的檢測辦法，但是安卓的系統(tǒng)安全還是過于簡單，根據360公司統(tǒng)計的數據，國內的設備感染惡意程序的發(fā)生概率為百分之五十以上。

3.2權限的許可方法問題

安卓系統(tǒng)的安全模式當中，雖然應用程序需要獲取的權限在安裝過程當中已經向客戶進行了示明，并且安裝之后無法改變，在程序的安裝過程當中，相關的權限列表客戶是可以獲取的，并且客戶可以判斷這些權限是否為滿足軟件的正常使用所必須，但是，如果出現一個軟件所要求的應用權限過多的情況，用戶還是無法直接選擇不安裝或者將該程序標記為可疑。沒有機制可保證系統(tǒng)對于不受控制的安裝源頭完全規(guī)避，惡意代碼的防范機制沒有有效運行，仍然有軟件可疑超出常規(guī)的進行操作。惡意代碼的防范機制依賴于客戶的判斷，如果客戶沒有這種判斷能力，則防范機制無法發(fā)揮作用，上述惡意代碼防范機制顯得不夠合理，需要改進。大多數普通用戶是程序的使用者而不是程序的開發(fā)者，如果他們不了解程序的運行機制，則無法對其安全性進行判斷，普通的用戶也完全沒有必要去了解程序的運行機制。惡意代碼的開發(fā)者只要去發(fā)現某一特定的應用，然后根據提示進行捆綁，然后很多惡意代碼就會自動的轉入用戶的手機當中，如此一來惡意代碼的開發(fā)者非常方便的獲取傳播路徑，可以通過代碼的不斷更新獲取更多權限。由于很多用戶信任某類特定的應用，沒有防范意識，更加造成了惡意程序容易入侵手機系統(tǒng)。

3.3操作系統(tǒng)漏洞

任何復雜的軟件系統(tǒng)都有自身的漏洞，安卓系統(tǒng)也有自身的缺陷和漏洞，例如安卓系統(tǒng)利用黑箱來處理相互孤立的程序，惡意程序可以在自己獨立的黑箱當中運行，移動設備無法給予用戶特定的權限，如果需要獲取安卓系統(tǒng)的控制權限就必須進行root，更加加重了不安全性。惡意程序還可以運用漏洞所存在的黑箱，獲取系統(tǒng)的root權限。如果用戶基于其他目的而對手機進行root，惡意代碼就獲得了可以隨意入侵的通道。同時，如果想對手機進行root，則必須利用系統(tǒng)漏洞，這也就造成更多的開發(fā)者想要獲取系統(tǒng)漏洞，使得系統(tǒng)漏洞成為了一種資源，同時開發(fā)者也不希望當前已知的系統(tǒng)漏洞被堵上。惡意代碼通過漏洞不斷發(fā)展，獲取了root權限之后則在系統(tǒng)當中進行不受控制的安裝，隨意修改客戶的程序文件，對用戶的系統(tǒng)造成了非常大的不利影響。

3.4利用軟件漏洞進行攻擊

一些應用程序本身存在漏洞，應用軟件的漏洞也會受到攻擊，惡意代碼能夠通過應用軟件本身的漏洞攻擊手機，游覽器是一種最容易受到攻擊的應用軟件，本身包含了大量可被攻擊的漏洞代碼。與此同時，游覽器是系統(tǒng)所不可缺少的組成部分之一，客戶的使用頻次也更多，因此危險性也更大，同時由于游覽器存在的漏洞比較難以修復，游覽器的版本和固件的版本是相同的，也很難進行升級換代。大量的安卓用戶為了系統(tǒng)的運行順暢或者獲得新的用戶體驗，而不斷進行刷機，市場上也有很多定制的優(yōu)化版本，如果惡意代碼被嵌入到ROM當中將會更加隱蔽，同時惡意代碼還將獲得更加強大的破壞力，根據安全軟件公司的統(tǒng)計數據，內嵌式的惡意代碼占到了被感染用戶的百分之十左右。

4安卓系統(tǒng)安全的發(fā)展需求

雖然安卓系統(tǒng)有完善的保護機制，但是在巨大的安全壓力下，該系統(tǒng)也暴露了一些缺陷，如何更好的保護用戶的安全一直是一個棘手的問題，隨著安卓系統(tǒng)使用人數的增加，更多的用戶將會受到不安全因素的影響，除了不斷更新安全保護方法之外，似乎沒有更好的方法。在現有的安全防范機制之外，可以探索新的開發(fā)模式，改變一些權限操作辦法，彌補更多的系統(tǒng)漏洞，或許可以應對軟件面對的安全威脅。

參考文獻

[1] 于桂芹.基于安卓操作系統(tǒng)安全機制的安全性研究[J].產業(yè)與科技論壇，2017，16（11）：35-36.

[2] 于桂芹.安卓系統(tǒng)開發(fā)中的數據存儲及其安全性研究[J].信息記錄材料，2017，18（03）：34-36.

[3] 嚴磊.安卓操作系統(tǒng)的安全性研究[J].電腦與信息技術，2016，24（05）：39-41+63.

[4] 羅來曦，朱漁.試論安卓系統(tǒng)的安全性及提升策略[J].信息系統(tǒng)工程，2014（11）：65.

[5] 諸姣，李宏偉，彭鑫，趙文耘.安卓應用系統(tǒng)的功能與權限相關性研究[J].計算機應用與軟件，2014，31（10）：27-33.endprint