劉 瑋

(重慶師范大學(xué) 涉外商貿(mào)學(xué)院 數(shù)學(xué)與計(jì)算機(jī)系，重慶 401520)

0 引 言

隨著互聯(lián)網(wǎng)技術(shù)和移動(dòng)應(yīng)用技術(shù)的發(fā)展，智能手機(jī)得到了快速普及。目前智能手機(jī)以其日益強(qiáng)大的計(jì)算能力、網(wǎng)絡(luò)傳輸能力、功能繁多的應(yīng)用能力極大地改變著人們的生活。Android系統(tǒng)由于其開(kāi)放、自由的特性成為惡意軟件攻擊的重要目標(biāo)。目前，惡意軟件正迅速滲透到主流的Android應(yīng)用程序市場(chǎng)，引發(fā)了用戶的廣泛擔(dān)憂[1]。很多學(xué)者基于Android設(shè)備中的惡意軟件檢測(cè)進(jìn)行了研究，主要有靜態(tài)分析、動(dòng)態(tài)分析以

及基于機(jī)器學(xué)習(xí)的混合檢測(cè)三種方式[2]。

進(jìn)程通信是Android框架最顯著的特征之一，該機(jī)制用于控制組件訪問(wèn)不同的敏感服務(wù)。在Android平臺(tái)上，進(jìn)程通信通常在后臺(tái)由綁定消息的意圖來(lái)驅(qū)動(dòng)執(zhí)行，意圖提供了應(yīng)用程序執(zhí)行操作的抽象定義。文中對(duì)Android意圖(顯式和隱式)進(jìn)行研究，通過(guò)研究發(fā)現(xiàn)意圖是識(shí)別惡意應(yīng)用程序的重要特性。相對(duì)于Android的其他特性(如權(quán)限[3])，意圖具有更豐富的語(yǔ)義特征，能夠通過(guò)分析語(yǔ)義特征找出惡意軟件[4]。

1 Android意圖探索

意圖是Android平臺(tái)上一個(gè)復(fù)雜的消息傳遞機(jī)制，用于控制應(yīng)用程序內(nèi)部或者應(yīng)用程序之間的安全訪問(wèn)。應(yīng)用程序必須在AndroidManifest.xml里定義意圖過(guò)濾器才具有使用特定意圖的權(quán)限。

在Android應(yīng)用程序中，意圖可分為應(yīng)用程序內(nèi)(intra-application)通信和應(yīng)用程序間(inter-application)通信。應(yīng)用程序內(nèi)通信是指一個(gè)Android應(yīng)用的不同活動(dòng)之間的通信。由于Android應(yīng)用程序包含許多活動(dòng)，應(yīng)用程序進(jìn)行交互時(shí)，用戶可以從一個(gè)活動(dòng)(Activity)跳轉(zhuǎn)到另一個(gè)活動(dòng)。Android意圖可以輔助完成活動(dòng)執(zhí)行并與用戶交互，完成活動(dòng)之間的數(shù)據(jù)推送，攜帶數(shù)據(jù)到指定活動(dòng)。應(yīng)用程序間通信實(shí)現(xiàn)了不同應(yīng)用程序之間的通信，意圖用于完成給其他應(yīng)用程序發(fā)送信息或數(shù)據(jù)，并且接收從其他程序獲取的數(shù)據(jù)或信息。為了控制接收指定意圖，應(yīng)用程序在AndroidManifest.xml須定義意圖過(guò)濾器(intent-filter)。應(yīng)用程序之間的實(shí)際通信是通過(guò)綁定器(Binder)實(shí)現(xiàn)的。Binder提供了一個(gè)執(zhí)行環(huán)境和另一個(gè)環(huán)境之間的數(shù)據(jù)或功能綁定的功能。每一個(gè)Android應(yīng)用運(yùn)行在自己的Dalvik環(huán)境，綁定器為通信服務(wù)搭建橋梁[5]。圖1展示了應(yīng)用程序間通信的架構(gòu)。

圖1 Android應(yīng)用程序通信架構(gòu)

應(yīng)用程序的部分讀寫(xiě)區(qū)域由綁定器管理。當(dāng)應(yīng)用程序A向應(yīng)用程序B發(fā)送消息時(shí)，綁定程序先在應(yīng)用程序B的存儲(chǔ)空間開(kāi)辟接收緩沖區(qū)，然后從應(yīng)用程序A的發(fā)送緩沖區(qū)復(fù)制消息，將消息發(fā)送到應(yīng)用程序B的接收緩沖區(qū)，并告訴其消息接收的位置。最后接收方直接從該位置讀取該消息。當(dāng)應(yīng)用程序B完成消息處理后，通知綁定器將該存儲(chǔ)空間釋放。

意圖有兩種類型：顯式(explicit)和隱式(implicit)。當(dāng)設(shè)計(jì)人員確定執(zhí)行指定操作的組件時(shí)，使用顯式意圖。此組件可以是任意的活動(dòng)、服務(wù)或廣播接收器。顯式意圖可以完成指定目標(biāo)的程序內(nèi)通信或者應(yīng)用程序間信息交換。隱式意圖不能指定確切的目標(biāo)應(yīng)用程序。為了解決這個(gè)問(wèn)題，Android提供了鏈接用戶所有應(yīng)用程序的列表。這個(gè)列表在AndroidManifest.xml文件用意圖過(guò)濾器過(guò)濾。意圖有三個(gè)組成部分—?jiǎng)幼鱝ction、類別category和數(shù)據(jù)data。動(dòng)作用于描述意圖要執(zhí)行的行為，例如MAIN(主程序入口)、CALL(打電話)、BATTERY LOW(電量低)、SCREEN ON(抓屏)以及EDIT(編輯)等。category是意圖指定的類別，如發(fā)射器LAUNCHER、瀏覽BROWSABLE和小工具GADGET。數(shù)據(jù)為動(dòng)作執(zhí)行提供必要的數(shù)據(jù)。例如，打電話需要電話號(hào)碼，編輯需要指定文檔或網(wǎng)址。表1展示了顯式或者隱式意圖的示例代碼。隱式意圖僅聲明用intent.action_view來(lái)打開(kāi)URL，顯式意圖可明確指定使用com.android.chrome來(lái)打開(kāi)。

表1 Android顯示意圖和隱式意圖

2 數(shù)據(jù)收集和分析

實(shí)驗(yàn)從Android應(yīng)用市場(chǎng)收集很多主流的應(yīng)用程序，這些應(yīng)用軟件既包括干凈的應(yīng)用程序，也包括受感染的應(yīng)用程序。文中使用Python代碼應(yīng)用程序集中提取權(quán)限和意圖。表2列出了干凈和受感染應(yīng)用的10個(gè)最常用權(quán)限。

在表2中，有5種權(quán)限是干凈和受感染應(yīng)用都經(jīng)常使用的：INTERNET,WRITE_EXTERNAL_STORAGE,WAKE_LOCK,ACCESS_COARSE_LOCATION和READ_PHONE_STATE。在受感染的應(yīng)用中，請(qǐng)求SEND_SMS,RECEIVE_SMS和READ SMS權(quán)限是危險(xiǎn)的權(quán)限，WRITE_SMS也是屬于使用頻繁的危險(xiǎn)權(quán)限，該權(quán)限排名第11，經(jīng)常被22%的受感染應(yīng)用程序請(qǐng)求調(diào)用。因此推斷訪問(wèn)SMS相關(guān)權(quán)限功能是應(yīng)用受感染的關(guān)鍵證據(jù)。30%的應(yīng)用程序請(qǐng)求ACCESS_FINE_LOCATION權(quán)限獲得精確位置，32%的應(yīng)用程序請(qǐng)求ACCESS_COARSE_LOCATION權(quán)限訪問(wèn)最接近的位置，這兩個(gè)權(quán)限的目標(biāo)類似。因此在一般情況下，應(yīng)用軟件是否受感染可以通過(guò)權(quán)限來(lái)度量。文中也提取了應(yīng)用程序的意圖，如表3所示。該表顯示了干凈和受感染應(yīng)用的10種最常用意圖的使用頻率(由于所有的安卓應(yīng)用都要應(yīng)用VIEW意圖，所以該意圖忽略)。

表2 干凈和受感染應(yīng)用的10個(gè)最常用權(quán)限

表3 干凈和受感染應(yīng)用的10個(gè)最常用意圖

惡意應(yīng)用通過(guò)調(diào)用意圖BOOT_COMPLETED來(lái)啟動(dòng)惡意活動(dòng)；意圖可使用CALL或DIAL撥打電話。在安卓應(yīng)用中CALL需要撥打電話的權(quán)限，而DIAL不需要此權(quán)限。因此在惡意應(yīng)用中調(diào)用意圖DIAL比調(diào)用CALL多很多，也意味著惡意應(yīng)用程序在沒(méi)有用戶知情的情況下可以越權(quán)撥打電話。

3 移動(dòng)惡意軟件檢測(cè)系統(tǒng)研究

AndroDialysis是一種檢測(cè)Android應(yīng)用的框架，該系統(tǒng)通過(guò)分析隱式和顯式意圖檢測(cè)Android應(yīng)用是否安全[6]。圖2是AndroDialysis系統(tǒng)的體系結(jié)構(gòu)。該檢測(cè)系統(tǒng)分為四個(gè)子模塊：反編譯、數(shù)據(jù)提取、智能學(xué)習(xí)和決策。檢測(cè)系統(tǒng)通過(guò)圖形接口將結(jié)果反饋給用戶。

3.1 反編譯

反編譯用于將APK文件解碼。其中，Android Manifest.xml是一個(gè)加密文件，需要解碼使其可讀。而dex文件是由java源文件編譯的，可在Dalvik虛擬機(jī)上執(zhí)行字節(jié)碼文件[7]?？梢允褂胊pktool反編譯獲取。反編譯模塊用于生成可讀的AndroidManifest.xml和Smali版本的java代碼[8]。

圖2 AndroDialysis系統(tǒng)的體系結(jié)構(gòu)

3.2 提取器

提取器從java代碼和AndroidManifest.xml中提取顯式意圖，隱式意圖，意圖過(guò)濾器以及權(quán)限。Python語(yǔ)言的beautifulsoup包能夠從AndroidManifest.xml文件中獲得意圖過(guò)濾器和權(quán)限。使用Androguard來(lái)翻譯dex文件，可獲取(隱式或顯式)意圖[8]。將提取后的數(shù)據(jù)存儲(chǔ)在特征數(shù)據(jù)庫(kù)中用于后續(xù)操作。

3.3 智能學(xué)習(xí)

智能學(xué)習(xí)模塊讀取特征數(shù)據(jù)庫(kù)中的內(nèi)容，利用貝葉斯網(wǎng)絡(luò)算法通過(guò)學(xué)習(xí)數(shù)據(jù)進(jìn)行行為分析，然后向決策子模塊輸出模型[9]。貝葉斯網(wǎng)絡(luò)算法已經(jīng)能夠用于解決現(xiàn)實(shí)世界中的人臉識(shí)別問(wèn)題。該算法是一種對(duì)偶過(guò)程算法，首先學(xué)習(xí)網(wǎng)絡(luò)結(jié)構(gòu)，再學(xué)習(xí)概率表。貝葉斯網(wǎng)絡(luò)算法根據(jù)局部評(píng)分指標(biāo)來(lái)學(xué)習(xí)網(wǎng)絡(luò)結(jié)構(gòu)的數(shù)據(jù)[10]。為了計(jì)算局部得分，貝葉斯網(wǎng)絡(luò)采用搜索算法。網(wǎng)絡(luò)數(shù)據(jù)學(xué)習(xí)完成后，貝葉斯網(wǎng)絡(luò)利用估計(jì)器學(xué)習(xí)概率表。上述兩個(gè)步驟定義如下：

假設(shè)V={χ1,χ2,…,χκ}是一個(gè)變量集合集，且κ≥1。貝葉斯網(wǎng)絡(luò)Bs是一個(gè)由條件概率V構(gòu)成的有向無(wú)環(huán)圖(DAG)。存在一個(gè)概率表BP={P(ν|Pα(ν))，ν∈V},其中Pα(ν)是BS中V的父集。貝葉斯網(wǎng)絡(luò)可以將概率分布化簡(jiǎn)為：

相比其他算法，貝葉斯網(wǎng)絡(luò)具有運(yùn)算速度快、算法開(kāi)銷低，易于建立專家和學(xué)習(xí)系統(tǒng)并集成到系統(tǒng)中，用法較為成熟，易于優(yōu)化等特點(diǎn)。

3.4 決 策

決策模塊負(fù)責(zé)確定數(shù)據(jù)干凈或者危險(xiǎn)。該模塊分別接收提取器和智能學(xué)習(xí)獲得的兩組數(shù)據(jù)集。其中一組數(shù)據(jù)集通過(guò)智能學(xué)習(xí)建立模型，然后利用該模型檢測(cè)從提取器接收到的數(shù)據(jù)；而另一組數(shù)據(jù)來(lái)源于提取器，該數(shù)據(jù)全部從Android應(yīng)用中提取。決策模塊利用智能學(xué)習(xí)建立的模型來(lái)檢測(cè)應(yīng)用程序的危險(xiǎn)程度，并將最終結(jié)果傳遞給用戶模塊。

4 實(shí)驗(yàn)結(jié)果分析

4.1 根據(jù)意圖分析攻擊

從安全的角度，分析意圖數(shù)據(jù)集并評(píng)估意圖的狀態(tài)和特征信息來(lái)獲得攻擊是可行的。隱式意圖由于不能指定目的組件，通常提供給接收某類意圖的實(shí)體。所以發(fā)送隱式意圖時(shí)，不能確保該意圖被目的接收組件接收。惡意應(yīng)用程序可通過(guò)在AndroidManifest.xml文件中聲明一個(gè)意圖過(guò)濾器(intent-filter)來(lái)攔截該意圖及其所帶的動(dòng)作、數(shù)據(jù)及分類信息(actions，data，categories)。這種未經(jīng)授權(quán)的意圖接收會(huì)使惡意應(yīng)用程序獲得對(duì)任何匹配的意圖數(shù)據(jù)訪問(wèn)，使活動(dòng)劫持。

在已獲得的數(shù)據(jù)中，受感染Android應(yīng)用聲明意圖過(guò)濾器比干凈的應(yīng)用多7.5倍。平均每個(gè)干凈的應(yīng)用聲明1.2個(gè)意圖過(guò)濾器，而每個(gè)受感染的應(yīng)用程序則聲明1.7個(gè)意圖過(guò)濾器。很明顯受感染的應(yīng)用更傾向于使用意圖過(guò)濾器(intent-filter)來(lái)攔截意圖，從而攔截這些活動(dòng)。因此開(kāi)發(fā)人員應(yīng)盡量使用顯式意圖指定接收目標(biāo)，這樣可以有效避免惡意應(yīng)用程序劫持活動(dòng)。

4.2 實(shí)驗(yàn)結(jié)果

通過(guò)在手機(jī)上運(yùn)行實(shí)驗(yàn)，檢測(cè)該方法的有效性和效率。系統(tǒng)使用6.0.1棉花糖版本Android操作系統(tǒng)，設(shè)備的RAM4 GB的存儲(chǔ)空間32 GB。

貝葉斯網(wǎng)絡(luò)是一種計(jì)算局部得分指標(biāo)的搜索算法和概率表學(xué)習(xí)相結(jié)合的估算方法。簡(jiǎn)單估算結(jié)果分別使用了K2[11]，Geneticsearch[12]，HillClimber[13]，LAGDHillClimber[14]四種搜索算法。為了獲得最佳結(jié)果，實(shí)驗(yàn)采用了不同配置。實(shí)驗(yàn)結(jié)果由正確率(或稱檢測(cè)率TPR)和錯(cuò)誤率(FPR)組成。實(shí)驗(yàn)通過(guò)多次迭代獲取，并且隨著迭代次數(shù)的增加，系統(tǒng)分析數(shù)據(jù)更精確，結(jié)果更理想。圖3顯示了每次迭代后實(shí)驗(yàn)的正確率和錯(cuò)誤率。

圖3 迭代次數(shù)與檢測(cè)率的關(guān)系

當(dāng)?shù)螖?shù)增加時(shí)，正確率由80%增加到90%，錯(cuò)誤率卻增長(zhǎng)緩慢，僅從6%增加到9%，所以迭代次數(shù)越多，結(jié)果越準(zhǔn)確。根據(jù)前面分析可知，Android意圖是安卓惡意應(yīng)用檢測(cè)的一個(gè)有效的屬性。

盡管意圖的特性并不是最終的解決方案，但是如果將意圖和其他已知特性如權(quán)限結(jié)合使用，就能準(zhǔn)確對(duì)Android惡意應(yīng)用進(jìn)行評(píng)估。文中通過(guò)分析目前主流安卓應(yīng)用程序，發(fā)現(xiàn)利用Android意圖對(duì)惡意軟件檢測(cè)率為91%，大于使用安卓權(quán)限檢測(cè)的83%。若結(jié)合安卓意圖和權(quán)限安卓惡意檢測(cè)率會(huì)更高[15]。

5 結(jié)束語(yǔ)

作為戰(zhàn)略性新興產(chǎn)業(yè)的代表，移動(dòng)互聯(lián)網(wǎng)的出現(xiàn)促進(jìn)了社會(huì)信息化水平的進(jìn)一步提高，移動(dòng)應(yīng)用的進(jìn)步也使得人們的生活更加便利。解決安卓應(yīng)用安全性問(wèn)題對(duì)于保證國(guó)家安全、個(gè)人隱私等具有至關(guān)重要的作用。文中主要針對(duì)Android應(yīng)用軟件的安全問(wèn)題進(jìn)行分析，探索了意圖在Android應(yīng)用檢測(cè)中的重要特性，研究了Android應(yīng)用安全檢測(cè)的框架-Andro Dialysis，分析并驗(yàn)證意圖是受感染應(yīng)用檢測(cè)的一個(gè)有效特性。通過(guò)結(jié)合安卓意圖和安卓權(quán)限可以加強(qiáng)Android應(yīng)用安全檢測(cè)的正確率?？傮w而言，目前安卓市場(chǎng)上應(yīng)用安全普遍存在，軟件安全防范技術(shù)和體系處于早期建設(shè)階段，依然存在很多問(wèn)題，需要投入更多精力促進(jìn)其進(jìn)一步發(fā)展。