版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、近年來(lái),Android操作系統(tǒng)以其出眾的開(kāi)放性受到廣大用戶和移動(dòng)設(shè)備廠商的青睞。Android系統(tǒng)采用基于權(quán)限的訪問(wèn)控制模型來(lái)保護(hù)系統(tǒng)內(nèi)部的重要資源。應(yīng)用程序在Manifest文件中聲明其所需的權(quán)限,用戶在安裝應(yīng)用前必須授予應(yīng)用程序所申請(qǐng)的所有權(quán)限,否則將被迫放棄安裝該應(yīng)用。由于用戶在無(wú)法獲知應(yīng)用程序?qū)⑷绾问褂眠@些權(quán)限前往往無(wú)法做出正確選擇,現(xiàn)有的這種權(quán)限授予方法無(wú)法有效防止惡意程序獲得所需的權(quán)限。此外,Android允許并鼓勵(lì)應(yīng)用程序
2、間通信,這意味著一個(gè)應(yīng)用程序可以暴露接口供其他應(yīng)用程序使用。這一特性會(huì)導(dǎo)致一個(gè)未經(jīng)授權(quán)的惡意應(yīng)用程序有可能通過(guò)一個(gè)已經(jīng)獲得授權(quán)的應(yīng)用程序所暴露的接口間接地使用某項(xiàng)權(quán)限,這種惡意行為被稱作權(quán)限代理攻擊?,F(xiàn)有的訪問(wèn)控制模型及相關(guān)工作尚不能夠很好地幫助用戶防范權(quán)限代理攻擊。
本文設(shè)計(jì)并實(shí)現(xiàn)了Arbiter:一種基于Android的即時(shí)權(quán)限授予方法。Arbiter將每一次權(quán)限授予推遲至應(yīng)用程序使用該權(quán)限時(shí)進(jìn)行。現(xiàn)有的即時(shí)權(quán)限授予方法往
3、往需要對(duì)應(yīng)用程序進(jìn)行修改,或者只能覆蓋部分權(quán)限的使用請(qǐng)求,Arbiter則能夠在不要求對(duì)現(xiàn)有應(yīng)用程序進(jìn)行任何修改的前提下攔截應(yīng)用程序發(fā)出的所有權(quán)限使用請(qǐng)求。通過(guò)修改Android框架及底層的Linux內(nèi)核,Arbiter在應(yīng)用程序試圖使用權(quán)限時(shí)收集權(quán)限使用的上下文信息,這主要包括應(yīng)用程序使用權(quán)限時(shí)的調(diào)用上下文(Calling Context)以及在應(yīng)用程序進(jìn)行進(jìn)程間通信時(shí)形成的調(diào)用鏈。依賴這些上下文信息,Arbiter能夠區(qū)分同一應(yīng)用程
4、序在不同場(chǎng)景下對(duì)同一權(quán)限發(fā)出的使用請(qǐng)求,并識(shí)別出潛在的間接權(quán)限使用。通過(guò)即時(shí)權(quán)限授予,Arbiter可以有效幫助用戶了解應(yīng)用程序如何使用該權(quán)限并更好地做出即時(shí)授權(quán)決定。為了減少即時(shí)權(quán)限授予對(duì)系統(tǒng)可用性帶來(lái)的影響,Arbiter采用安全需求工程的方法推導(dǎo)出了一套惡意程序權(quán)限使用特征,并基于該特征識(shí)別權(quán)限使用請(qǐng)求中會(huì)造成安全隱患的請(qǐng)求。只有至少符合一項(xiàng)惡意權(quán)限使用特征的權(quán)限使用請(qǐng)求才需要用戶授權(quán)。
為了驗(yàn)證惡意程序權(quán)限使用特征的有
5、效性和完整性,本文使用150個(gè)真實(shí)惡意應(yīng)用程序進(jìn)行了有效性測(cè)試。測(cè)試結(jié)果表明沒(méi)有一款惡意應(yīng)用程序能夠在未經(jīng)用戶顯式授權(quán)的情況下自動(dòng)獲得完成其惡意行為所必須的所有權(quán)限。此外,本文從Android官方應(yīng)用市場(chǎng)下載了分屬13個(gè)類別的1378個(gè)應(yīng)用程序,并對(duì)這些程序進(jìn)行了可用性測(cè)試。測(cè)試結(jié)果表明平均每7500余次用戶操作才需要一次用戶顯式授權(quán),平均290次權(quán)限使用才需要用戶做出一次即時(shí)授權(quán)。這些結(jié)果表明Arbiter可以對(duì)絕大多數(shù)權(quán)限使用請(qǐng)求完
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 即時(shí)通訊軟件的安全性研究.pdf
- 網(wǎng)頁(yè)即時(shí)通訊安全性研究.pdf
- Android應(yīng)用框架層權(quán)限機(jī)制增強(qiáng).pdf
- 即時(shí)繳費(fèi)系統(tǒng)安全性的綜述
- 基于Android平臺(tái)增強(qiáng)權(quán)限管理研究與實(shí)現(xiàn).pdf
- 基于Android權(quán)限安全的分析及檢測(cè)研究.pdf
- Android系統(tǒng)下應(yīng)用程序的安全性研究.pdf
- 基于組件關(guān)系分析的Android應(yīng)用安全性研究.pdf
- Android安全性和節(jié)能策略的研究和實(shí)現(xiàn).pdf
- 基于TrustZone的TLS安全性增強(qiáng).pdf
- 基于android權(quán)限安全的分析及檢測(cè)研究
- 增強(qiáng)安全性的ieee802.15.4協(xié)議研究
- Android應(yīng)用的安全性檢測(cè)與分析方法研究.pdf
- android安全性和節(jié)能策略的研究和實(shí)現(xiàn)
- 增強(qiáng)LINUX內(nèi)核安全性若干技術(shù).pdf
- 一種增強(qiáng)的Android應(yīng)用權(quán)限管理模型的研究與實(shí)現(xiàn).pdf
- 采用.net技術(shù)的gps車輛監(jiān)控系統(tǒng)的安全性研究
- Android平臺(tái)安全性分析與改進(jìn).pdf
- 試述地鐵信號(hào)系統(tǒng)采用的安全性技術(shù)
- 增強(qiáng)數(shù)字水印安全性的理論與方法研究.pdf
評(píng)論
0/150
提交評(píng)論