安卓平臺安全性增強關(guān)鍵技術(shù)的研究

1、基于權(quán)限機制的安卓軟件分析和系統(tǒng)加固研究,楊 珉 復(fù)旦大學(xué)軟件學(xué)院,1,2014年“軟件與網(wǎng)絡(luò)安全”科學(xué)與技術(shù)前沿論壇,以系統(tǒng)權(quán)限為中心的研究進展,2,軟件行為分析技術(shù),系統(tǒng)安全加固技術(shù),安卓平臺安全狀況堪憂,3,安卓應(yīng)用軟件飛速增長,圖：Google應(yīng)用商城2009年12月份到2013年7月份的統(tǒng)計報告,眾多第三方應(yīng)用市場,4,應(yīng)用軟件惡意行為泛濫,5,國內(nèi)Android應(yīng)用商城中程序隱私泄露分析，第五屆信息安全漏洞分析與風(fēng)險評估

2、大會，2012年,應(yīng)用軟件的安全缺陷涌現(xiàn),6,Analyzing Inter-Application Communication in Android, in MobiSys’11Permission Re-Delegation: Attacks and Defenses, in USENIX Security’11Systematic Detection of Capability Leaks in Stock Android S

3、martphones, in NDSS’12CHEX: Statically Vetting Android Apps for Component Hijacking Vulnerabilities, in CCS’12DroidChecker: Analyzing Android Applications for Capability Leak, in WiSec’12Detecting Passive Content Leak

4、s and Pollution in Android Applications, in NDSS’13The Impact of Vendor Customizations on Android Security, in CCS’13IntentFuzzer: Detecting Capability Leaks of Android Applications, in AsiaCCS’14…,應(yīng)用軟件的安全核查,7,工信部，“關(guān)于

5、加強移動智能終端進網(wǎng)管理的通知”2013年11月國家網(wǎng)信辦，“APP應(yīng)用程序發(fā)展管理辦法”2014年10月Google PlayBouncer：約40%的惡意行為識別率第三方應(yīng)用市場商業(yè)化殺毒引擎+不斷增長的惡意軟件樣本庫,惡意行為分析：基于權(quán)限使用視圖的分析平臺,8,零天惡意軟件依賴人工分析,人工分析：高成本、大時延、易規(guī)避,9,無法滿足海量軟件的分析檢測需求,安裝時的權(quán)限授予模式,利用系統(tǒng)調(diào)用分析軟件行為的方法不適

6、用安卓平臺虛擬機沙箱導(dǎo)致語義割裂特有的編程與運行模型應(yīng)用軟件如何使用這些權(quán)限？應(yīng)用軟件對敏感資源施加何種影響？,10,,基于權(quán)限使用視圖的敏感行為分析,VetDroid自動化分析平臺,11,Permission Use Analysis for Vetting Undesirable Behaviors in Android Apps，IEEE Transactions on Information Forensics and

7、 Security, 2014Vetting Undesirable Behaviors in Android Apps with Permission Use Analysis，ACM Conference on Computer and Communications Security 2013,基于權(quán)限使用的行為分析方法,12,讀取通訊錄,處理通訊錄數(shù)據(jù),打開網(wǎng)絡(luò),發(fā)送數(shù)據(jù),自動識別權(quán)限使用行為,,權(quán)限使用視圖,孤立的動作,有依

8、賴關(guān)系的行為,自動構(gòu)建行為視圖,權(quán)限使用視圖,13,使用權(quán)限獲得的數(shù)據(jù),申請使用權(quán)限,位置跟蹤行為,VetDroid系統(tǒng)架構(gòu),14,,核心組件顯式權(quán)限使用分析：程序中哪些地方申請權(quán)限隱式權(quán)限使用分析：程序中哪些地方使用敏感資源程序驅(qū)動行為采樣,分析過程,15,使用權(quán)限獲得的數(shù)據(jù),申請使用權(quán)限,第一步：自動地采樣軟件中申請權(quán)限的行為?顯式權(quán)限使用分析第二步：自動地跟蹤軟件中使用這些通過權(quán)限獲得的數(shù)據(jù)的行為?隱式權(quán)限

9、使用分析,顯式權(quán)限使用分析,目標：程序如何使用權(quán)限與系統(tǒng)交互技術(shù)難點1：獲取所有顯式權(quán)限使用點2：識別精確權(quán)限使用信息技術(shù)路線識別程序-系統(tǒng)交互點從安卓系統(tǒng)內(nèi)部捕獲權(quán)限檢查信息根據(jù)不同權(quán)限檢查方式進行傳播,16,采樣權(quán)限檢查信息,17,采樣權(quán)限檢查信息,18,E-PUP: ACCESS_FINE_LOCATION,Not a E-PUP,框架層權(quán)限檢查傳播方法? Binder層插樁內(nèi)核層權(quán)限檢查傳播方法?引入兩

10、個單獨的系統(tǒng)調(diào)用,隱式權(quán)限使用分析,目標：程序如何使用通過權(quán)限獲得的資源難點1：獲取所有資源遞交點（同步或異步方式）方案：區(qū)分同步和異步的方式，識別Callback的方式獲取系統(tǒng)資源難點2：自動地跟蹤程序內(nèi)部邏輯方案：基于權(quán)限使用的污點技術(shù)（擴展TaintDroid系統(tǒng)），將敏感數(shù)據(jù)標記權(quán)限使用信息,19,原型系統(tǒng)與實驗,原型系統(tǒng)支持Android 2.3/4.1運行在Nexus S/Prime/4手機、模擬器實驗

11、惡意軟件分析GP商城應(yīng)用分析,20,惡意軟件樣本集分析(Genome),21,,惡意行為類別的識別精確，惡意行為捕獲的機率高。,,GP熱門應(yīng)用分析,22,更強的隱私泄露檢測能力,精確的信息泄露診斷能力,VetDroid的優(yōu)勢,23,表：與相關(guān)研究工作的比較,敏感資源保護：基于上下文的細粒度權(quán)限管理框架,24,應(yīng)用軟件間密切協(xié)同,25,大量內(nèi)嵌第三方SDK,頻繁使用程序間交互,安卓權(quán)限機制分析,權(quán)限管理機制：應(yīng)用軟件的粒度,26,現(xiàn)有

12、權(quán)限機制的安全風(fēng)險,應(yīng)用程序內(nèi)部不敏感同一個程序內(nèi)部的所有代碼可以使用相同的權(quán)限例如：程序重打包攻擊、惡意SDK攻擊應(yīng)用程序間交互不敏感一個程序可能會被其他程序利用來訪問某些資源例如：權(quán)限代理攻擊、組件劫持攻擊,27,基于權(quán)限機制的系統(tǒng)加固研究,28,問題：無法根據(jù)應(yīng)用程序上下文進行靈活的權(quán)限管理,基于上下文的細粒度權(quán)限管理框架,全系統(tǒng)的權(quán)限統(tǒng)一管理機制程序運行時上下文跟蹤技術(shù),29,應(yīng)用程序上下文信息,兩類程序運行時上下文

13、信息程序內(nèi)上下文：內(nèi)部的執(zhí)行流信息函數(shù)之間的調(diào)用關(guān)系采用函數(shù)調(diào)用上下文來表示程序間上下文：程序間交互執(zhí)行流基于Binder驅(qū)動跟蹤程序交互上下文傳播程序的UID信息，以及各個交互程序內(nèi)部的上下文,30,基于Binder的上下文跟蹤原理,31,規(guī)則語言,圖：上下文敏感的權(quán)限管理規(guī)則語言的結(jié)構(gòu),32,,圖：一個樣例規(guī)則,基于上下文的權(quán)限管理,UID: 10053, com.snapwork.finance權(quán)限：androi

14、d.permission.ACCESS_FINE_LOCATION程序內(nèi)上下文：com.flurry.android.e-e-LL-42com.flurry.android.e-a-VLLZ-3com.flurry.android.v-run-V-21,33,LocationManager.getLastKnownLocation(),,一、可以控制是否允許Flurry SDK訪問位置信息二、不影響SnapWork

15、自身訪問位置信息,原型系統(tǒng)與實驗,原型系統(tǒng)支持Android 2.3/4.1，支持Nexus Prime/4、模擬器實驗整體性能測試最差情況下的性能測試規(guī)則匹配的性能測試,34,性能測試,35,表：整體性能測試結(jié)果,表：最差情況下的性能測試結(jié)果,規(guī)則匹配的性能測試,36,圖：測試使用的樣例規(guī)則,表：規(guī)則匹配性能測試結(jié)果,權(quán)限泄露漏洞修復(fù)實例,37,,AOSP中Mms程序存在的WRITE_SMS權(quán)限泄露漏洞,應(yīng)用實例：Mms權(quán)