基于机器学习的Android混合应用代码注入攻击漏洞检测研究

摘要

随着互联网技术的发展和智能终端的方便性，智能手机越来越受人们的欢迎。与此同时，截止到2017年第四季度，Android OS的市场份额占比86.1%。在不同的操作系统平台上，开发人员需要基于系统开发不同程序语言版本的应用程序。为了解决这一难题，一种基于标准Web技术的混合应用引起了越来越多开发者的关注，这些混合应用使用了HTML5、CSS和JavaScript等标准Web技术，具有良好的开发便捷性和跨平台移植性。但是和原生的安卓应用相比，这种Web技术会带来原生应用不会发生的安全问题，WebView提供了addJavascriptInterface接口，这样就在JS代码和本地Java代码之间提供了一个桥梁。当这个应用程序具有访问权限，WebView中的JS就能够通过调用外部Java代码来访问相关资源，就可能会造成代码注入攻击。 首先对混合应用的安全问题进行分析，结合混合应用的框架，详细介绍了混合应用的WebView组件和PhoneGap开发框架的原理，并且提出了Android混合应用的安全威胁，WebView通过接口绑定了一个Java对象时，它的所有Web页面都获得访问这个资源的操作权限，这样也破坏了传统浏览器中的沙箱保护机制和同源保护策略，从而使得嵌入恶意代码的数据经过设备通道传入到WebView中可能被触发，造成攻击。 针对这些问题，提出了一种基于机器学习的Android混合应用代码注入攻击检测方法。通过反编译提取混合应用中的AndroidManifest、HTML和JavaScript文件，然后进行代码处理和分片，提取出与PhoneGap框架常用插件相关联的敏感权限信息，并且根据设备进行数据传输的内外部通道，提取插件函数特征和能够触发数据中恶意代码的JQuery等库函数，生成特征向量。最后使用多种机器学习算法进行训练和分类预测。通过实验分析，验证了检测大量混合应用的高效性，并且最终达到的检测准确率为98.1%。

目录

第一个书签之前