基于iOS平台应用安全检测及防护技术的研究

摘要

伴随着移动技术的不断发展，移动智能设备无论在人们的工作还是生活中都扮演着越来越重要的角色。尤其是近年来移动支付市场愈发火爆，人们通过各种各样的金融App进行理财，例如支付宝、微信支付、百度钱包等。随着人们的个人信息越来越多的存放在移动设备中，随之而来的安全问题就显得越发重要。
　　iOS系统作为目前市面上最流行的移动操作系统之一，截止2016年底，App Store中的应用已被累计下载1400亿次。虽然有着严格的审查机制最大程度上保证了应用的安全性，然而百密一疏，仍然有不少的恶意应用上架到了App Store中，对用户的隐私信息及财产安全造成了严重的威胁。由于 iOS系统闭源的特性，对其安全进行研究的难度比较高，但仍然很有必要。
　　本文主要对当前的iOS系统及其应用安全进行了研究，主要贡献如下：
　　1）设计了针对iOS平台的安全评估框架，其中包括了系统安全评估、应用安全评估和用户数据安全评估三类，一共由9个子模块组成。此框架可以对iOS设备进行比较全面的安全评估，并具备可扩展性。
　　2）在安全评估框架下，对其中一个子模块进行实现，提出了iOS应用的安全评估系统。使用基于特征和基于启发式的静态检测方法，并基于两种检测方法分别实现了对应的检测模块，通过对样本应用进行逆向，分析应用汇编代码，对应用是否存在危害用户隐私安全的行为进行判断并进行分类。该部分着重于对应用安全性的检测。
　　3）对近年来出现的名为“假面攻击”的恶意应用的一种攻击手段提出了相应的防护机制。分析了“假面攻击”的基本机制，并在设备上对“假面攻击”进行了重现。利用非对称加密机制，保护了应用的安全更新，并且对可能存在的重放攻击也进行了考虑，最后论证了提出的防护机制的有效性。该部分着重于对应用的防护机制的研究。

目录

声明

第一章 绪论

1.1 研究背景与意义

1.2 国内外研究现状

1.3 本文主要贡献与创新

1.4 论文组织结构

第二章 iOS安全机制的研究

2.1 iOS安全隐患

2.2 系统级安全研究

2.3 应用程序运行时安全机制

2.4 数据加密和数据保护

2.5 本章小结

第三章 iOS平台安全评估框架

3.1 iOS智能终端的安全问题

3.2 安全评估框架总体架构

3.3 iOS系统安全评估

3.4 iOS应用安全评估

3.5 iOS用户信息数据安全评估

3.6 本章小结

第四章 iOS应用安全检测系统

4.1 系统总体设计

4.2 特征检测模块

4.3 启发式检测模块

4.4 实验评估

4.5 本章小结

第五章 针对“假面攻击”的防护机制

5.1 假面攻击基本攻击机制分析

5.2 重现假面攻击

5.3 根本原因及现有对策

5.4 基于假面攻击的防护机制

5.5 防护机制有效性验证

5.6 防御机制的补充说明

5.7 本章小结

第六章 总结与展望

6.1 主要结论

6.2 研究展望

致谢

参考文献

攻读硕士期间取得的研究成果