基于静态分析的Android操作系统隐私保护机制评估方法研究

摘要

近年来，智能手机在移动终端市场具有很高的占有率。随着智能手机的功能日益强大，它们能完成的工作也越来越多，例如拍摄照片、定位导航、支付账单、浏览网页、发送电子邮件等。在用户使用智能手机时，他们会把许多隐私数据保存在手机里，包括照片、电子邮件、文档、浏览历史等。于是，为这些隐私数据提供有效的保护，成为智能手机操作系统的重要任务。作为当前市场占有率最高的智能手机操作系统，Android实现了一套基于权限管理的隐私保护机制，来保护用户的隐私数据。当前，该机制的有效性已经成为信息安全领域的研究热点之一。
　　本文在静态分析的基础上，提出了一种针对Android系统隐私保护机制有效性的评估方法。在识别出智能手机中的所有读取和发送隐私数据的接口后，该评估方法可以检测恶意软件可能利用的攻击路径，这些攻击路径可以在用户不知情的情况下侵犯用户的隐私数据。本文的主要工作和创新点如下:
　　1.提出了一种基于静态分析的形式化评估方法，对Android系统隐私保护机制的有效性进行了评估。该评估方法从攻击者的角度，检测隐私保护机制的脆弱性。
　　2.提出了一种Android隐私保护机制的攻击图生成方法。该方法首先识别Android系统的隐私数据，以及读取或发送隐私数据的敏感接口;然后，基于静态分析工具对调用这些敏感接口的执行路径进行分析，据此建立隐私保护机制的攻击图。
　　3.实现了一个逻辑分析器，该分析器首先将Android隐私保护机制的攻击图转换为Horn子句;然后对其进行逻辑推理。通过枚举恶意软件可能利用的攻击路径，该逻辑分析器可以检测出恶意软件在没有声明任何权限的情况下，读取并发送隐私数据的攻击路径。
　　4.发现了一些Android隐私保护机制的脆弱性。本文对12个版本的Android系统进行了评估，从Android2.1到最新发布的Android4.4.2，并发现多处隐私保护机制的脆弱性。通过利用这些脆弱性，恶意软件可以在没有声明相关权限的情况下，读取多种类型的隐私数据，并通过网络发送给外部服务器，而不会引起用户的察觉。这些系统脆弱性在8个Android设备中得到了验证，实验表明，这些脆弱性已经在Android系统中存在多年，当前几乎所有的Android设备都受其影响。
　　5.对于发现的Android隐私保护机制的脆弱性，提出了多种修复方法，并为软件市场管理者以及Android系统提出了恶意软件检测方法，以检测利用这些系统脆弱性的恶意软件。
　　6.为了证明当前应用软件市场管理者和多款流行的安全监控软件对本文发现的系统脆弱性疏于防范，本文实现了一个利用这些系统脆弱性的恶意软件，并发布到Google Play软件市场。实验表明，用户在安装该恶意软件时，不会受到任何敏感权限的警告，在该恶意软件发起攻击时，也不会引发多款安全监控软件的警报。
　　7.提出了一种基于代码模块质量的优化方法，以解决评估工作中遇到的静态分析工具高误报率问题。该方法可以为每一份静态分析警报计算一个优先级，优先级越高的警报，越有可能对应真实的软件漏洞或问题。在针对三个开源软件的实验中，该方法与FindBugs静态分析工具的默认优先级算法相比，至少将该工具的误报率降低了23％。
　　通过对Android隐私保护机制有效性的评估，可以帮助系统开发者明确隐私保护机制的脆弱性以及恶意软件可能利用的攻击路径，指导系统使用者更好地保护他们的隐私数据，以规避可能受到的攻击。