安卓系统安全学习小结(二)
提示:
文章目錄
- 前言
- 一、安卓系統小結
- 二、檢測工具的了解與學習
- 1.Monkeyrunner
- 2.重打包技術
- 3.檢測方法
- 4.安卓應用攻擊類型
- 總結
前言
隨著互聯網不斷發展,我們每天使用的手機也在迭代更新,而其中惡意軟件也相應的急劇增加,那么如何應對這些問題是我們需要學習的關鍵。
之前在小結(一)中了解,安卓系統的安全架構分為:應用層、應用程序框架層、系統運行時類庫層以及 Linux 內核層
一、安卓系統小結
示例:基于安卓移動開發平臺的手機在整個智能手機終端市場處于主要地位,使得攻擊安卓系統的惡意軟件數量越來越龐大。 目前移動互聯網發展飛速,出現了種類繁多的惡意代碼,對手機用戶造成了極大困擾。
- 對互聯網行業來說,急需對惡意代碼的發展及傳播進行嚴格管控,確保該行業能夠穩定、健康地發展,以及確保手機用戶的切身利益不受侵害
- 因此,有效監測惡意軟件并且還原應用程序行為信息可以 有效地遏制惡意軟件攻擊泛濫現象。
安卓系統軟件檢測研究現狀
靜態檢測方案
在不執行應用程序的情況下,采用逆向分析技術,通過抽取靜態特征來判別應用程序是否包含惡意行為。靜態檢測方案盡管可以識別出應用程序的部分敏感行為,但是靜態檢測方案依賴于已知的惡意軟件特征庫,而特征庫中僅僅存儲的是已知的惡意軟件中帶有攻擊性的一些特征碼。所以,靜態檢測無法有效檢測出未知的惡意攻擊行為。
二、檢測工具的了解與學習
代碼如下(示例):針對目前存在的問題,需要研究一個安卓額惡意軟件進行有效監控的工具。
1.Monkeyrunner
Monkeyrunner 是
- 一種可擴展的自動化測試工作,同時能夠實現對多個設備節點進行 管控。根據預設的屏幕、按鍵事件的參數值,Monkeyrunner可參照觸發步驟自主進行事件 觸發,從而完成復雜邏輯的事件觸發操作
- 利用 MonkeyRunner 工具與 PC 端結合,實現 apk
自動安裝和卸載。該工具能有效地監測惡意軟件行為,并向安卓手機用戶發出警告。
2.重打包技術
- 盜版行為即利用重打包技術對原版 APP 進行盜竊,屬于十分嚴重的惡意行為。惡意編程人員能夠由 Android app商城隨意下載應用系統壓縮包文件,而后對其進行解壓、篡改、重打包,該行為嚴重損害了用戶權益,并嚴重威脅了其個人信息安全。另外,該行為嚴重損害了最初研發者的利益。
- 不論是哪種惡意軟件,都是將能夠執行惡意行為的代碼加入到已有應用程序中來實現惡意行為的。首先對正常應用程序執行反編譯處理操作,捕獲當前應用程序的源代碼,緊接著需要植入惡意代碼到最初的源代碼文件中,把越權信息等加入到apk 配置文件中,最后執行重打包操作并發布到第三方市場。
判斷應用程序是否經過重打包處理,
- 安卓系統安全機制中的簽名機制給出了解決方案。安卓系統的簽名機制可以有效地審核開發者的身份。一方面能夠避免出現修改程序包的情況,另一方面可以幫助程序確認信賴關系,實現具有相同私鑰的應用程序之間代碼和數據的共享。APK簽名后會生成一個META-INF文件目錄,其中包括MAINFEST.MF,CERT.SF 和
CERT.RSA,它們均為簽名類文件。在裝載 APP 時,安卓系統會在第一時間對待安裝的 APK包進行檢查,看其是否包含簽名文件,只有有著簽名文件的 APP 系統才會同意安裝。同樣地,只有在數字簽名相同的情況下才會進行應用程序的更新和升級,否則當作新程序處理。
3.檢測方法
- Linux 處在安卓系統平臺的最底層,其包含的 Java 代碼和本地代碼在 Linux 中是按照進程追個執行的。現階段有一些包含惡意攻擊的應用程序,在執行惡意攻擊行為前會檢測是否有監控軟件等存在于系統中,如果有則躲避這些程序的監控,繼續執行惡意程序
- 安卓惡意軟件動態監測系統將整個監測系統分為 3 個模塊,分別是行為觸發模塊、行為監控模塊、行為分析模塊
- 應用程序啟動之前需要檢查權限列表,只有通過靜態安全防御策略檢測的應用程序才可以進行安裝。 行為觸發模塊是為了實現應用程序的自動安裝、運行和卸載。
- 行為監控模塊是論文監測系統的關鍵模塊,負責對應程序的行為進行監控。其主要任務包括:編譯內核和系統調用解析。編譯內核是在對應用程序監控之前必須完成的類似于環境搭建工作,將監控程序載入到內核中去。系統調用解析方面采用Binder 機制。行為分析模塊負責對惡意攻擊行為進行判別,結合系統調用行為參數信息,定義上下文狀態信息,依次進行權限泄露策略、合謀攻擊策略、財務攻擊策略、隱私數據竊取策略判斷,判斷應用程序的惡意性。
4.安卓應用攻擊類型
惡意應用程序是各種敵對或入侵軟件的總稱,包含病毒(Viruses),特洛伊木馬(Trojans),間諜軟件(Spyware)等,還包括廠商或開發人員故意為應用程序遺留的后門,及流氓軟件等。攻擊者常常利用不同的方式攻擊并破壞設備的運行,收集用戶敏感信息,勒索用戶并獲利等。
安卓惡意應用攻擊類型
基于安卓系統的惡意應用主要攻擊類型可分為以下三類:
- 1)蠕蟲:這類惡意軟件的主要特征是無休止地自我復制并傳播到其他設備。移動蠕蟲可以通過短信或彩信發送,通常不需要用戶交互執行,因此其隱蔽性較強且傳播速度快;
- 2)特洛伊木馬:與蠕蟲不同,木馬的入侵通常需要用戶交互才能被激活。木馬文件通常被植入看似有吸引力的非惡意應用程序中。應用程序一旦被下載安裝激活,木馬文件就會感染并破壞其他應用程序或手機操作系統造成嚴重損害,使其在一段時間或一定次數的操作后癱瘓。另外。還能夠控制終端同步日歷日程,電子郵件帳戶,便箋和其他信息源,并發送數據到遠程服務器。
- 3)間諜軟件:此類惡意軟件對移動設備的威脅主要是在未獲得用戶許可的情況下,收集,使用和傳播用戶的敏感個人信息。主要包含系統監視器,木馬,廣告軟件和跟蹤
cookie 等。
在不同端也有不同的攻擊方法:
客戶端:反編譯、調試、輸入記錄、進程注入…
數據傳輸:信息泄露、篡改、重放攻擊…
服務端:心血、ST2、注入、跨站、弱口令等…
**動態檢測** 動態檢測即通過記錄應用運行時行為并分析,來檢測應用的惡意性。首先構建適于應用程序的沙盒環境;其次,安裝運行待測應用并實現其所有功能,監測運行狀態各種動態指標及行為;最后,通過分析監測日志判斷應用惡意性。動態檢測的檢測指標一般包含應用運行時的 CPU 負載情況,內存占用大小,電量消耗速度及其他硬件資源使用情況;API 調用列表,網絡數據訪問,文件操作等軟件資源調度;污點 標記法也常被用于檢測數據流的活動路徑,并分析應用可疑行為。 隨著動態檢測的不斷發展,諸如 Inspeckage,Robotium,Monkey,MonkeyRunner等動態檢測工具不斷被開發使用,有效降低了動態檢測工作的難度,使該課題的研究目標更加聚焦。由于動態檢測在沙盒環境模擬用戶行為使得檢測更加全面,監測數據更加真實有效,因此檢測結果也相對準確。不過,雖然目前支持動態檢測的檢測工具越來越多,但檢測條件對于用戶來說較為不便,且消耗過多資源,因此在推廣應用過程中會存在一定難度。
總結
提示:這里對文章進行總結:
當安卓移動設備越來越接近人們生活的時候,其表現出來的安全模式也漸漸進入人們的視野,不管是官方市場還是第三方市場,惡意軟件的足跡不斷出現,同時某些應用程序通過相互之間的合作共同達到惡意攻擊的目的。總的來說,針對安卓系統的惡意攻擊是全方位的,所以對安卓系統安全的研究還需要進一步努力。
總結
以上是生活随笔為你收集整理的安卓系统安全学习小结(二)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: USB | USB设备状态
- 下一篇: 基于stm32的秒表计时器设计系统Pro