趙一凡 林逸風(fēng) 張鴻飛 葛軼眾

從組件、代碼和數(shù)據(jù)三個層面分析移動應(yīng)用風(fēng)險存在的原因，通過敏感權(quán)限風(fēng)險檢測、權(quán)限過度聲明風(fēng)險檢測、權(quán)限濫用檢測、權(quán)限越權(quán)檢測、信息跨境傳輸檢測和信息加密通道風(fēng)險檢測6個方面，設(shè)計出的這套全面準(zhǔn)確的移動應(yīng)用安全檢測系統(tǒng)

近年來，隨著網(wǎng)絡(luò)通信技術(shù)的發(fā)展，互聯(lián)網(wǎng)正在以前所未有的速度改變著世界。移動互聯(lián)網(wǎng)通過不同的移動智能終端進行信息傳遞，用戶可以使用基于移動智能系統(tǒng)的由第三方服務(wù)商提供的各類服務(wù)和功能。整個移動互聯(lián)網(wǎng)生態(tài)不斷完善，移動應(yīng)用功能更加細化，與生活聯(lián)系越發(fā)緊密。

隨著移動互聯(lián)網(wǎng)的發(fā)展，移動互聯(lián)網(wǎng)用戶數(shù)量、應(yīng)用種類、市場規(guī)模等均呈現(xiàn)迅猛增長態(tài)勢。《中國移動互聯(lián)網(wǎng)發(fā)展?fàn)顩r及其安全報告（2020）》統(tǒng)計數(shù)據(jù)顯示，2019年我國移動網(wǎng)民人均安裝App總量已經(jīng)從2018年的51款增長到了2019年的60款;在2019年第四季度，人均App每日使用時長達5.1小時，同比2018年增長了近1個小時，超過80%的智能終端使用的是Android系統(tǒng)。但由于Android系統(tǒng)自身的開源性特點，導(dǎo)致眾多未經(jīng)過嚴(yán)格審核的應(yīng)用進入了市場，提升了安全風(fēng)險。為此，筆者針對Android系統(tǒng)的特性，分析風(fēng)險發(fā)生的原因，并設(shè)計了一套安全可靠的移動應(yīng)用檢測系統(tǒng)。

Android系統(tǒng)應(yīng)用安全隱患分析

傳統(tǒng)的移動應(yīng)用安全檢測只針對單個Android移動智能終端，但缺少對應(yīng)用風(fēng)險的檢測。Android系統(tǒng)應(yīng)用的安全隱患主要存在3個層面：組件安全、代碼安全以及數(shù)據(jù)安全。

組件安全。Android系統(tǒng)應(yīng)用內(nèi)部的activity、service、content provider、broadcast receiver等組件的互相通信是通過Internet協(xié)議實現(xiàn)的，需要在Androidmainfest.xml文件中進行配置。由此可能產(chǎn)生惡意調(diào)用、攔截有序廣播、惡意啟動應(yīng)用服務(wù)、調(diào)用組件等一系列風(fēng)險。

代碼安全。Android SDK編譯的工程打包為一個安裝程序文件，格式為Apk（Android package）。Android應(yīng)用通過將安裝包Apk文件直接傳到Android手機中即可執(zhí)行安裝。但是Apk文件極易被反編譯、重打包，導(dǎo)致Apk文件有被篡改、被侵入的風(fēng)險。

數(shù)據(jù)安全。數(shù)據(jù)安全風(fēng)險存在于傳輸和存儲過程。存儲數(shù)據(jù)時，將軟件運行數(shù)據(jù)或隱私數(shù)據(jù)保存在不可控的外面存儲，會提升被篡改或者被攻擊的風(fēng)險，攻擊者也可能會利用存儲中的登錄憑證來竊取網(wǎng)絡(luò)賬戶隱私數(shù)據(jù)。在數(shù)據(jù)傳輸過程中，由于應(yīng)用只和固定服務(wù)器之間通信，即使使用加密傳輸?shù)雎宰C書驗證環(huán)節(jié)，也會導(dǎo)致遭受中間人的網(wǎng)絡(luò)攻擊。

移動應(yīng)用檢測系統(tǒng)研究

針對Android系統(tǒng)的風(fēng)險隱患，既要考慮應(yīng)用信息、系統(tǒng)環(huán)境安全、數(shù)據(jù)安全、業(yè)務(wù)安全、移動應(yīng)用漏洞、移動應(yīng)用源碼安全等多維度，也要構(gòu)建一套準(zhǔn)確高效檢測系統(tǒng)，保障移動應(yīng)用安全?；贏ndroid系統(tǒng)的移動應(yīng)用檢測系統(tǒng)包括敏感權(quán)限風(fēng)險檢測、權(quán)限過度聲明風(fēng)險檢測、權(quán)限濫用檢測、權(quán)限越權(quán)檢測等4個方面，對應(yīng)用進行安全檢測與評估。

敏感權(quán)限風(fēng)險檢測。敏感權(quán)限是指移動應(yīng)用獲取個人信息和個人敏感信息所需要的權(quán)限，敏感權(quán)限集合是指獲取到個人信息所涉及的敏感信息的集合。通過統(tǒng)計App中含有的敏感權(quán)限，可以分析出App中取得個人信息的種類和方式。通過對Android應(yīng)用所有的權(quán)限和個人信息安全的相關(guān)性進行分析，并結(jié)合相關(guān)法律法規(guī)，按照相關(guān)性的強弱形成個人信息安全敏感權(quán)限知識庫。檢測原理是獲取AndroidManifest.xml文件中的權(quán)限聲明集合，將該權(quán)限集合與敏感權(quán)限集合進行逐一比對，分析出移動應(yīng)用的聲明所有敏感權(quán)限，以及分析出各項敏感權(quán)限對個人信息安全的影響，流程如下：一是反編譯Apk文件;二是獲取AndroidManifest.xml文件中的權(quán)限聲明集合;三是找出高敏感權(quán)和AndroidManifest.xml文件中的權(quán)限重疊的權(quán)限，如果沒有重疊的就沒有敏感權(quán)限，如果有重合的就有敏感權(quán)限。

權(quán)限過度聲明風(fēng)險檢測。過度聲明是指應(yīng)用聲明需要的權(quán)限在代碼實際運行中沒有使用，不符合《個人信息安全規(guī)范》中的最少夠用原則。沒有用到的權(quán)限，在配置文件中就不應(yīng)該過度聲明。檢測分為靜態(tài)掃描和動態(tài)行為檢測2個模塊。靜態(tài)掃描部分使用權(quán)限代碼掃描知識庫對反編譯代碼進行靜態(tài)掃描，掃描出代碼中所有的申請和使用權(quán)限情況;動態(tài)行為檢測技術(shù)利用沙箱監(jiān)測系統(tǒng)，對被檢測的App進行行為監(jiān)測，并把個人隱私相關(guān)的行為轉(zhuǎn)化為權(quán)限申請和使用的信息。通過動態(tài)運行App監(jiān)測到的權(quán)限情況可以對抗各種靜態(tài)代碼變形無法準(zhǔn)確代碼分析的問題。通過靜態(tài)檢測和動態(tài)行為檢測技術(shù)，將兩者檢測獲取的權(quán)限形成權(quán)限集合，與AndroidManifest.xml文件的權(quán)限集合進行比對，兩者之間的差距權(quán)限，定義為過度聲明權(quán)限風(fēng)險，流程如下：一是反編譯App包，并靜態(tài)掃描申請和使用的權(quán)限匯總成靜態(tài)權(quán)限集合;二是使用沙箱動態(tài)監(jiān)測App包申請和使用權(quán)限的匯總成動態(tài)權(quán)限集合;三是將靜態(tài)權(quán)限集合和動態(tài)權(quán)限集合合并為一個代碼權(quán)限集合，將代碼權(quán)限集合和AndroidManifest.xml文件中聲明的權(quán)限進行比對。AndroidManifest.xml文件中聲明的權(quán)限多于代碼權(quán)限集合的部分就是過度聲明權(quán)限。

權(quán)限濫用檢測。權(quán)限是應(yīng)用系統(tǒng)的一種安全機制，其作用是限制應(yīng)用程序內(nèi)部的限制性功能使用和控制應(yīng)用程序之間的組件相互訪問。Android系統(tǒng)權(quán)限控制是通過在AndroidManifest.xml文件中增減權(quán)限實現(xiàn)的。權(quán)限濫用是指應(yīng)用權(quán)限開放程度過高、聲明的權(quán)限中超出應(yīng)用實現(xiàn)功能所需要的最小范圍，導(dǎo)致攻擊者利用應(yīng)用權(quán)限可以實現(xiàn)攻擊行為，如讀取通訊錄、下載照片、開啟錄音、遠程植入木馬等，導(dǎo)致隱私數(shù)據(jù)泄露、盜取賬號等風(fēng)險。檢測原理是通過對應(yīng)用市場對同一行業(yè)的各個應(yīng)用系統(tǒng)使用權(quán)限的情況進行統(tǒng)計，分析出各個行業(yè)的App對權(quán)限的共性需求，形成行業(yè)App最小權(quán)限知識庫。再將AndroidManifest.xml文件中所聲明權(quán)限和行業(yè)最小權(quán)限庫相比對，判斷是否存在權(quán)限濫用的行為。具體流程如下：一是反編譯Apk文件，并獲取到AndroidManifest.xml文件中聲明的所有權(quán)限;二是將AndroidManifest.xml文件中聲明的所有權(quán)限和行業(yè)最小權(quán)限庫對比;三是比行業(yè)最小權(quán)限庫多出的權(quán)限為濫用權(quán)限。

權(quán)限越權(quán)檢測。權(quán)限越權(quán)行為是指通過分析在App隱私條款里邊所提及的功能，這些功能所對應(yīng)的權(quán)限形成一個功能權(quán)限集合。在App配置文件中聲明的權(quán)限超過了隱私條款中說明的功能權(quán)限集合的功能，那么就存在權(quán)限越權(quán)行為。通過移動應(yīng)用MD5值，通過大數(shù)據(jù)匹配是否實現(xiàn)與抓取隱私條款，若沒有，則手動上傳，通過人工智能匹配出條款中界定使用的權(quán)限類型，和AndroidManifest.xml文件進行比對，多余部分定義為權(quán)限越權(quán)，權(quán)限濫用作為檢測項在個人信息安全檢測報告中呈現(xiàn)。具體流程如下：一是人工打開App并找到隱私條款的頁面;二是解讀隱私條款中功能列表，通過網(wǎng)頁頁面轉(zhuǎn)化為對應(yīng)權(quán)限;三是將隱私條款中解析出來的權(quán)限和AndroidManifest.xml文件進行比對。

信息跨境傳輸檢測。未向監(jiān)管部門報備的個人信息向境外傳輸，有信息泄露的風(fēng)險。通過檢測移動應(yīng)用是否有與境外通訊的情況，可以防范個人信息直接向境外傳輸。通過正則表達式對反編譯代碼和App中配置文件進行匹配，掃描出App中所有的IP信息和域名信息。采用靜態(tài)檢測技術(shù)獲取移動應(yīng)用中IP和域名信息，通過第三方技術(shù)接口查詢出IP和域名歸屬地和運營商信息，從而分析移動應(yīng)用是否有向境外服務(wù)器傳輸數(shù)據(jù)的情況。具體流程如下：一是反編譯Apk文件;二是掃描smali文件內(nèi)容，分析代碼和配置文件中是否有IP和域名地址;三是將IP和域名地址進行所屬地判斷，如果發(fā)現(xiàn)國外的網(wǎng)址則有風(fēng)險，無則沒有風(fēng)險。

信息加密通道風(fēng)險檢測。移動應(yīng)用后臺自行啟動VPN服務(wù)，會造成數(shù)據(jù)被劫持、敏感信息泄露。通過對Apk文件反編譯，再對smali文件進行掃描，識別出VPN服務(wù)器的特征代碼，即可識別出移動應(yīng)用的信息加密通道風(fēng)險。

移動應(yīng)用與生活密不可分，但惡意移動應(yīng)用威脅著隱私和財產(chǎn)安全?；诎沧肯到y(tǒng)應(yīng)用特點，從組件、代碼和數(shù)據(jù)三個層面分析移動應(yīng)用風(fēng)險存在的原因，通過敏感權(quán)限風(fēng)險檢測、權(quán)限過度聲明風(fēng)險檢測、權(quán)限濫用檢測、權(quán)限越權(quán)檢測、信息跨境傳輸檢測和信息加密通道風(fēng)險檢測6個方面，設(shè)計出的這套全面準(zhǔn)確的移動應(yīng)用安全檢測系統(tǒng)，能夠有效促進移動應(yīng)用信息使用規(guī)范化，推動移動信息產(chǎn)業(yè)安全有序發(fā)展。

（作者單位：浙江省電子信息產(chǎn)品檢驗研究院）