安卓平台安全性增强关键技术的研究课件

基于权限机制的安卓软件分析和系统加固研究杨 珉 复旦大学软件学院 12014年“软件与网络安全”科学与技术前沿论坛基于权限机制的安卓软件分析和系统加固研究杨 珉 复旦大学以系统权限为中心的研究进展2软件行为分析技术系统安全加固技术以系统权限为中心的研究进展2软件行为分析技术系统安全加固技术安卓平台安全状况堪忧3安卓平台安全状况堪忧3安卓应用软件飞速增长图：图：GoogleGoogle应用商城应用商城20092009年年1212月份到月份到20132013年年7 7月份的统计报告月份的统计报告众多第三方应用市场众多第三方应用市场4安卓应用软件飞速增长图：Google应用商城2009年12月应用软件恶意行为泛滥5国内Android应用商城中程序隐私泄露分析，第五届信息安全漏洞分析与风险评估大会，2012年应用软件恶意行为泛滥5国内Android应用商城中程序隐私泄应用软件的安全缺陷涌现6Analyzing Inter-Application Communication in Android,in MobiSys11Permission Re-Delegation:Attacks and Defenses,in USENIX Security11Systematic Detection of Capability Leaks in Stock Android Smartphones,in NDSS12CHEX:Statically Vetting Android Apps for Component Hijacking Vulnerabilities,in CCS12DroidChecker:Analyzing Android Applications for Capability Leak,in WiSec12Detecting Passive Content Leaks and Pollution in Android Applications,in NDSS13The Impact of Vendor Customizations on Android Security,in CCS13IntentFuzzer:Detecting Capability Leaks of Android Applications,in AsiaCCS14应用软件的安全缺陷涌现6Analyzing Inter-Ap应用软件的安全核查7工信部，“关于加强移动智能终端进网管理的通知”2013年11月国家网信办，“APP应用程序发展管理办法”2014年10月Google PlayBouncer：约40%的恶意行为识别率第三方应用市场商业化杀毒引擎+不断增长的恶意软件样本库应用软件的安全核查7工信部，“关于加强移动智能终端进网管理的恶意行为分析：基于权限使用视图的分析平台8恶意行为分析：基于权限使用视图的分析平台8零天恶意软件依赖人工分析人工分析：高成本、大时延、易规避9无法满足海量软件无法满足海量软件的分析检测需求的分析检测需求零天恶意软件依赖人工分析人工分析：高成本、大时延、易规避9无安装时的权限授予模式利用系统调用分析软件行为的方法不适用安卓平台虚拟机沙箱导致语义割裂特有的编程与运行模型应用软件如何使用这些权限？应用软件对敏感资源施加何种影响？10安装时的权限授予模式利用系统调用分析软件行为的方法不适用安基于权限使用视图的敏感行为分析VetDroid自动化分析平台11Permission Use Analysis for Vetting Undesirable Behaviors in Android Apps，IEEE Transactions on Information Forensics and Security,2014Vetting Undesirable Behaviors in Android Apps with Permission Use Analysis，ACM Conference on Computer and Communications Security 2013基于权限使用视图的敏感行为分析VetDroid自动化分析平台基于权限使用的行为分析方法12读取通讯录处理通讯录数据打开网络发送数据自动识别权限使用行为权限使用视图孤立的孤立的动作动作有依赖有依赖关系的关系的行为行为自动构建行为视图自动构建行为视图基于权限使用的行为分析方法12读取通讯录处理通讯录数据打开网权限使用视图13使用权限获使用权限获得的数据得的数据申请使用申请使用权限权限位置跟踪行为位置跟踪行为权限使用视图13使用权限获得的数据申请使用位置跟踪行为VetDroid系统架构14核心组件显式权限使用分析：显式权限使用分析：程序中哪些地方申请权限隐式权限使用分析：隐式权限使用分析：程序中哪些地方使用敏感资源程序驱动行为采样VetDroid系统架构14核心组件分析过程15使用权限获使用权限获得的数据得的数据申请使用申请使用权限权限第一步：第一步：自动地采样软件中申请权限的行为显式权限使用分析显式权限使用分析第二步：第二步：自动地跟踪软件中使用这些通过权限获得的数据的行为隐式权限使用分析隐式权限使用分析分析过程15使用权限获得的数据申请使用第一步：自动地采样软件显式权限使用分析目标：目标：程序如何使用权限与系统交互技术难点1：获取所有所有显式权限使用点2：识别精确精确权限使用信息技术路线识别程序-系统交互点从安卓系统内部捕获权限检查信息根据不同权限检查方式进行传播16显式权限使用分析目标：程序如何使用权限与系统交互16采样权限检查信息17采样权限检查信息17采样权限检查信息18E-PUP:ACCESS_FINE_LOCATIONNot a E-PUP框架层权限检查传播方法框架层权限检查传播方法 Binder层插桩内核层权限检查传播方法内核层权限检查传播方法引入两个单独的系统调用采样权限检查信息18E-PUP:ACCESS_FINE_L隐式权限使用分析目标：目标：程序如何使用通过权限获得的资源难点1：获取所有资源递交点（同步或异步方式）方案：区分同步和异步的方式，识别Callback的方式获取系统资源难点2：自动地跟踪程序内部逻辑方案：基于权限使用的污点技术（扩展TaintDroid系统），将敏感数据标记权限使用信息19隐式权限使用分析目标：程序如何使用通过权限获得的资源19原型系统与实验原型系统支持Android 2.3/4.1运行在Nexus S/Prime/4手机、模拟器实验恶意软件分析GP商城应用分析20原型系统与实验原型系统20恶意软件样本集分析(Genome)21恶意行为类型恶意行为类型#恶意软件家族分类恶意软件家族分类偷取短信46BaseBridge,SMSReplicator,Zitmo,Gone60偷取手机号码38ADRD,YZHC,GoldDream,Pjapps,GGTracker,GingerMaster,DroidDream,DroidKungFu1-4偷取通讯录8Zitmo,Gone60,Walkinwat跟踪地理位置9TapSnake,DroidDream,DroidKungFu1,Bgserv,DroidKungFu2,DroidKungFu4发送短信43Pjapps,Zsone,Walkinwat,RogueSPPush,GGTracker,FakePlayer,SMSReplicator阻截短信22Zitmo,RogueSPPush,GGTracker,Zsone恶意行为类别的识别精确，恶意行为捕获的机率高。恶意行为类别的识别精确，恶意行为捕获的机率高。恶意软件样本集分析(Genome)21恶意行为类型#恶意软件GP热门应用分析22泄露的隐私泄露的隐私TaintDroidTaintDroidVetDroidVetDroid手机串号（IMEI）135135手机号码77地理位置17172424联网状态0 02828更强的隐私泄露检测能力更强的隐私泄露检测能力精确的信息泄露诊断能力精确的信息泄露诊断能力泄露的隐私泄露的隐私#泄露的原因泄露的原因地理位置12Inner-Active Ads Wetter Ads Flurry Ads Google Ads InMobi Ads Fortumo Payments基站位置3Vserv Ads Handmark手机号码1Mobile PublicGP热门应用分析22泄露的隐私TaintDroidVetDrVetDroid的优势23刻刻画画安安卓卓行行为为语义信息语义信息通通用用的的行行为为分析能力分析能力分分析析程程序序内内部行为部行为过过滤滤不不敏敏感行为感行为Syscall-based-CopperDroid-TaintDroid/AppIntent-ProfileDroid-DroidScope-PermissionEventGraph-VetDroidVetDroid表：与相关研究工作的比较表：与相关研究工作的比较VetDroid的优势23刻画安卓行为语义信息通用的行为分析敏感资源保护：基于上下文的细粒度权限管理框架24敏感资源保护：基于上下文的细粒度权限管理框架24应用软件间密切协同25大量内嵌第三方SDK频繁使用程序间交互应用软件间密切协同25大量内嵌第三方SDK频繁使用程序间交互安卓权限机制分析权限管理机制：应用软件的粒度26安卓权限机制分析权限管理机制：应用软件的粒度26现有权限机制的安全风险应用程序内部不敏感应用程序内部不敏感同一个程序内部的所有代码可以使用相同的权限例如：程序重打包攻击、恶意SDK攻击应用程序间交互不敏感应用程序间交互不敏感一个程序可能会被其他程序利用来访问某些资源例如：权限代理攻击、组件劫持攻击27现有权限机制的安全风险应用程序内部不敏感27基于权限机制的系统加固研究28权限系统扩展权限系统扩展Aurasium使用时权限授予机制Dr.Andorid&Mr.Hide提供细粒度的权限语义SEAndroid采用Linux强制式访问控制构建权限系统FlaskDroid针对框架层资源引入强制式访问控制进行管理环境敏感的权环境敏感的权限机制限机制CRePE,MobileIFC,DR BACA,Saint根据设备所处的环境信息定义不同的权限使用规则，例如时间、地理位置程序通讯加固程序通讯加固IPC Inspection根据程序交互链中的各个程序的权限交集进行权限管理TrustDroid,XManDroid基于预定义规则阻止有风险的程序交互Quire提供程序员检查程序交互链的能力程序内部隔离程序内部隔离Aframe,AdDroid,AdSplit采用进程隔离第三方程序组件Compsac根据代码调用组件链中的各个组件的权限交集进行权限管理问题问题：无法根据应用程序上下文进行灵活的权限管理基于权限机制的系统加固研究28权限系统扩展Aurasium使基于上下文的细粒度权限管理框架全系统的权限统一管理机制全系统的权限统一管理机制程序运行时上下文跟踪技术程序运行时上下文跟踪技术29基于上下文的细粒度权限管理框架全系统的权限统一管理机制29应用程序上下文信息两类程序两类程序运行时上下文信息运行时上下文信息程序内上下文程序内上下文：内部的执行流信息函数之间的调用关系采用函数调用上下文来表示程序间上下文程序间上下文：程序间交互执行流基于Binder驱动跟踪程序交互上下文传播程序的UID信息，以及各个交互程序内部的上下文30应用程序上下文信息两类程序运行时上下文信息30基于Binder的上下文跟踪原理31基于Binder的上下文跟踪原理31规则语言图：上下文敏感的权限管理规则语言的结构图：上下文敏感的权限管理规则语言的结构32图：一个样例规则图：一个样例规则规则语言图：上下文敏感的权限管理规则语言的结构32图：一个样基于上下文的权限管理UID:10053,com.snapwork.finance权限：android.permission.ACCESS_FINE_LOCATION程序内上下文：com.flurry.android.e-e-LL-42com.flurry.android.e-a-VLLZ-3com.flurry.android.v-run-V-2133LocationManager.getLastKnownLocation()一、可以控制是否允许Flurry SDK访问位置信息二、不影响SnapWork自身访问位置信息基于上下文的权限管理UID:10053,com.snap原型系统与实验原型系统支持Android 2.3/4.1，支持Nexus Prime/4、模拟器实验整体性能测试最差情况下的性能测试规则匹配的性能测试34原型系统与实验原型系统34性能测试35测试集测试集原生系统原生系统FineDroid FineDroid(w/o context)(w/o context)FineDroid FineDroid(w/context)(w/context)AnTutuAnTutu77017718(+0.22%)7671(-0.39%)LinpackLinpack43.3642.60(-1.76%)42.50(-1.99%)CaffeineMark3CaffeineMark385188495(-0.27%)8457.5(-0.71%)权限使用类型权限使用类型原生系统原生系统FineDroid FineDroid(w/o context)(w/o context)FineDroid FineDroid(w/context)(w/context)Socket(KEP)Socket(KEP)0.14 ms2.16 ms 2.02 ms2.18 ms 0.02 msIMEI(AEP)IMEI(AEP)0.62 ms0.69 ms 0.06 ms1.09 ms 0.40 ms表：整体性能测试结果表：整体性能测试结果表：最差情况下的性能测试结果表：最差情况下的性能测试结果性能测试35测试集原生系统FineDroid FineDro规则匹配的性能测试36权限使用类型权限使用类型FineDroid FineDroid(w/o(w/o policy)policy)FineDroid FineDroid(w/policy)(w/policy)性能开销性能开销Socket(KEP)Socket(KEP)2.18 ms3.06 ms0.88 msIMEI(AEP)IMEI(AEP)1.09 ms1.99 ms0.90 ms图：测试使用的样例规则图：测试使用的样例规则表：规则匹配性能测试结果表：规则匹配性能测试结果规则匹配的性能测试36权限使用类型FineDroid Fin权限泄露漏洞修复实例37AOSP中Mms程序存在的WRITE_SMS权限泄露漏洞权限泄露漏洞修复实例37AOSP中Mms程序存在的WRITE应用实例：Mms权限泄露漏洞Mms服务包含三种权限泄露路径38快速修复的安全策略应用实例：Mms权限泄露漏洞Mms服务包含三种权限泄露路径权限漏洞修复规则自动生成利用CHEX漏洞分析结果，修复规则自动化生成39应用名应用名泄露路径数泄露路径数生成规则数生成规则数com.gmail.traveldevel.android.vlc.app-13122com.froogloid.kring.google.zxing.client.android-672424de.cellular.tagesschau-5361361com.akbur.mathsworkout-9222com.appspot.swisscodemonkeys.paintfx-422com.androidfu.torrents-2611com.espn.score_center-14166com.espn.score_center-14266fr.pb.tvflash-922hu.tagsoft.ttorrent.lite-1588总计414414权限漏洞修复规则自动生成利用CHEX漏洞分析结果，修复规则自谢谢！40谢谢！40