Android平台应用软件安全检测系统研究

2018-03-22 11:23
数字通信世界 2018年4期
关键词:数字签名应用程序用户

丁 浩

(河北诺亚人力资源开发有限公司,石家庄 050081)

1 Android平台安全机制

与Linux系统相同,Android平台也是一个权限相互分离的多进程系统,平台的应用程序和运行进程之间是一一对应的。在Android操作系统中,应用程序的安全性主要依赖Linux系统,因为该系统可以强制隔离应用程序,从而起到保护作用。

2 Android系统安全构架

为了确保系统的安全,Android系统在设计中严格遵守安全学中重要的设计理念,在开发者尚未设置和申请的状态下,应用程序具有十分有限的应用权限,无论是对其它应用软件还是对手机用户都无法执行不利的操作,如读写其他应用程序的数据、读取通信录或者收发短信等。

在Android系统中,每个应用程序都对应着一个相应的安全沙盒,这确保了各个应用软件之间不会互相影响,只有用户申请了权限,才可以获取沙盒之外的权限。用户在安全应用程序时Android系统会对应用程序申请的各种权限进行安全检测,同时提醒用户对相应的权限做出修改,但是在应用程序运行时,程序本身申请的权限是不会被安全检测的。实际上,在Android系统中,每个应用程序的文件包都是一个压缩包,在解压缩之后文件包里都会含有一个文件,开发者可以通过设置这个文件的字段来申请和更改访问权限。

3 Android平台应用软件安全检测系统的研究

3.1 静态分析技术的研究

(1)数字签名技术。这是一种十分常见的技术,首先需要发送者利用私钥来加密信息,并与原文一起发送给接受者;其次,接受者要用公钥来解密收到的信息,此外在处理原文过程中会出现一个信息,这就要用到哈希函数;最后,要将信息与解密的信息进行对比,如果一样就证明信息在传送过程中没有被篡改,否则就证明已经被恶意修改。数字签名不仅可以对发送者的身份进行验证,还能够确保传输信息的完整性。只有经过数字签名的应用软件才能在智能手机上进行安装,但这并不能有效防止恶意应用软件的传播。为有效处理此问题,就需要在恶意应用软件的源代码上应用数字签名技术,主要是分析和提取恶意代码并进行特征签名,建立特征签名库。根据特征签名库的对比,发现相同的特征码则认为存在此种恶意行为。

(2)基于分析源代码API调用的检测技术。无需运行应用程序时静态分析技术的一大优势,基于分析源代码API调用的检测技术已经广泛应用于很多安全公司的日常工作当中。此技术的基本原理是利用静态分析技术获取系统函数的调用情况,之后比对已知的恶意软件,从而对应用软件的安全性能进行检测。

(3)基于正则表达式的关键字匹配检测技术。该技术并不是一项单一的检测方式,而是其他检测技术的重要基础,只有当和其他检测技术结合使用时才能够突显其优点。正则表达式一般被用来检索和替换符合特定模式的文本,在Android系统中用来检测应用软件中含有的敏感信息和隐私信息,如手机号码、恶意网址、敏感词汇等内容。

3.2 动态分析技术的研究

(1)TaintDroid。近年来,智能手机变得越来越流行,用户对Android平台的关注更多的是应用软件功能的多样性和新颖性,然而却忽视了应用软件的安全性,尤其是一些陌生的软件,人们根本不知道其是怎样获取用户信息的,而Android平台也没有能够对其进行有效控制。而TaintDroid便是一个可以对用户隐私信息进行跟踪监控的系统,它可以以第三方应用软件为切入点对用户隐私信息的流动情况进行跟踪,如果发现用户的隐私信息通过第三方软件离开系统,就会给手机用户和运营商提供反馈信息,如此以来恶意软件就能够被有效识别。

(2)Monkey和MonkeyRunner。这两个是Android SDK本身就具有的两种测试工具,应用于不同的测试领域。Monkey主要用来测试压力和可靠性,通过Monkey命令能够向目标程序发送各种随机事件流,测试者可以自由对发送次数进行定义和设置,对应用程序的稳定性、可靠性进行检测。这种方式的优势是应用简便,但是也具有测试人员无法完全控制的缺陷。

4 结束语

随着互联网技术的发展和智能手机的普及,Android平台的应用软件数量快速增加,且形形色色的应用软件不断出现,这些应用软件在给人们带来便利的同时,也带来了很多安全隐患,恶意应用软件的不断出现给手机用户造成了极大的损失,为此我们必须不断加强对Android平台应用软件安全性检测系统的研究,提升Android平台的安全性能。

[1] 张海舰,方舟.Android恶意软件检测技术分析和应用研究[J].网络安全技术与应用,2017,(3):111,113.

猜你喜欢
数字签名应用程序用户
浅析计算机安全防护中数字签名技术的应用
删除Win10中自带的应用程序
谷歌禁止加密货币应用程序
关注用户
基于数字签名的QR码水印认证系统
关注用户
数字签名简述
关注用户
如何获取一亿海外用户
掌握方法用好数字签名