Android应用安全问题与对策思考研究

◆郝晓东 孙二鑫 藏丹丹 李潇潇

Android应用安全问题与对策思考研究

◆郝晓东 孙二鑫 藏丹丹 李潇潇

（天津卡达克数据有限公司 天津 300000）

随着移动互联网以及智能移动设备的普及，各型种类的APP出现在用户的视野，并在 Android 操作系统上获得了飞速的发展。Android技术进步的同时，由于其独特的开源特性，各类安全问题尤其是应用的安全问题愈发引起用户的关注。

应用安全；Android；对策；安全威胁；恶意软件

中国互联网络信息中心（CNNIC）于2019年2月28日在京发布第43次《中国互联网络发展状况统计报告》。数据显示，截至2018年12月，我国网民总规模达8.29亿，其中手机网民的规模达到了8.17亿，占比高达98.6%。面对已经全面进入的移动互联网时代的背景，谷歌的Android系统作为最主要的移动平台开发类型在我国的使用率占比高达80%。Android移动应用更是爆发性增长。发展至今，数以亿计的网民每天通过种类繁多的Android应用进行网络购物、移动支付、网络视频、网络音乐和网络游戏等等。面对移动终端市场丰富多样的应用，加之用户的应用安全意识还比较淡薄，缺乏权限保护等方面的专业知识，极其容易感染各类手机病毒及安装下载恶意软件[1]，所以日益凸显的应用安全问题愈发需要引起我们的重视。

1 Android应用安全问题表现分析

自谷歌Android系统发布以来，由于其独特的开放性、开源特性和可定制性等特性，Android平台的开放生态使得每一个Android设备中安装的软件大多来自不同的芯片厂商、手机开发商以及不同的应用开发者等。基于这种现状，各种软件组件基本很难达到遵从一个统一的标准，所以开发的质量也会良莠不齐。对于一些不法分子以及恶意攻击者来说，却是一个很好的目标。Android智能终端的安全层基本可以分为5个层次[2]，分别为：网络安全层、设备安全层、系统安全层、数据安全层和应用安全层。在此，针对Android APP开发人员，我们主要对Android的应用安全层进行一系列深入的研究和探索。用户隐私数据的泄漏主要有以下几种表现形式：

（1）隐私数据被恶意软件窃取，窃取者利用应用漏洞和途径，骗取用户安装恶意插件，从而利用恶意软件来获得用户隐私数据。

（2）移动终端往往被用户随身携带，经常移动终端被放置在某些地方，例如开会放在会场，在用户离开的时候，如果该手机上的涉及钱财或者隐私的应用没有身份验证机制，用户的信息或者钱财就存在着风险。

（3）通信被抓包截获的风险。目前手机APP通过接口发出的通信消息，很大一部分应用通信都没有加密，为明文数据，极易被窃取者通过特定技术手段进行截获和监听，造成用户的隐私泄露。

2 Android应用安全问题以及应对措施

Android应用通常来自第三方应用商店和应用程序下载论坛等。这些Android应用程序中极易存在安全漏洞，给用户带来隐患和安全风险。针对Android应用层的安全问题，我们可以从以下几个方面进行研究和剖析。

2.1 生物身份验证

生物身份认证是一种分析个人生物和行为特征的技术[3]，例如指纹识别，虹膜，视网膜，面部识别等。由于这种唯一性以及传统密码等方式的不安全性，越来越多的Android应用采用了生物身份认证。现在有越来越多的 Android 终端设备以及Android应用搭载了或使用了指纹识别技术，例如指纹识别技术目前在微型支付等APP中的应用。Android应用结合生物身份验证可以大大减少我们被恶意攻击的风险以及私密信息泄露的风险。当然，现阶段通过生物身份认证的准确率还达不到100%的精准，需要广大开发者以及各个行业去不断努力探索，精益求精。将来更多的Android应用可以配合生物身份识别验证来保证我们的应用安全[4-5]。

2.2 恶意应用检测

通过反编译等逆向分析方法来获取应用的特征，比如一些权限、敏感API调用、签名等，通过针对样本的应用特征的提取以及分析，来判断该应用是否属于恶意应用。另外，针对数量巨大的各类应用，可以引入机器算法对应用进行智能分析。通过智能分析，实现对权限检查、软件安装和卸载、文件接收和发送、后台拨打和接听电话、收发短信息、操作数据库、联网、摄像头操作等行为的监控。Burguera 等[6]提出 Crowdroid，在 Android终端用 strace 追踪器去采集行为数据，然后传到分析服务端，再利用分类器去训练这些行为的样本，使用 KNN 特定算法判断应用是否含有恶意行为。

2.3 Android应用的安全加固

Android应用逆向工程的飞速发展，使得开发者辛苦开发出的应用能够被轻而易举地破解，甚至被恶意篡改，植入病毒，页面被劫持等。因此，对Android应用进行针对性的安全加固显得尤为重要。

关于应用加固，主要是基于核心的加密技术，给Android应用进行深度加密，加壳保护，使应用远离恶意破解、反编译、二次打包以及内存抓取等威胁。对classes.dex文件采用高压缩及加密变形处理，并对关键核心逻辑代码进行保护，要防止破解者通过apktool、jeb、dex2jar等静态分析工具逆向分析java层代码；对so文件代码进行llvm混淆及加密保护，使IDA等逆向工具无法分析逻辑，使得native层代码安全性得到有效的保证；对应用运行时的进程空间进行防护；阻止代码注入，屏蔽各种调试器、游戏外挂、应用辅助，防止程序被劫持、数据被修改。

Android 应用程序的加固方式有很多，加密技术也是多种多样，但是我们还是要不断探索研发更安全的加密技术，需要引起更多的专家和研发者的重视以及进行更多的研发投入。

2.4 应用安全评估

为了加强对Android应用产品的安全监测，提高各大Android应用市场对Android产品的安全准入门槛，各大移动应用商店应建立并不断完善对Android应用的检测与审核机制。根据移动应用软件的危害来源，移动应用存在的安全风险分为：监听或远程控制等；系统接口侧风险，如收集用户个人信息，捆绑恶意操作等。对于政府相关部门也应该对Android应用市场进行规范化管理。根据应用产生的威胁程度建立一个完善的评估体系和评估标准，从多个角度进行评价，综合得到一个结果，反映出应用的脆弱性和风险。从而可以最大限度规避可能受到的恶意程序攻击。

3 结束语

面对层出不穷的Android终端 APP，尽管在技术层面上越来越成熟，越来越智能化，但是在用户使用应用安全问题上仍然存在着诸多漏洞，在各方设计开发过程中，需要持续不断创新，了解最新技术，明确 Android 操作系统以及App开发的深层原理与内部构造，在针对各种威胁方面，从应用的特征提取、应用签名，再到隐私数据加密、应用的安全加固、应用的安全评估等各个方面提出防范措施，保证我们的应用安全，让恶意的破坏分子无处遁形。

[1]黄海峰. 2011年安卓手机木马激增六大安全厂商共话移动终端安全趋势[J].通信世界，2012（9）：32-33.

[2]丁丽萍. Android 操作系统的安全性分析[J]. 信息网络安全，2012（3）：28 -31.

[3]邵亚楠.移动终端APP的交互动画设计与运用[J].大众文艺，2017，5（24）：52-53

[4]魏秀卓，马瑞，张晋等.APP 开发中安卓操作系统的应用及发展[J].现代职业教育，2017，12（22）：150-151.

[5]冯登国，孙悦，张阳.信息安全体系结构[M].北京：清华大学出版社，2008.

[6]BURGUERA I，ZURATUZA U，etal. Crowdroid： behavior-based malware detection system for Android[C]//The 1st ACM Workshop on Security and Privacy in Smartphones and Mobile Devices. New York，USA，c2011：15-26.