Permissin based Android security 译文.docVIP

关于安卓系统安全的权限：问题和解决方案 作者:房哲然a,c，韩威利a,c，李英九b a上海复旦大学软件学院，201203，中国 b新加坡管理大学信息系统学院，新家坡 c上海数据科学重点实验室，上海复旦大学，中国 摘要 由于出现了许多关于安卓系统安全攻击和隐私泄漏的事例，安卓系统安全已经是学术研究和公众关注的一个热点。安卓系统安全已经建立制约第三方安卓应用程序在安卓设备上访问关键资源的权限机制。但是这种权限机制因为应用程序权限不好控制和开发人员、营销人员以及用户的权限难以管理而被批判。在本文中，我们探讨了产生安卓系统安全的问题，包括权限的粗粒度、不适当的权限管理，权限不足的文档，权限的过度要求，权限攻击提升，TOCTOU 攻击（指计算机系统的资料与权限等状态的检查与使用之间,因为某特定状态在这段时间已改变所产生的软件漏洞 关键字：安卓安全，安全权限，访问控制，访问控制授权，政策管理，过度索求权限，权限升级攻击 简介 随着安卓手机成为市场上最受欢迎的移动设备， 安卓系统安全一直是信息安全的关注焦点。自从2008年10月推出第一款安卓平台的手机，截至2013年第一季度，安卓手机销售占市场份额的75%，居第一位。截至2013年5月。谷歌声明已经发布了九百万部安卓设备。根据芬安全（一家网络安全公司）表明，受新的移动设备危害的人员数目较上一个季度上升了49%，在2013年第一季度来自于安卓设备占91.3%。 安卓智能手机是被基于架构的权限保护着，这个架构约束第三方应用程序访问敏感资源，比如SMS数据库，安卓智能手机的外部存储。对敏感资源的访问可能要花钱。比如，安卓的恶意软件可能会发送溢价率信息，加收费用的电话，以及产生大量无需用户认可的网络数据。此外，对敏感资源的访问可能会导致存储在智能手机中的私人信息泄漏，如通讯录、电子邮件、甚至信用卡号。第三方应用程序的开发者可以利用各种智能手机的传感器，如GPS、照相机和麦克风，去开发应用程序，但却不是像他们说的那样去做，而是悄悄地收集用户的私人信息。在目前的安卓权限框架中，访问至智能手机的关键资源是根据应用程序在安装时的权限控制的。也就是说，每个应用程序必须在安装时要求某些权限，它才能访问智能手机的系统资源，用户可以决定是否授予权限。 这些基于架构的权限是粗粒的。很多应用程序往往要求比需求更多的权限。在大多数情况下，用户必须授予应用程序要求的所有权限，否则终止程序安装，而不是一个接一个授予权限。此外，基于架构的权限是脆弱的，由于应用程序和差劲的文档在如何使用各种权限之间的协调不足以控制。 安卓系统安全已经引起了学术界和工业界的关注。据我们所知，有关安卓系统安全的论文早在2008年就出现了，第一部安卓智能手机也是这一年上市。接下来的几年，随着安卓设备的爆发式增长，大量的有关安卓系统安全的研究论文发表了。 鉴于大量的安卓系统安全方向的研究发表，尤其是安卓的权限框架，我们对安卓系统安全的现状进行了系统的概述。特别是，我们探讨了安卓系统安全的进步，找出安卓权限框架方面的问题,并分析了安全问题的解决方案 除此之外，本文也介绍了其他内容。第二部分介绍了安卓系统安全的背景；第三部分阐述了安卓权限框架的问题；第四部分介绍了解决安卓安全问题的现有方案；第五部分讨论了未来的工作；最后，第六部分是总结全文。 安卓系统安全的产生背景 安卓是用于移动设备的一个平台。安卓包含一个操作系统、应用架构和核心应用程序。每一个安卓应用程序在一个独立的Dalvik虚拟机器 安卓限制了访问关键资源的使用权限。权限是简单的，这个权限是一个独特的可以通过安卓系统或者第三方开发者定义的文本字符串。根据为安卓开发者写的文档，目前具有130中权限，这些权限是安卓操作系统定义的，从获得摄像头访问权限、访问网络权限、拨打电话权限，甚至到永久停用电话功能权限。根据魏、戈麦斯等人的研究，自从第一个版本被广泛使用，安卓定义的权限不断增加。权限扩展的目的不仅提供了更细粒的权限，也控制着访问新的硬件功能。除了定义安卓权限，应用程序开发者也可以为了保护自己的关键资源自定义权限。 当一个应用程序使用系统资源时，包括系统API函数、读取和写入文件系统，可能要申请权限。被授权的权限分配给应用程序的沙盒，以及继承所有的应用程序组件。，然而需要申请的权限分配给应用程序组件。一个权限具有四种保护级别，具体如下： Normal:低风险权限，允许应用程序调用无风险的API。 Dangerous:高风险权限，允许应用程序调用存在潜在危害的API，如泄漏用户的私人数据或控制智能手机设备 Signature:只有当申请权限的应用程序的数字签名与声明此权限的应用程序的数字签名相同时，才能授予权限。 Signature-or-system:只有当签名相同，或者申请权限的应用为系统