谢金凤　中国信息通信研究院西部分院工程师戴　燕　西南计算机有限责任公司工程师化洁玉　中国信息通信研究院西部分院工程师



Android系统智能手机安全威胁及保护机制浅析*

谢金凤中国信息通信研究院西部分院工程师
戴燕西南计算机有限责任公司工程师
化洁玉中国信息通信研究院西部分院工程师

摘要：介绍了Android系统智能手机的多种安全机制，包括程序沙盒、文件访问控制、Root权限控制、应用权限管理、程序数字签名等。同时，从应用程序内嵌恶意代码、入侵Android系统漏洞、利用Root权限恶意操作三个方面分析了Android系统的常见安全威胁，提出了相应应对措施。

关键词：Android系统；智能手机；信息安全

1　引言

随着移动互联网、智能芯片、云计算等技术的日益成熟，智能手机已不再仅仅作为通讯工具，而是渗透入了人们生活的购物、出行、生活缴费、定向资讯等方方面面。Android手机操作系统是Google公司基于Linux开发的手机操作系统，于2007年问世以来，由于其开放性、扩展性、可操作性，在智能手机中获得了广泛应用。据2015年12月市场研究机构IDC公布的《全球手机季度跟踪报告》预测，2015年全球智能手机出货量达到14.3亿部，其中Android市场份额在可达82%。Android智能手机操作系统在可预见的未来仍将处于主导地位。

伴随着Android智能手机系统深入渗透人们日常生活，Android系统的安全性也成为广受关注的问题。由于智能手机目前已涉及地理位置记录、银行账号、人际关系等重要个人隐私信息，一旦被不良人士入侵将造成严重的财产甚至人身损失。因此，分析Android系统智能手机的安全体系及潜在威胁，对于健全Android智能手机安全保护机制具有重要意义。

2　Android系统安全体系

Android系统是基于Linux内核实现的，保留了Linux系统中程序沙盒、文件访问控制等安全机制，此外设置了系统Root权限、应用权限管理、程序数字签名等安全机制，分别保障了应用发布、安装和运行过程中的安全。

（1）程序沙盒

Android系统为每个应用提供一个Dalvik虚拟机，并为其创建一个UID。系统为每个运行程序分配一块内存空间，令各个应用程序于独立进程运行，从而实现相互隔离。只有通过设置sharedUserID，令两个应用实用同一个UID，方能运行于同一进程，实现资源和权限的共享。基于程序沙盒，可保障应用的独立性，在单个应用出现问题时，可通过消除其Dalvik虚拟机实例保障系统的安全运行。

（2）文件访问控制

基于Android系统为每个用户和应用程序创建的UID，可实现对文件访问的控制。每个用户对于每个文件都有不同的权限，分别为R（可读）、W（可写）和X（可执行）。每个应用程序创建的文件会分配该应用程序的用户ID。通过文件所属的权限、组ID和RWX组合，可实现应用程序对文件的访问控制。仅Root用户对所有文件都有读写和执行的权限。其他情况下，应用程序仅能访问特定的文件，而不能访问系统文件，从而保护系统免受外部修改，保障系统的正常运行。

（3）Root权限控制

Android系统角色分为普通用户、Root用户两种。普通用户只能操作与自己有关的内容。而Root用户具有操作系统文件、操作硬件设备等最高权限，系统中只有个别程序具有Root权限。即使对手机进行Root破解，令普通用户和应用程序也拥有Root权限，Android系统仍会采用SuperUser程序审查Root权限的操作，进一步保障系统的正常运行。

（4）应用权限管理

Android系统提供了多粒度的权限控制机制，应用程序在配置文件里可声明自身各个组建的访问权限。权限包括权限的名称、权限所属的组和保护类别3方面信息，保护级别分为普通、危险、签名、签名或系统4类。在程序安装时，该程序使用的权限将清晰罗列并呈现给用户，以供用户选择是否安装。

（5）程序数字签名

Android系统的每个应用程序都必须通过数字证书签名，以供标识此应用的开发者。通过对比应用APK安装程序的签名，可判断此安装程序是否为被破解、篡改后重新签名打包的盗版软件。

3　Android系统威胁

由于Android系统采用开放式架构，在为开发者提供API接口与开发工具包以供便捷调用的同时，也为恶意代码恶意扣费、窃取隐私、破坏系统、消耗资费等违法操作提供了条件，主要途径包括应用程序内嵌恶意代码、入侵Android系统漏洞、利用Root权限恶意操作等。

（1）应用程序内嵌恶意代码

Android系统的数字签名机制虽可判断应用程序是否为插入恶意攻击代码后重新打包的恶意应用，一定程度上防范了恶意程序的安装。然而，由于Android系统的开放性及版本的碎片化，仍存在部分绕过数字签名认证的手段。其一，是Android系统的签名认证绕过漏洞，恶意开发者可通过在APK文件中内嵌新的字节码文件classes.dex绕过签名机制。其二，是修改签名APK包META-INF文件夹中的签名数据文件。

当前，对此类恶意应用程序的检测手段可分为两种方式：

●静态分析Android应用的扫描特征码和签名信息等。

●动态监控Android应用的API调用行为。

（2）入侵Android系统漏洞

Android系统的版本一直在不断更新升级，然而每个版本都可能存在一些漏洞，如Stagefright漏洞、Mediaserver漏洞、0day漏洞等。攻击者可通过恶意APP或网站，利用Android系统漏洞造成设备无法响应、绕过沙盒操作程序、窃取用户信息、导致设备变砖等安全事件。

业内已有Trend Micro、WooYun等多个杀毒软件公司、安全研究机构针对Android系统漏洞进行研究。一方面，Google应对系统漏洞引起足够重视，尽快修正漏洞，推行更新、更稳定的系统版本；另一方面，Android智能手机使用者应保持足够警惕，及时更新系统版本，于正规应用市场下载正版软件，避免登录不可靠的网站等。

（3）利用Root权限恶意操作

基于Android系统的开源性，用户可基于刷机在手机中安装他人发布的系统镜像，或基于获取Root权限操作系统文件，从而改变系统界面、实现特殊功能。然而恶意开发者可能在ROM中内置恶意软件，获取用户隐私信息、私自扣费等，或基于恶意应用修改和控制系统文件，为用户造成不易察觉的财产损失。

为防范此类安全威胁，一方面，论坛、应用分享社区、第3方应用市场等应加强对所发布和分享Rom、APP等资源的管理，及时开展安全性检查、删除清理等工作，防止成为恶意资源传播的温床；另一方面，用户应加强防范意识，对新安装的应用或Rom进行入侵检测，及时发现和卸载恶意软件，避免造成持续损失。

4　结束语

虽然Android系统的安全体系已经比较完善，但由于Android系统自身的开放性、开源性，仍存在多种多样的安全威胁，亟需强化Android安全机制，完善恶意应用检测手段，规范国内第3方应用市场，提升系统漏洞挖掘能力。营造安全的Android智能手机应用环境，需要Google、信息安全检测机构、信息安全实验室、应用共享社区的多方面角色的共同努力，任重而道远。

参考文献

［1］Google Inc.Android security［EB/OL］.［2013-06-26］.https：// source.android.com/tech/security.

［2］雷灵光，张中文，王悦武，等.Android系统代码签名验证机制的实现及安全性分析［J］.信息网络安全，2012（8）.

［3］WooYun.Androiduncobersmaster-keyvulnerabilityanalysis ［EB/OL］.［2013-12-09］.http：//drops.wooyun.org/papers/219.

中创信测技术专栏

Analysisonthe security threats and protectionmechanismof android intelligent mobile phone

XIEJinfeng，DAIYan，HUAJieyu

Abstract：This paper introduces the security mechanisms of android intelligent mobile phone， includes app sandbox， file access control， root right control， app authorization management， and file access control. What’s more， the paper analysis the common security threats of android system， includes application with embedded malicious code， intrusion android system vulnerabilities， and malicious operations using root right.At thesametime， put forward the corresponding countermeasures.

Keywords:android system； intelligent mobile phone； information safety

*基金项目：重庆市应用开发计划项目（cstc2014yykfC40002），重庆市科技平台与基地建设计划项目（cstc2014pt-gc40002），重庆市电子信息产品测试工程技术研究中心项目（渝科委发［2014］1号）资助

收稿日期：（2016-02-20）