基于Android数据泄露动态监控系统

2013 年全国大学生信息安全竞赛作品报告作品名称： 基于 Android 数据泄露动态监控系统 参赛学校： 学院/系： 指导教师： 组 长： 组 员： 通信地址： 电 话： 电子邮箱： 提交日期： 2013 年 6 月 14 日 填写说明1. 所有参赛项目必须为一个基本完整的设计。作品报告书旨在能够清晰准确地阐述（或图示）该参赛队的参赛项目（或方案） 。2. 作品报告采用A4纸撰写。除标题外，所有内容必需为宋体、小四号字、 1.5倍行距。3. 作品报告中各项目说明文字部分仅供参考，作品报告书撰写完毕后，请删除所有说明文字。(本页不删除)4. 作品报告模板里已经列的内容仅供参考，作者也可以多加内容。目 录摘 要 .4第一章 作品介绍 .51.1 背景分析 .51.2 相关工作 .61.3 特色描述 .7第二章 实现方案 .82.1 总体结构 .82.2 模块实现 .92.2.1 敏感权限访问记录生成模块 .92.2.2 数据出口监控模块 .112.2.3 行为分析建模模块 .132.2.4 签名验证模块 .212.2.5 数据可视化模块 .232.3 关键技术 .282.3.1 权限权值分配技术 .282.3.2 数据可视化技术 .29第三章 性能测试 .313.1 总体测试方案 .313.2 测试环境 .313.3 详细测试 .323.3.1 性能测试 .323.3.2 压力测试 .36第四章 创新性 .384.1 应用程序动态权限可视化展示 .384.2 对用户透明的系统实时监控 .394.3 基于应用程序访问权限的数据泄露风险分析 .39第五章 总结 .40参考文献 .41第 4 页 共 42 页摘 要随着手机应用的普及，智能手机的隐私泄漏问题日益严重，现有的手机安全软件大多只针对手机病毒、系统优化加速、短信拦截等进行控制，无法直观反映手机中哪些应用程序涉及敏感权限访问，也没有提醒用户哪些应用可能会泄漏个人隐私或具有泄漏隐私的意图。针对上述问题，本作品设计并实现了一个基于Android平台的数据泄漏动态监控系统。该系统从底层捕获应用程序访问敏感权限记录，实现对敏感权限的监控，同时对手机出口数据的监测，利用数学建模的方法对监控结果进行行为分析，计算出当前时刻各应用程序的危险系数。为保证用户手机应用程序的可认证性，采用签名校验机制，对用户下载的应用程序进行签名验证，确保其未曾被第三方发布平台修改。最后将系统监控结果以数据可视化 1的形式反馈给用户，实现对用户透明的隐私数据监控。基于权限访问数据出口这一数据泄漏路径，该系统实现了对敏感权限访问以及短信、数据流量等数据出口的实时监控，形成了权限访问、数据出口、行为分析、数学建模、签名验证、用户反馈的体系结构。本文采用数学建模中的层次分析法 2为敏感权限分配权值，利用基于RGB颜色模型的颜色计算方法为用户界面处理色彩，在给用户可视化呈现反馈数据信息的同时，保证了系统数据的安全性。该系统站在用户体验的角度进行设计，结合数据化与图形化的展现方式，让用户可以直观地了解手机上各应用程序的敏感行为动态，同时可以定量评估各应用程序的危险度，便于其在必要时做出相应处理，有效防止了数据泄露，全面保障手机信息的安全性，充分体现了“以用户为中心”的思想。关键词：数据泄露，层次分析法，权限监控，可视化技术，移动智能终端第 5 页 共 42 页第一章 作品介绍1.1 背景分析近几年，Android 系统的普及十分迅速，在全球智能手机市场的占有份额已经超过 50%。Android 系统之所以备受青睐，是因为它具有开放性、可移植性、应用程序可并行运行等特色，同时 Android 平台也为应用开发者提供了更多的功能接口，增强了系统的可扩展性和可操作性。但同时 Android 平台的开放性和便利性也给恶意软件造成了可乘之机，使得 Android 系统面临着严峻的安全威胁。目前 Android平台上软件的恶意行为主要有以下几类：1. 窃取用户隐私信息该行为是指应用软件在未明确提示用户的前提下，通过网络或者短信等方式发送窃取到的用户隐私信息，包括用户的通讯录、通话记录、IMEI 号码、位置信息、邮件信息以及安装在手机中的程序信息等，将这些信息发送给开发者、广告商或者第三方厂商。2. 恶意扣费该行为有两种方式：一种为完全不提示用户扣费的信息，将恶意扣费代码内嵌到软件中，强制定制付费业务或者利用手机进行直接支付；另一种方式有不明显的扣费提示，或者让用户误以为是免费软件，或者故意颠倒“同意付费”和“不同意付费”的按键选项，恶意误导用户付费。3. 资费消耗该类软件会在用户不知情的情况下通过获取用户的通讯录、邮箱信息来大量发送短信、彩信和邮件，或者访问某些网站等，以造成用户的短信以及流量的消耗。4. 远程控制软件该类软件一般没有正常的应用功能，作为后台服务运行，进行恶意的操作，远程控制用户手机。5. 系统破坏该类软件的目的是破坏系统的稳定性，同时往往可以进行传播复制，不断将恶第 6 页 共 42 页意行为的影响范围扩大。国内 Android 系统面临的安全威胁最为严重，据文献 3的调查显示，全球的Android 系统安全威胁中，中国大陆地区以 26.7%的比例位居首位，其中以隐私信息窃取为目的的恶意软件高达 24.3%，位居所有恶意行为种类的首位。图 1-1 2012 年第一季度 Android 平台安全形势图因此保证 Android 平台上数据信息的安全、防止用户隐私数据泄露是一个极为重要的研究课题，具有很强的实用价值和指导意义。1.2 相关工作基于上述安全问题，许多安全软件应用而生，目前国内主流的三款 Android 平台上的安全软件是：360 手机卫士、腾讯手机管家、金山手机毒霸。它们针对上述软件的恶意行为主要做了以下几方面的工作：1. 手机病毒查杀通过监控对手机造成安全威胁的恶意软件的行为，扫描出病毒、木马以及恶意程序等，并将其清除。用户在使用该功能的时候一般需要三个步骤，首先将所使用安全软件的病毒库升级到最新版本，然后对手机进行全盘扫描，最后将病毒“一键清除”。该功能虽然使用起来方便，但对普通用户来说过于透明，没有量化所杀病毒的危险程度。第 7 页 共 42 页2. 隐私行为监控该功能主要是用于监控手机上各种软件对隐私文件的访问，例如读取联系人信息、读取短信记录、获取位置信息、获取通话记录等等。国内现有安全软件虽然可以进行权限的监控，但是监控的结果并没有一种直观、可视化的方式呈现给用户。3. 流量统计该功能是用于统计手机上每个联网程序的流量使用情况，包括上传量和下载量，并且用户可以设置流量的上下限，在流量使用超过设置范围之后，断开网络连接。该功能实现的是对已使用流量的统计功能，并没有显示当前时刻每种应用程序是否在使用流量，以及上传、下载速率。1.3 特色描述本系统借鉴了现有安全软件的优点，设计了权限访问监控、流量监控、应用程序危险度监控和签名验证四个功能模块，同时针对现有安全软件的不足之处，对系统进行改进，让权限访问、流量监控、危险值等以图形化的方式呈现，让用户及时了解到应用程序的敏感行为，防止造成数据丢失或泄露。与国内相关产品比较，该系统具有如下具体特色：1. 应用程序危险系数图形化呈现，直观、可读性强；2. 对用户透明的实时监控，包括流量监控和敏感权限访问监控；3. 对应用程序进行签名验证，避免用户下载恶意软件；4. 基于RGB 颜色计算 4的权限色块图；5. 使用方便、控制灵活、成本低廉、安全性高。第 8 页 共 42 页第二章 实现方案2.1 总体结构本作品实现的数据泄漏动态监控系统在分析了用户数据泄漏的必经路径之后，提出基于权限数据出口的监控策略。整个数据泄漏动态监控系统结构模型如下：图 2-1 数据泄露动态监控系统结构框图系统基于底层权限访问数据库，判断是数据出口是否存在数据流出，经过行为分析数学建模的核心计算后，最终延伸到上层的用户交互层。敏感权限访问记录生成模块在底层捕获应用程序的敏感权限访问情况，并记录在数据库中，提交给上层第 9 页 共 42 页的行为分析建模模块进行分析。数据出口监控模块立足于手机数据的出口，旨在监控数据流量，同时也监控短信的发送情况。行为建模分析模块采用数学建模的方法，结合程序的敏感权限访问情况和数据出口流量情况，采用数学建模的方法分析该应用程序的行为，最后提交给用户交互模块，并帮助用户进行分析。用户交互模块采用数据可视化的方式，让用户直观地了解到手机中各应用程序访问了哪些敏感权限，是否有非授权流量或短信的流出，同时系统还可视化地给出了应用程序的危险系数和行为分析。最后，签名验证模块实现了应用程序 APK 的签名验证，有效减少了打包应用 5对手机的威胁。2.2 模块实现基于权限数据出口 6的策略，我们将具体实现分为五个模块。敏感权限访问记录生成模块将应用程序访问指定敏感权限的行为记录下来。数据出口监控模块主要是针对 SMS 短信出口和数据流量出口进行监控。以上两个模块将结果提交给行为分析建模模块进行行为分析建模，计算出应用程序的危险系数，并以可视化的方式呈现给用户，同时给用户提出分析建议。签名验证模块主要是针对国内良莠不齐的软件提供商现状，帮助用户识别软件是否被第三方发布平台修改。2.2.1 敏感权限访问记录生成模块Android 平台的 Permission 机制本质上是一种访问控制机制 7。一个应用程序如果没有在安装时声明对应的 Permission，那么在运行过程中将不能进行相应的操作，也没有办法动态获取 Permission。应用程序在安装到 Android 系统之前，系统安装程序会让用户检查其 Permission 请求。如果用户发现不能接受应用程序的 Permission请求，就拒绝该应用程序的安装。应用程序的这种 Permission 确认机制将系统资源的访问授权最终交给了用户，体现了以用户为中心的思想。但这种用户 Permission确认机制存在问题如下：1. Android 系统的 Permission 安装确认是粗粒度 8的，即用户只有全部接受这些Permission 或者全部拒绝，而不能选择部分接受；2. 这种用户 Permission 授权是一次性的，应用程序被安装后将不能更改其第 10 页 共 42 页Permission 声明。用户在迫切需要使用一款应用程序的功能时，就不得不完全允许应用程序的权限访问。安全意识淡薄的用户甚至根本不会去关心一个应用程序会访问哪些权限。因此，在应用程序获取到敏感权限后，如何监控其行为是一个很重要的问题。从数据泄漏的角度，恶意软件想要获取用户的数据首先就要获取相应的权限并对其进行访问。针对用户手机隐私情况，我们选取了 8 种较为敏感的权限 9进行监控：1) 发送短信2) 读取联系人数据3) 读取通话记录4) 获取您当前位置5) 获得 IM