外文翻译译文-统一的安全架构增强了Android操作系统

统一的安全架构增强了Android操作系统抽象在这几天有收集通过升级自己的特权，以对Android操作系统的更高级别的第三方应用程序拥有的敏感信息，许多恶意应用程序。在获得Android操作系统的根级权限的攻击可以严重威胁到用户，因为它可以打破整个系统的安全性。本文提出了一种新的Android安全框架，能满足以下三个目标：（1）防止特权升级攻击，（2）保持系统的完整性，以及（3）保护用户的个人信息。为了实现这些目标，我们提出的框架，引入了三个机制：root权限保护（RPP），资源滥用保护（RMP），及私人数据保护（PDP）。RPP跟踪信任的程序具有root级别权限的列表，并且可以检测和恶意软件试图非法通过利用系统级漏洞获取root级别的权限作出回应。RMP保持关键系统资源的清单跟踪和可被恶意应用程序保护系统资源的非法操作。PDP不断通过实施严格的访问控制，这样即使特权应用程序不能访问用户的私人数据，如果应用程序违反最小特权原则安全的个人信息。该框架是用实验的Android操作系统，这表明我们的框架来实现对平均处理的25.33，管理费用的目标验证。1引言随着智能手机使用率的增加，更多的开发商参与执行应用程序的智能手机（也称为应用程序的）。金光集团APP在苹果的AppStore的数量已报告超过3十亿1，而Android应用程序的预计，因为它具有开放式平台战略会超过这个数字。然而，在应用数量这一爆炸性的增加使得Android的安全性更为重要。在本文中，我们讨论了与智能手机的安全威胁，并提出了一种新的安全框架，特别是对Android操作系统（OS）。由于许多应用程序都通过各种第三方开发者和企业开发，Android操作系统将所有应用程序作为潜在的恶意。Android操作系统提供了两个安全特性实施：沙盒和权限的访问控制。每个应用程序都在它自己的虚拟机上运行，以便其执行是孤立的，而基于特权的访问控制编排数据，只由具有相关权限的应用程序引用。但是，Android操作系统的安全模式已被证明是仍然容易受到应用程序级的特权升级攻击2-6，包括副混淆攻击和共谋攻击。Android操作系统不处理传递特权用法，它允许应用程序绕过了权限模型所施加的限制。因此，基于权限的安全模型不能完全保护用户的个人信息下的特权升级攻击，作为一个结果，各种特权升级攻击已报道了Android操作系统。许多研究表明，恶意的应用程序可以安装在Android操作系统上，可以通过传统的攻击或特权升级攻击。在Android操作系统中，如果一个应用程序（或程序）获得root权限，应用程序可以完全访问到文件系统（我们指的是本申请特权应用程序）。由于特权应用程序有一个完整的访问权限系统，权限提升攻击授予恶意软件或未经授权的应用程序完全访问权限的系统。如果攻击者可以非法提升他/她自己root权限，他/她能够获得访问用户的智能手机的任何敏感数据。为了打击对策特权升级攻击，保护个人信息，各种安全扩展和增强了Android操作系统已经被提出，如XManDroid2，3，RGBDroid5，麒麟10，圣11，顶点12，TaintDroid1，叠纸13，等等。然而，正如我们将详细阐述对在宗相关工作的进一步的细节。2，没有一个现有的解决方案，充分，有效地保护用户的权限提升攻击的私人信息。有些方法无法检测传递许可使用攻击或不能保护系统免受恶意软件和复杂的运行时间攻击。其他依靠用户采取安全的决定或遭受效率低下。在本文中，我们提出了一个统一的，有效的内核级的安全框架，以（1）防止特权升级攻击，（2）从非法特权，禁止恶意的应用程序操纵关键系统资源，以及（3）保护用户的私人数据程序在Android环境。root权限保护（RPP），资源滥用保护（RMP），及私人数据保护（PDP）：我们提出的框架，可以通过引入三种机制保证了Android操作系统。该RPP机制利用一个数据结构，称为pWhiteList，其中跟踪使用root权限信任的程序列表中。没有记录在pWhiteList任何程序无法用root级别的权限运行。通过特权升级攻击获得root级别的权限后，如果有恶意软件或应用程序不就行了尝试打开，读取或写入文件，而相关的权限，我们的框架将检测并阻止使用RPP机制的访问。贼法牧机制跟踪重要的系统资源，使用CriticalList数据结构，是在Android操作系统至关重要。这种机制可以防止这种关键资源由连过程根级别的权限进行修改。为了确保包括智能手机中的私人数据的个人信息，我们PDP机制不允许信任的程序通过执行最小特权原则的基于权限的访问控制，访问敏感数据。攻击者或恶意软件可以直接利用在信任的程序漏洞具有root级别的权限或升级特权逃避RPP机制。该PDP机制可以通过禁止私人数据访问不受控制通过系统调用检查打败这个逃税。我们的框架使用的系统为中心的方法允许内核来执行基于文件和应用程序的用户ID的安全决策。所以它不需要应用程序开发人员的安全功能添加到他们的应用程序。我们表明，该框架有效地检测特权升级攻击，保持了Android操作系统保持一致，并通过提供额外的隐私保护措施的私人数据减轻了攻击的影响。2背景和相关工作在本节中，我们首先探讨如何安全的敏感信息已经通过在Android操作系统的特权升级攻击泄露。然后，我们调查了几个安全执法技术保护这些漏洞和讨论这些做法与我们有何不同。2.1通过特权升级攻击信息泄露Android操作系统支持多种安全功能，如基于特权的访问控制和沙箱14。特权的访问控制编排数据仅由具有相关的权限的应用程序进行引用。然而，在多个应用程序与不同的权限，这在机器人环境中经常发生，协作可能导致特权提升攻击2，3，5，6。特权升级攻击典型的例子是混淆副攻击和合谋攻击。迷茫副攻包括这样的情况下，一个恶意应用程序利用了其他特权（但混淆）的应用程序接口弱势。共谋攻击是该相互串通，结合自己的权限，恶意程序允许他们执行超出其个人的特权行为。特权升级攻击真正的问题是，攻击可以被利用来窃取私人数据，如报告几篇论文或文章，如基线桥6，DroidKungFu4，6，7，DroidDream4，6,8，和GingerMaster6,9。BaseBridge6进行权限提升攻击提升其权限，以便它可以下载和安装额外的应用程序到用户的智能手机。当安装了应用程序被感染，恶意软件尝试利用udev的网络链路的留言：验证权限提升漏洞9，以获得root级别的特权。所述BaseBridge恶意软件使用HTTP协议与中央服务器通信，并发送个人信息。BaseBridge也可以发送premiumrateSMS消息预定的数字是其作为AdSMS昵称的原因。2.2安全执法技术最近，各种技术已经被提出强制执行的Android操作系统更严格的安全，防止特权升级攻击。这些技术的例子包括麒麟11，圣12，顶点1，TaintDroid13，叠纸15，XManDroid2，3，RGBDroid5。麒麟系统是一个扩展到Android的应用程序安装程序支持基于安全的安装决策11。Android操作系统配备有大量的广泛的API（应用编程接口），包括API访问硬件，配置和用户数据。在与安全相关的机器人的API的用法可以监测和由安装管理系统控制。麒麟系统否认，涵盖了一组API，最终有一个潜在的违反一个给定的系统策略应用程序的安装。它检查的权限来推断的API的用法和维护预定义的安全规则，以匹配使用的应用程序的权限危险的组合。作为麒麟系统分别分析与静态规则每个单独的应用程序，就不能保护用户从该协作泄漏的应用程序。我们还提出了16创新机制RGBDroid。随着恶意应用程序正在演变婉转，他们中的一些可以通过开发以root特权信任的程序漏洞，逃避以前RGBDroid的保护。为了克服这一困难，在文献16设计了一个内核级私人数据保护（PDP）的机制，该机制限制访问由用户级应用程序所拥有的资源的根特权程序。在本文中，我们整合设计5和16中的所有建议纳入一个统一的系统架构，这也是本文以及我们以往的区别之一。在Android的安全模型发挥核心作用的两个重要部分是应用程序（或程序）和资源。在我们的统一架构，特权应用程序和关键资源由root权限保护（RPP）和资源滥用保护（RMP）的机制，分别调节。请注意，这些机制由于我们的看法，即应用程序和资源之间的交互可以被控制并通过良好定义的安全规则管理。另外，我们仔细认为，在Android操作系统，更多的特权应用程序可以访问由少特权应用程序拥有的数据的传统观念往往不足。我们争论评估与私密数据保护（PDP）机制。我们还进行实施的基于实验和分析在实际的机器人装置，其是本文和以往的另一个区别这个一体化的性能影响。3安全增强框架Android操作系统提供了一些基本的安全机制，如使用UID（用户ID）和GID（组ID）沙盒和文件的访问控制。然而，它是基于UNIX类的访问控制模型，所以根特权应用程序可以访问的任何资源，包括隐私敏感信息。因此，攻击者和恶意应用程序自然地集中在获得root权限。他们进行权限提升攻击，如通过获得root的shell或通过其他合法应用程序访问信息安装未经授权的应用程序，妥协的目标系统，窃取私人信息。在本文中，我们提出了一个统一的框架，以防止特权升级攻击，以维护系统的完整性，并保护用户的敏感信息。特权升级攻击定义为攻击者（或恶意的应用程序）开发的可信程序漏洞的root权限，让他们控制的程序，或者利用了系统程序授予攻击者提升漏洞的优势型入侵攻击访问系统。例如，进程vold（卷管理器守护进程），这是与Android操作系统的root权限执行的过程中，已经开发并执行攻击者指定的有效负载代码。3.1RPP（root权限保护）机制该RPP机制，采用了新的数据结构，pWhiteList，跟踪一组可以有root权限信任和授权程序的。这不是由pWhiteList结构上市的A程序不能访问资源的root权限。因此，即使恶意程序已经通过特权提升攻击获得的根特权，则不允许访问资源时，它不会被RPP机构跟踪。在Linux环境中，任何用户都可以成为超级用户，如果他/她知道root密码。另外，由超级用户创建的任何程序可以继承根特权。换句话说，也有很多的计划，利用root权限，这使得根特权程序和资源之间的相互关系相当复杂的。因此，采用本文提出的RPP机制不容易被部署在Linux环境。LIDS（Linux入侵检测系统）17，它以本文在PC环境中的类似的方法，需要相当大的配置开销。与此相反，在机器人的环境中，用户应用程序不能利用根特权的直接，且存在的，可以使用根特权程序的数量有限。我们的调查揭示，有26具有root权限的授权方案。因此，在当前的实现，我们实施这些计划26的pWhiteList结构。除了这26方案的任何方案都被拒绝打开或创建资源的root权限。它还可以防止根特权壳被执行，因为任何shell程序不在pWhiteList结构。3.2RMP（资源滥用保护）机制制冷剂管理机制引入了一个新的数据结构，称为CriticalList，跟踪一组系统资源不能由即使在根特权的应用程序进行修改的。这些系统资源包括几个关键资源，如中间件和配置文件，这可以是对攻击者的目标。举例来说，谁抓住了root权限的攻击者非法企图操纵关键的系统资源来执行恶意行为，如安装一个托管代码的Rootkit18。这些活动修改机器人中间件子系统，最终会影响对子系统中运行的所有应用程序的控制流。另一个实例是，攻击者通过操纵Android框架的配置文件进行各种恶意行为（例如，通过操作/系统/等重定向为特定URL到攻击者的服务器的请求/主机文件）。贼法牧机制不允许恶意软件的root权限修改关键的系统资源并不需要由root特权应用程序进行修改。请注意，访问这些资源由非root权限的应用程序由现有的Android安全机制受到限制。4实验为了验证我们提出的框架的有效性，我们进行三个实验的基础上经常出现在真正的Android系统3的恶意行为。为此，我们首先调查了现有的Android市场上的几个可疑代码，并分析他们的行为尤其要注重对特权升级攻击。然后，我们选择三种恶意行为：非法的rootshell收购，擅自改装的攻击（托管代码的rootkit攻击），以及信息泄漏。最后，我们研究如何我们提出的框架反应，这种攻击。实验已经进行了对HAndroSV210（HyBus_SV210）板，由三星S5PV210（的Coretex-A8）处理器，512MB的DDR2SDRAM，256MB的NAND闪存，和2GB的SD卡。在这个实验系统中，我们安装的是AndroidOS2.2的版本（升级Froyo），并实现我们提出的框架。4.1root的shell收购攻击与防范一旦获得root权限，大多数非法代码试图执行root的shell保留root权限或创建一个后门，并隐瞒自己的存在。然而，根据Android操作系统的安全模型，智能手机用户不能使用root权限直接。换句话说，外壳程序负责用户界面并不需要以root权限执行。因此，防止被以root权限调用的壳的有效途径，以保护特权升级攻击之一。4.2系统资源修改攻击与防范因为攻击者可以通过操纵关键系统资源做各种恶意活动时，他或她试图非法修改的资源。托管代码的rootkit18是攻击它操作所需的执行平台无关的语言的虚拟机资源。托管代码的例子是Java，.NET，PHP，Python和Perl等Android操作系统解释Java语言使用虚拟机，称为Dalvik的，这类似于JVM的修改版本。因此，托管代码的rootkit攻击可能通过操纵资源，运行Android的Dalvik虚拟机来执行。有多种运行在Dalvik虚拟机，从Java库，如Framework.jar和core.jar添加到位于/系统/框架/lib目录中许多本地库所需要的资源。它们可以是各种攻击的表面。Android操作系统的最新版本执行的Dalvik虚拟机，而不核实是否有这样的库被非法修改与否，使得rootkit的攻击可能通过操纵基础资源。4.3信息泄露和国防Android操作系统的用户产生的各种信息，如ContactsDB，邮件，浏览数据和日志。这种信息是由其中每一个文件是由它创建的文件的应用程序所拥有单独文件管理。Android操作系统支持的类UNIX文件访问控制工具，这样一个文件可以由所有者应用程序只操作。此外，根特权应用程序可访问的任何文件。因此，谁也通过利用各种系统漏洞可以通过执行特权升级攻击获取用户的个人信息获得root权限的攻击者。该RPP机制不允许未经授权的应用程序要与根特权执行。然而，该机制无法防止攻击利用受信任的根的程序漏洞，用户的个人信息。具体来说，攻击者可以利用这个拥有超级用户权限，可以委派访问权限使用的攻击，如ROP（返回面向对象编程）攻击19的应用授权或信任的程序漏洞。然后，由于读写系统调用与根特权执行隐私敏感用户信息可以被泄露。结论本文提出了一种新的Android的安全框架，以防止特权升级攻击，以及由具有root权限的应用程序，以保护用户防止非法访问个人信息。该框架是一个扩展和我们以前的作品，其中检测和特权升级攻击和信息泄露回应那些集成版本。拟议的框架已经利用了三种机制：RPP（root权限保护），RMP（资源滥用保护），和PDP（私人数据保护）。该RPP机制，保持信任的程序以root权限列表的轨道，防止攻击或恶意应用程序被用在了AndroidOS根级别的权限执行。但是，它可以通过利用具有root权限的信任的程序漏洞的攻击被绕过。为了解决这个问题，在PDP机制，强制执行隐私敏感信息，可以通过它的主人只计划访问的策略。这甚至不允许以root权限来访问应用程序拥有的个人数据授权程序。因此，PDP机制，可以保护用户的个人资料从具有root权限，而是由恶意软件或攻击者妥协的方案。贼法牧机制，跟踪一组关键的系统资源，维持系统资源被禁止的任何应用程序从Android操作系统修改关键资源的完整性。实验结果表明，我们的框架是有效地防止特权提升攻击和用户/系统资源。至于今后的工作中，我们有一个计划，通过实施机制越轻，以减少该系统的开销。参考文献1.NaumanM,KhanS,ZhangX(2010)Apex:extendingAndroidpermissionmodelandenforcementwithuserdefinedruntimeconstraints.In:Proceedingsofthe5thACMsymposiumoninformation,computerandcommunicationssecurity,pp3283322.BugielS,DaviL,DmitrienkoA,FischerT,SadeghiA-R(2011)XManDroid:anewAndroidevolutiontomitigateprivilegeescalationattacks.TechnicalreportTR-2011-04,SystemSecurityLabTechnischeUniversitatDarmstadt,Germany,June3.BugielS,DaviL,DmitrienkoA,FischerT,SadeghiA-R,ShastryB(2012)TowardstamingprivilegeescalationattacksonAndroid.In:The19thannualnetwork&distributedsystemsecuritysymposium(NDSS),Feb20124.HustedN,SaidiH,GehaniA(2011)Smartphonesecuritylimitations:conflictingtraditions.In:Procofthe2011workshopongovernanceoftechnology,information,andpolicies(GTIP11),Dec2011,pp5125.ParkY,LeeCH,LeeC,LimJ,HanS,ParkM,ChoS(2012)RGBDroid:anovelresponse-basedapproachtoAndroidprivilegeescalationattacks.In:The5thUSENIXworkshoponlarge-scaleexploitsandemergentthreats(LEET12),Apr20126.ZhouY,JiangX(2012)DissectingAndroidmalware:characterizationandevolution.In:Procofthe33rdIEEEsymposiumonsecurityandprivacy,May2012,pp951097.JiangX(2011)Securityalert:newsophisticatedAndroidmalwareDroidKungFufoundinalternativeChineseappmarkets.NCStateUniversity,June./faculty/jiang/DroidKungFu.html8.BradleyT(2011)DroidDreambecomesAndroidmarketnightmare.PCWorld,Mar./businesscenter/article/221247/droiddream_becomes_android_market_nightmare.html9.CVE-2009-1185./cgi-bin/cvename.cgi?name=CVE-2009-118510.JiangX(2011)GingerMaster:firstAndroidmalwareutilizingarootexploitonAndroid2.3(gingerbread).NCStateUniversity,Aug./faculty/jjang/GingerMaster/11.EnckW,OngtangM,McDanielP(2009)Onlightweightmobilephoneapplicationcertification.In:The16thACMconferenceoncomputerandcommunicationssecurity(CCS09),Nov200912.OngtangM,McLaughlinS,EnckW,McDanielP(2009)Semanticallyrichapplication-centricsecurityinAndroid.In:Proceedingsofthe25thannualcomputersecurityapplicationsconference(ACSAC09),Dec200913.EnckW,GilbertP,Byung-gonC,CoxLP,JungJ,McDanielP,ShethAN(2010)TaintDroid:aninformationflowtrackingsystemforreal-timeprivacymonitoringonsmartphones.In:Proceedingsofthe9thUSENIXsymposiumo