android平台恶意行为分析

android平台恶意行为分析

随着移动设备功能的不断扩展，用户在使用移动智能设备时面临着越来越多的安全风险。Android系统的智能终端市场占有量极高,目前已成为最受欢迎的移动智能终端平台。但是,Android的流行也带来了很多的安全问题,不断发生的恶意吸费、窃听、位置信息泄露等安全事件使得Android成为了最容易被恶意攻击的智能终端平台。最近一两年,Android平台的恶意软件、木马,及被感染终端都呈现“爆发式”增长。当前Android平台的安全形势正在持续恶化,它的安全问题已经成为了信息安全领域的一个重要课题。1android应用程序支持平台Android平台整体架构分为应用程序(Application)、应用程序框架(ApplicationFramework)、核心库(Libraries)和虚拟机(AndroidRuntime)、Linux内核(LinuxKernel)这4个层次。Application层是用户应用层,包括一系列核心应用程序包;ApplicationFramework层是专门为应用程序开发设计的,允许开发人员访问开发程序所使用的应用程序编程接口(API:ApplicationProgrammingInterface);第三层主要与进程运行有关,核心库提供了Java编程语言的大多数功能库,同时每一个Android程序都由Dalvik虚拟机提供运行环境;最底层为Linux内核,它用于内存管理、进程管理、设备驱动管理和文件管理,同时保障系统运行的安全与稳定等1.1安卓移动智能设备面临的安全威胁由于Android平台的开源特性使得该平台极易被攻击,而攻击者可以通过很多种方法实现。下文重点阐述了几种恶意攻击手段。1.1.1android平台上的系统岩件特性针对Android平台的恶意软件主要有病毒和木马程序。这些移动智能终端的恶意软件的攻击目标是滥用网络,或者滥用设备的有限资源。前文中提到一点,由于Android系统的开源性,开发者能够自行制作并深度修改系统ROM。病毒及木马程序的作者正是利用了Android平台的这一特性,一方面制作含有恶意程序的系统ROM,并利用目前移动智能终端产业链的漏洞,将这些含有恶意代码的ROM刷进智能终端里再卖给毫不知情的消费者;另一方面,根据Android的封装形式,木马开发者可以将大量的时下流行的软件或者游戏进行反编译,植入扣费代码后再重新封装软件包,最后在各大第三方An-droid市场及论坛上发布。这种方法成本极低,批量生产十分简单方便,因此,目前Android平台有很多知名软件被修改。1.1.2智能手机互联网上的恶意程序智能手机开启了无线上网的新时代,随着3G的普及,用户通过手机可以收发邮件,下载软件,在线玩游戏,以及查阅各种新闻信息等。但是智能手机互联网的大量使用也给手机病毒的传播提供了通道。这种攻击主要是建立恶意网站和攻击原有的合法网站。这些被攻击的网站或者恶意网站可能会在用户的手机浏览器上运行恶意脚本。用户的手机浏览器如果运行了这种恶意脚本,那么可能会在用户的智能终端设备上下载恶意软件,或者对用户的隐私或者敏感信息进行泄露。还有一种方法就是利用社会工程学攻击,这也是一种网络攻击手段,比如最为典型的钓鱼网站就是利用这种方法1.1.3用户隐私信息被提取除了上述两种主要的攻击方法,还有一些安全隐患及威胁存在。例如,如果用户的移动终端上储存了个人敏感信息,这时数据丢失的风险就要特别在意。当终端丢失或者被盗,其他人就有可能通过提取内置SD内存卡这种简单的方法,造成用户私密信息的泄露或用户私密信息的丢失。除非移动终端已经由其拥有者设置了保护以禁止未经授权的使用,否则任何得到终端的人都能够与其所有者一样任意地查看手机信息。如果移动终端里面的机密信息(电话簿、短信、个人身份信息等)被他人获得并利用,则会给用户造成很大的损失。数据完整性攻击也是一种手段。这种攻击是指攻击者试图破坏和修改移动终端设备数据的所有者的许可。例如,攻击者可以把用户设备上的数据加密处理,除非用户支付一定的解密费1.2android平台攻击行为分类由于Android平台的特性,加之Android平台还不够成熟,Android程序的开发语言和程序包的管理机制还不完善,所以Android平台才更容易被攻击。攻击者会通过上文所提到的几种攻击方式来实施种种恶意行为,从而达到非法目的。目前,基于Android平台的恶意程序的主要行为有:恶意扣费和资费消耗、窃取用户个人隐私资料、损害手机功能、后台联网下载流氓软件等。其中,恶意扣费和窃取用户隐私资料的手段最为普遍(如图2所示)。下文中将会具体对各种常见的恶意行为的表现进一步说明。1.2.1后台联网扣费这种行为主要有以下几种表现形式。在软件或应用程序中嵌入恶意吸费代码的主要目的就是在用户不明的情况下骗取用户开通服务提供商(SP:ServiceProvider)业务,而发短信是最快捷的方法。于是,当前很多的Android移动智能终端病毒采用了外发短信的形式进行恶意扣费。其在植入终端中后会自动通过后台向特定的SP号段发送订购短信,一旦成功便立即扣费。这类以外发短信扣费的恶意软件中,还存在有拦截运营商短信这一共同的特征。其会自动屏蔽10086等扣费确认短信并回复,完成扣费后还可以自动删除短信记录。此过程完全暗箱操作,用户则毫不知情(2)自动拨号扣费除了发短信这种扣费方式以外,目前还存在自动拨号行为的Android恶意软件。其主要的特征是侵入用户的移动智能终端之后,会在后台控制终端自动拨打指定的业务号码,由于此号码默认情况会收取高额的SP费用,因此用户拨打后会造成很大经济损失。同时,在拨打电话的过程中,恶意软件将屏蔽所有前端提示,这样终端就能够不声不响地进行后台拨号行为。(3)后台联网扣费这种行为方式也是非常普遍的。由于移动智能终端上网功能的发达,加之流量费用的高昂,使得很多恶意软件也都会选择这种方式来使用户造成损失。一些恶意软件植入到移动智能终端之后,会自动进行后台联网,同时下载指定的恶意程序,通过Android移动智能终端后台自动刷取其他联网应用的点击量,通过不断重复操作反复消耗用户的上网流量。以上这些便是当前Android恶意软件存在的典型的扣费方式。另外还有一些软件存在扣费提示不明显的情况,让用户误以为是免费软件,误导用户付费;或者故意颠倒“同意付费”和“拒绝付费”的按键选项,恶意误导用户。这些扣费方式中订购SP业务最为普遍,主要原因是经济利益的驱动,通过这种方式SP服务商可以赚取巨额利润。而自动拨号和自动联网则属于资费消耗类,恶意代码从底层调用各类通信方式来实现。因为很多正常的应用程序需要对移动智能终端的API进行相关的调用,因此通常智能手机平台对这些调用都是开放的,通过AT命令都可实现通话、短信、彩信、数据连接的调用,如果彻底关闭这些API的调用则会严重影响智能终端上新的业务应用的开发。1.2.2系统的后域功能顾名思义,攻击者盗取移动智能终端上保存的通讯录、个人隐私信息,窃听机主通话,截获短信,篡改用户个人日程数据,对机主的个人信息安全构成重大威胁。以最近一款名为Android/Multi.dr的恶意病毒为例。它先是伪装成热门游戏NFL12,然后分成包括rootexploit,IRCbot和SMSTrojan三个部分。rootexploit会直接“root”设备获得系统最高权限,然后以Administrator身份执行代码连接到远程服务器,当获得权限并已经建立了连接之后IRCbots就可以通过系统漏洞获得敏感信息,一旦设备已经root,IRC程序也执行,就会以一张PNG图片的显示伪装起来,而SMSTrojan则将收集用户的各种短信、文档信息,然后连接传输到远程服务器上。还有一些恶意软件可以在打电话的时候后台录音,然后通过数据链接回传信息,或者直接在打电话时启动三方通话,第三方的发话器静音,从而达到窃听的目的。这些后门程序实际上是通过Android平台的漏洞来实现对用户数据的窃取。这种漏洞是普遍存在的,一旦被非法利用则危害很大并且很难控制1.2.3其他类型传播传播传播方式移动智能终端病毒除了进行上述两种比较普遍主要的恶意行为外,还有很多类型,典型的包括远程控制、系统功能性破坏、恶意传播推广广告等,都可以造成很大威胁。值得注意的是恶意传播推广,这一形式是从2012年第二季度开始最新才开始蔓延的病毒形式。2移动智能终端操作系统平台目前Android平台每月新增木马都远远超过Symbian、苹果、黑莓等平台,成为安全威胁增速最快的移动智能终端操作系统平台。Android平台存在着权限易于获取、应用上传审核不严、联网流量管理疏忽等诸多隐患。2.1系统权限的获取Android平台使用特有的权限机制来处理自身的一部分安全问题,应用程序在移动智能终端上安装时,程序将请求获得所必需的权限集合,当用户同意所有的授权后,程序才能安装。Android平台通过这种机制来限制应用程序的能力,防止程序越权操作。这种制度似乎非常健全,但是也存在一些问题。每个权限的处理必须交给用户,但是很多情况下,普通的用户根本不知道这些权限将会对移动智能终端造成哪些影响,也没有这种专业能力去鉴别,所以造成的结果就是大部分移动智能终端用户在安装应用软件时对权限申请漠不关心,等发现问题时已经造成了很大损失。另一方面就是root权限的获取。前文提到,Android平台是基于Linux内核,root则是Linux的超级管理员用户,具有最大的权限。在Android平台的设计中,默认用户不具有root权限。但是,最近Android出现了很多轻易获取root权限的方法,可举例如下:·用户为了更好地对智能终端进行操作(例如备份系统),主动利用第三方提供的软件获取root权限。·用户使用第三方自制的ROM刷机,而该ROM制作时已经获得root权限。·用户安装了某些恶意程序,这些恶意程序在用户不知情的情况下获得root权限。root权限一旦获取,不仅可以做到应用程序静默安装,还可以访问其他程序并且任意读写,修改和删除数据或者其他应用程序文件等,将会造成很大的安全风险。2.2上网流量的管理由于互联网的高速发展,Android平台的应用程序越来越多地需要使用网络,比如天气预报、手机聊天之类的软件。很多应用程序都内嵌广告插件,还有很多软件都需要频繁联网更新数据,这些操作都将消耗用户的手机流量,用户一旦不注意自己的流量管理,就会产生高额的流量费用。但是Android系统中并不具备流量管理功能,手机用户管理上网流量的意识也比较薄弱,很难察觉是否有恶意程序在偷跑流量。这就给了很多攻击者在用户不知情的情况下,肆意上传隐私和扣费的机会。2.3android平台二次审核的问题首先,Google应用商店GoogleMarket就存在安全审核漏洞。用户如果要在GoogleMarket发布应用,首先需要注册,然后支付一定的费用后才能发布。如果发布付费应用,还需要提供银行帐号,由Google认证后才能发布。这虽然很大程度上避免了用户使用虚假身份,但是在应用上架的时候,Google缺少二次审核过程,APP上传后会立刻发布,虽然被发现后会下架,但是从发布到下架这期间,如果用户下载安装了该软件,则损失已经造成了。而且有些开发者可以通过服务器控制危害行为的发生时间,可以在软件上架之后再触发恶意行为,所以通过审核的软件也存在一定的安全风险。其次,由于Android系统本身的特性,并不像苹果一样只有iTunesStore这唯一的官方应用软件商店,Android平台的第三方应用市场则是多如牛毛。这些第三方市场本身好坏不一,有些则是毫无审查机制,导致恶意、盗版、山寨应用层出不穷。可以说开发者如果想发布一款恶意软件的话,很多第三方市场几乎是零门槛通过。这就给普通用户防范恶意攻击造成了很大的困难。2.4android平台不完善与Symbian平台不同,Android平台的恶意软件成井喷式增长,主要原因是Android平台虽然底层可以用C/C++编程,但是应用开发主要还是使用Java语言,Java语言本身是解释性语言,很容易反编译。恶意软件开发者可以反编译获取源代码,然后修改代码植入恶意程序,再重新编译生成新应用程序包。由于Android平台缺乏全面的测试及数字签名验证机制,导致其批量植入恶意代码的成本进一步降低,因此才会出现目前恶意程序大面积泛滥的局面。另外,现在Android市场虽然方兴未艾,但是在中国方面,真正能从开发Android应用程序上大规模赢利的个人并不多,因此部分个人开发者开始走违规路线。例如,后台定制SP业务这种恶意行为,开发者通过与SP在扣费软件上的合作,可以获得一定比例的分成。3android平台安全的应对措施根据上述对Android平台的安全问题的分析可以看出,目前Android平台的安全能力还远远达不到诸如黑莓、苹果等其他平台的安全水平。但是,随着对用户对Android平台安全能力的要求越来越高,各种解决方案及应对措施也在不断地提出和完善。这些措施的提出将极大地降低Android平台的安全风险,改善现有的安全环境。以下是一些主流的解决方案。3.1控制api的滥用通过前文对恶意行为的分析,资费损失类恶意代码主要是通过主动调用短信、数据链接等API定制各种收费业务,并屏蔽二次确认来实现。隐私窃取类则主要是通过Android系统漏洞,调用诸如短信、定位、录音功能的API来实现的。为了防止此类恶意代码,比较有效的办法就是加强对系统API的调用控制。目前Android的程序虽然会在安装时提示该软件会具有哪些敏感功能,但是程序安装后,便无法改变程序的访问权限,只能卸载。这里就需要系统能够在软件安装后,还可以通过安全策略来对每一个软件能够访问的API加以控制和改变。操作系统需要建立类似于安全中间件的机制,当应用软件运行期间,如果程序需要调用敏感API,操作系统会给予用户明显的提示允许或禁止,包括文字或图标的提示,从而保证应用程序的所有行为都是可控的。除此之外,某些后果及其严重的恶意API调用出现时,操作系统应该能够自行判断禁止这类行为,方便非专业用户维护智能终端安全。以上这些机制需要各大厂商在研发基于原生Android的操作系统时,加入的安全策略。或者厂商也可以选择和市面上比较成熟的手机安全软件公司进行深度合作,在操作系统中预装一些第三方软件,由第三方软件来完成行为提示、监控、保护。3.2移动智能终端是否置增值业务对于Android内置恶意软件,可以采用证后监管的方法。终端上市后,由相关部门进行检测,检查移动智能终端是否内置增值业务,是否有后台数据链接,以及偷发短信等。采用这种方法,能够对移动智能终端厂商内置恶意软件起到很大的威慑作用,目前也取得了比较理想的效果。3.3控制传播途径很多的恶意代码,都是由于Android本身的系统漏洞引起的,由于漏洞不可避免,硬件或软件都或多或少会存在漏洞,只能通过不断发现漏洞并封堵的方法来减少。因此,针对这类的恶意代码还没有很好的解决方法,只能通过控制传播途径上进行防范。根据2011年手机安全报告显示,应用商店下载和通过wap/www网站下载软件这两种途径是Android平台上最容易传播恶意代码的方式。比较好的解决方法就是完善应用软件的认证签名机制。Android平台上的软件都需要有数字签名,但是这个程序包使用的数字签名可以是自签名的,不需要一个权威数字认证机构的签名认证。针对这一点可以向苹果公司学习。苹果公司要求所有的iPhone应用程序使用