發(fā)布時(shí)間：2021-07-04 17:02

　　為了降低Android平臺(tái)受應(yīng)用層權(quán)限提升攻擊的可能性,研究分析了對(duì)利用隱蔽信道進(jìn)行的合謀攻擊具有較好防御能力的XManDroid模型,針對(duì)該模型存在無法檢測多應(yīng)用多權(quán)限合謀攻擊的問題,采用構(gòu)建進(jìn)程間通信連接圖并利用有色圖記錄應(yīng)用通信歷史的方法,提出了一種基于通信歷史的細(xì)粒度強(qiáng)制訪問控制模型。對(duì)原型系統(tǒng)的測試結(jié)果表明:所提出的模型能夠很好地解決XManDroid模型存在的問題。 

【文章來源】：計(jì)算機(jī)應(yīng)用. 2013,33(06)北大核心CSCD

【文章頁數(shù)】：7 頁

【部分圖文】：

三個(gè)應(yīng)用合謀(或合謀與混淆代理人攻擊協(xié)作)

已安裝的應(yīng)用數(shù)為|P|，需要進(jìn)行顏色更新的頂點(diǎn)所在連通圖的頂點(diǎn)數(shù)為N，在系統(tǒng)運(yùn)行當(dāng)中創(chuàng)建的文件和套接字總數(shù)為M，很顯然有N≤M+|P|。那么算法5的復(fù)雜度為O(N)≤O(M+|P|)，所以算法4的復(fù)雜度為O(M+|P|)。根據(jù)算法性能分析，本文模型在訪問控制響應(yīng)方面做到O(1)時(shí)間復(fù)雜度，優(yōu)于XManDroid的復(fù)雜度O(|P|2×|V|)。同時(shí)，由于本模型需要后期的顏色維護(hù)，且增加了顏色存儲(chǔ)，所以在后期維護(hù)和空間耗費(fèi)上高于XManDroid。但是，訪問控制響應(yīng)時(shí)間的縮短可以提高用戶使用體驗(yàn)。4原型系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)4．1圖的構(gòu)建與維護(hù)如圖4所示，系統(tǒng)中通信圖的構(gòu)建與維護(hù)(包括頂點(diǎn)顏色的更新)都由GraphManager服務(wù)來完成，該服務(wù)基于開源軟件庫JGraphT實(shí)現(xiàn)。通信圖存儲(chǔ)在數(shù)據(jù)庫SystemView中，除GraphManager以外的其他模塊對(duì)該數(shù)據(jù)庫只有查詢權(quán)限。引發(fā)圖的更新操作的事件只有三種:1)當(dāng)有新應(yīng)用安裝時(shí)，PackageManager會(huì)對(duì)安裝包進(jìn)行解析，然后將應(yīng)用信息(包括包名、申請(qǐng)的權(quán)限等信息)傳遞給GraphManager服務(wù)，由該服務(wù)構(gòu)建相應(yīng)的頂點(diǎn)(包括頂點(diǎn)顏色屬性)并執(zhí)行更新操作，如圖4中的a和b。2)在應(yīng)用創(chuàng)建文件或套接字時(shí)，由內(nèi)核層強(qiáng)制訪問控制模塊截獲I/O操作，并將創(chuàng)建的文件名/路徑或套接字的IP地址及端口號(hào)傳遞給通信圖的管理服務(wù)，由該服務(wù)構(gòu)建虛擬頂點(diǎn)并執(zhí)行圖的更新操作，如圖4中的①～③。圖4系統(tǒng)架構(gòu)3)系統(tǒng)在做出訪問控制決策之后，如果通信請(qǐng)求被允許，那么決策模塊會(huì)向圖管理服務(wù)發(fā)送一個(gè)更新消息(圖4中的4．1)，然后再向原生Android的引用監(jiān)視器回饋決策結(jié)果(圖4中的4．2)。管理服務(wù)在接到消息之后會(huì)建立相應(yīng)的通信邊并遞歸地更新頂點(diǎn)顏色。4．2訪問控制決策模塊訪問控制模塊由中間軟件層的安全服務(wù)MACChecker和內(nèi)核層的SELinux構(gòu)成，前

?建立通信連接會(huì)導(dǎo)致A的權(quán)限傳遞到B(表現(xiàn)為顏色渲染)，隨后B對(duì)SystemSettings的寫操作將會(huì)使A、B的權(quán)限并集傳遞到SystemSettings，所以當(dāng)C試圖讀取數(shù)據(jù)時(shí)，模型將SystemSettings被渲染的顏色與C進(jìn)行合并即可發(fā)現(xiàn)威脅t的存在。由此可以看出，本模型對(duì)該攻擊實(shí)例具有防御能力。利用構(gòu)建的攻擊實(shí)例，對(duì)原型系統(tǒng)進(jìn)行測試(原型系統(tǒng)運(yùn)行于模擬器中)，先運(yùn)行CallApperceiver，然后運(yùn)行AudioRecorder，之后撥打一個(gè)免費(fèi)電話，最后在點(diǎn)擊運(yùn)行AudioDeliverer并利用該應(yīng)用調(diào)用系統(tǒng)設(shè)置時(shí)應(yīng)用被終止，測試結(jié)果與理論分析相同，如圖6所示。圖6測試結(jié)果5結(jié)語本文在深入分析XManDroid模型存在的缺點(diǎn)和不足之后，引用模型原有的通信連接圖思想，加入頂點(diǎn)顏色屬性，通過顏色渲染實(shí)時(shí)記錄頂點(diǎn)通信歷史，基于通信歷史進(jìn)行訪問控制，對(duì)多權(quán)限多應(yīng)用的合謀攻擊具有較好的防御能力。模型存在的不足:1)僅考慮了頂點(diǎn)顏色的渲染，沒有考慮顏色清洗。當(dāng)通信結(jié)束之后，如果應(yīng)用已終止，且由它產(chǎn)生的數(shù)據(jù)已全部銷毀，那么就應(yīng)該去除它對(duì)其他應(yīng)用渲染的顏色，以防顏色污染造成的誤報(bào)。這涉及到很多復(fù)雜的情況，根據(jù)多種情況有很多具體的圖的操作，是一個(gè)難題，也是我們的下一步工作。2)模型中的顏色黑名單是一個(gè)靜態(tài)表，沒有提供用戶設(shè)置和更改接口，當(dāng)發(fā)現(xiàn)新的威脅，需要更新名單時(shí)只能重新編譯模型，下一步我們會(huì)對(duì)這方面進(jìn)行改進(jìn)。參考文獻(xiàn):［1］BUGIELS，DAVIL，DMITRIENKOA，etal．Towardstamingpriv-ilege-escalationattacksonAndroid［EB/OL］．［2012-07-20］．ht-tp://www．trust．informatik．tu-darmstadt．de/fileadmin/user_up-load/Group_TRUST/PubsPDF/NDSS_2012_Towards_Taming_Priv-ilege-Escalation_Attacks_on_Android．pdf．［2］DAVI

【參考文獻(xiàn)】：
期刊論文
[1]Android手機(jī)的輕量級(jí)訪問控制[J]. 劉昌平,范明鈺,王光衛(wèi),鄭秀林,宮亞峰.  計(jì)算機(jī)應(yīng)用研究. 2010(07)



本文編號(hào)：3265185