Android安全機制及應用軟件安全性的研究

李文龍 王靈莉

（中國海洋大學信息科學與工程學院，青島 266100)

1 概述

Android是以Linux為內核的開放式的手機操作系統，采用了整合的策略思想，包括底層Linux操作系統、中間層的中間件和上層的Java應用程序。Android系統是由應用程序層、應用程序框架層、Android程序庫、Android運行庫、Linux內核層組成的。

應用程序層：應用程序包包括E-mail客戶端、SMS短消息、日歷、地圖、瀏覽器、聯系人管理程序等。

應用程序框架層：開發者完全可以訪問核心應用程序所使用的API框架。該應用程序架構用來簡化組件軟件的重用，任何一個應用程序都可以發布它的功能塊并且任何其他的應用程序都可以使用其發布的功能塊（不過得遵循框架的安全性限制）。該應用程序重用機制使得組件可以被用戶替換。

Android程序庫層：各種不同組件所使用的C/C++庫集。該庫通過Android應用程序框架為開發者提供服務。主要包括：系統C庫、媒體庫、Surface Manager、LibWebCore、SGL、SQLite等。

Android運行庫層：核心庫提供了Java編程語言核心庫的大多數功能。由Dalvik Java虛擬機和基礎的Java類庫組成。

Linux內核層：核心系統服務依賴于Linux 2.6內核，如安全性、內存管理、進程管理、網絡協議和驅動模型。Linux內核也同時作為硬件和軟件堆棧之間的硬件抽象層。

2 Android的安全機制

Android是一個支持多任務的系統，而且每一個應用程序或者是系統程序都只在自己的進程中運行。在一定程度上，由于Android采用了Linux內核，每一個應用程序都會被分配用戶和組群ID號，在這種情況下，系統和應用程序之間的安全性就大大加強了。而且Android對于像修改系統文件等的特殊操作進行了限制，只有那些得到用戶允許的應用程序才能夠進行。在Android的框架層，谷歌已經綁定了幾種安全機制。這些安全機制大致可以歸為三類：Linux機制，運行環境特性和Android固有機制。

2.1 Linux機制

每個安裝在Android設備上的應用程序，Android就會給予一個UID(user ID)。這個UID可連結到該應用程序的 AndroidManifest.xml檔案的內容。所以用戶在安裝應用程序時，就可以在屏幕上查看這個 AndroidManifest.xml檔案的內容。通過查看這個檔案，用戶可以了解到應用程序的目的、權限等。當用戶接受這個應用程序的意圖、權限說明之后，Android才進行安裝，并給它一個UID。如果在應用程序執行期間有越軌(企圖做出非權限范圍)的行為時，用戶將會得到Android的警告訊息。而且Android還引入了沙箱的概念來實現應用程序之間分離并且具有允許或拒絕一個應用程序訪問另一個應用程序資源的權限。

Android應用程序運行在它們自己的Linux進程上，并被分配一個惟一的UID。默認情況下，運行在基本沙箱進程中的應用程序沒有被分配權限，因而防止了此類應用程序訪問系統文件或資源文件。但是Android應用程序可以通過AndroidManifest.xml檔案請求權限或者與其他受信任的應用程序運行在同一進程中，從而共享對其數據資源的訪問，這樣，Android應用程序就可以允許其他應用程序訪問其資源。這就像在通信錄中調用短信應用給一個聯系人發短信，然后可以編輯短信、發送短信、也可以在短信中添加一些資源作為附件。雖然短信是通過通信錄調用的，但是在通信錄中不能直接進行編輯短信，發送短信等操作，也不能訪問那些短信應用能訪問的資源。

在Android系統中，對文件（包括應用程序文件和系統文件）的訪問都要遵循Linux許可機制。在Android中的每一個文件都會被賦予用戶和組群ID，還有能代表其屬性的三元組-rwx。在三元組中，第一個元素代表擁有人的權限，第二個元素代表同組群的權限，第三個代表其他非本組群的權限。一般來說Android的系統文件的所有者都是系統或者root用戶，而應用程序文件的所有者都是應用程序指定的用戶。對不同文件的訪問權限是有Linux的用戶管理機制所制訂的，換句話說，對同一個文件的訪問權限，不同的用戶是不相同的。同樣的道理，由于用戶ID不同，普通用戶不能像操作應用程序一樣操作系統文件，這樣也就保護系統文件免受破壞。而由應用程序所創建的文件，由于用戶ID不同，其他的應用程序是不能訪問的，除非通過sharedUserID，多個應用程序分享同一個ID，這樣就能陪著多個應用程序到一個進程內，相互之間就能訪問數據。

另一方面，由于系統鏡像是以只讀形式掛載的，以上說提及的各種安全措施的安全性就又進一步加強了。而且，重要的可執行文件和配置文件都存儲在ramdisk（也是只讀的）或者系統鏡像里，就算在厲害的黑客，在沒有得到root權限之前也是不能替換或者修改重要文件的。

2.2 運行環境

一個現代操作系統的必要條件，是內存管理單元--對進程分配不同的虛擬內存空間的硬件設備。進程只能訪問自身分配的內存空間，而不能訪問其它進程所占用的內存空間。因此，進程的權限提升的可能性受到限制，因為其不能運行在系統特權級內存空間。

類型的安全性所指的是系統所用編程語言的特性。Android系統所用的Java語言可以說是目前最安全的一種程序設計語言。Java的安全在語言級上提供了良好的安全措施，主要是：嚴格遵循面向對象的規范、無指針運算、數組邊界檢查、強制類型轉換、語言對線程安全的支持。此外，java的安全還通過編譯器、檢驗器、類裝載器、建立安全策略等方式保證了java程序的安全性。

2.3 Android固有機制

在Android系統中，應用程序層最重要的安全機制就是權限控制。這種權限控制能夠有效的限制應用程序只能進行權限所賦予的操作。應用程序的權限是由包管理器在安裝時賦予的，在運行時由應用程序框架層執行權限控制。在Android系統中大約有一百個內建的權限，這些權限控制如下的操作：撥號(CALL_PHONE)、拍照(CAMERA)、訪問互聯網(INTERNET)、鍵值監聽(READ_INPUT_STATE)、編寫短信(WRITE_SMS)等。任何一個應用程序都需要在安裝的時候在配置文件(AndroidManifest.xml)中聲明所要取得的權限。每一種權限都有一個保護級別，而每一種保護級別則代表了此種權限對于系統和其他進程的威脅。保護級別總共分為四種：normal，dangerous ，signature ，signatureorsystem。normal的權限只要申請了就可以使用；dangerous的權限在安裝時需要用戶確認才可以使用；signature和signatureorsystem的權限需要使用者的app和系統使用同一個數字證書。

通過組件封裝，應用程序的內容能被其它程序訪問。除此之外，Android組件內容不允許被其它程序訪問。這種功能主要通過組件中定義讀取（exported）操作。如果設置為否，則組件只能被程序本身或擁有同一ID的程序訪問。反之，則可以被其它應用程序調用或訪問。

Android中每一個程序都被打包成apk格式以方便安裝。apk文件與 Java標準 jar文件相似，它包含了應用程序所需的全部代碼。apk文件也包括所有非代碼資源文件，如圖片、聲音等。Android要求所有應用程序都經過數字簽名認證。簽名文件通常是 Android確認不同應用程序是否來自同源開發者的依據。

3 安全隱患

從上面的分析來看，Android已經內置了各種安全機制來保護系統安全和用戶隱私。一個應用程序在未獲得權限的情況下不能訪問系統文件和用戶文件，更不能修改這些文件。但是這種看似完美的權限機制也存在著安全隱患。Android系統相比IOS、Windows Phone等手機操作系統來說，其優勢在于Android是一款開放式的手機操作系統。所謂開放式操作系統就是源碼公開，用戶可以在此基礎之上做相應修改。對于大多數Android手機使用者來說，買回來手機的第一件事就獲取手機的root權限，刷人自己喜歡的rom，把手機打造成獨一無二的的樣式，而非IOS等的千篇一律。并且在各大論壇上就能免費的下到最新的應用程序。這也許就是Android的魅力所在，但是絕大多數的用戶在獲得root權限，安裝這些免費軟件的時候根本不會在意Android的應用程序所取得的權限，而這恰恰將用戶和手機陷入各種安全隱患之中。

通過專業反編譯工具Java Decomplier對應用程序源碼分析后就能清楚的得知有些應用程序所隱含的目的。在對常用的100個應用程序反編譯分析得出，有13個應用程序具有竊取用戶信息的特質。

在這些竊取用戶信息的程序中主要是針對用戶的手機號碼，手機IMIE碼和位置信息。而這些信息的獲取都是需要獲得權限的，這正是Android的核心安全機制所在。但是大多數用戶最為關心的是實用和方便，并不在意權限的分配，這就使其淪為安全隱患。加之地下灰色產業鏈利潤的驅動之下，使得這些竊取用戶信息的應用程序更具有商業價值。

結語

本文在對目前市場占有率第一的Android系統的安全機制進行了分析，對其系統架構和存在的安全隱患進行了介紹。不可否認，Android手機操作系統得到了世界范圍內的喜愛。Android手機用戶不在局限于單一的系統樣式，不在需要購買價格不菲的游戲或者應用，但是手機用戶應該清楚的認識到這免費的午餐中所存在的隱患。Android是一款非常出色的智能手機操作系統，在其快速發展中不可避免的存在不完善的地方，相信google也會在今后的發展制定出有效得應用程審核和管理機制，這樣就能減少用戶的損失。

[1]郭宏志.Android應用開發詳解.北京：電子工業出版社，2010.

[2]Shabtai A,Fledek Y,Kanonov U,et al.GoogleAndroid:acomprehensive security assessment.IEEE Security&Privacy,2010:35-38.

[3]Burns J.Developing Secure Mobile Applications for Android[R].Technical Report,iSEC,2008.

[4]Enck W,Ongtang M,McDaniel P.Understanding android security.IEEE Security&Privacy,2009;7(1):53-54.