Android智能終端安全綜述

許艷萍，馬兆豐，王中華，鈕心忻，楊義先

?

Android智能終端安全綜述

許艷萍1，馬兆豐1，王中華2，鈕心忻1，楊義先1

（1. 北京郵電大學信息安全中心，北京 100876；2. 國家計算機網絡應急技術處理協調中心，北京 100029）

針對Android智能終端安全問題，構建Android智能終端安全分層體系。首先從遠程防盜、生物身份驗證和硬件安全模塊方面闡述了Android設備安全的安全威脅及保護措施，然后從無線安全網絡、病毒傳播查殺和防釣魚攻擊說明了Android網絡安全的隱患及防范，之后從內核安全、本地庫運行時環境安全和應用框架安全角度介紹了Android操作系統安全的研究內容，接著從靜態檢測和應用行為動態檢測、應用加固和應用評估方面展示了Android應用安全的研究成果，接下來著眼于數據本身總結了Android數據的追蹤、加密和備份等安全保護技術，最后結合實際需求展望了Android安全未來在安全增強框架、智能應用行為分析等方向的發展。

Android；設備安全；網絡安全；系統安全；應用安全；數據安全

1 引言

Android系統是2007年Google公司發布的基于Linux內核的開源操作系統，主要應用于智能手機、平板Pad、智能手表等智能終端。自發布以來，系統的開源特性廣受智能設備廠商及開發人員的推崇，廣泛應用于金融、政府、交通、教育、軍事、汽車、家居、能源等重要領域。IDC調研顯示，2015年Android智能手機的出貨量達到14.3億部，占全球智能手機市場份額的82%。

360互聯網安全中心發布《2015年手機安全狀況報告》[1]顯示，2015全年截獲的Android平臺新增惡意程序樣本為1 874萬個，較2013年，2014年分別增加了27.9倍和5.7倍，累計約3.7億人次Android用戶感染到惡意程。根據危害結果將Android病毒分5大類：移動支付(60%)、資費消耗(14%)、隱私竊取(20%)、遠程控制(2%)、黑客工具(4%)[2]。Android病毒最常做出的前3位惡意行為是資費泄露隱私、權限提升、流量消耗[3,4]，智能終端安全正面臨著嚴峻的考驗。

由于Android平臺開放的生態，每一個Android設備中安裝的軟件可能來自于Google、手機開發商、芯片廠商和不同應用開發者等，軟件組件很難遵從統一的開發、測試、審計標準，因而質量參差不齊。對惡意攻擊者和安全研究者來說，卻是一個很好的研究目標。

參照信息安全技術體系設計原則[5]，將Android智能終端安全層次劃分為設備安全層、網絡安全層、系統安全層、應用安全層和數據安全層，每層針對受到的威脅采取相應的安全防護措施[6~9]，從而達到5個安全目標：保密性、完整性、可用性、可控性和不可否認性。Android智能終端安全分層體系如圖1所示。

設備安全層。Android終端設備是應用和數據的載體，主要研究設備丟失情況下的遠程防盜、基于生物特征的身份驗證和硬件安全模塊內容。Android設備中存儲了大量的個人隱私數據，如短信、通訊錄、照片等[3]，如果在設備丟失或者繞過身份驗證被非法人員操作的情況下，隱私數據很容易被竊取?；赬MPP的協議遠程對終端設備下發指令控制設備[10]；基于指紋、人臉、虹膜等人體生物特征的身份驗證拒絕非法終端用戶登錄，打造安全的設備環境；采用硬件安全模塊，基于硬件實現高性能安全加密和身份驗證等功能。

網絡安全層。Android智能終端互聯互通，形成無線通信網絡，主要研究無線安全網絡、病毒傳播查殺和防釣魚攻擊等。Android智能設備通過采用安全無線路由器、加密VPN服務[11]等方式，構建安全網絡接入環境，保障數據安全傳輸；Android病毒以短信、彩信、二維碼、偽裝應用安裝等方式傳播擴散，通過特征識別，利用云計算、大數據技術智能化地檢測病毒是阻斷病毒傳播擴散的有效方式[12,13]；釣魚攻擊是移動互聯網面臨的重大威脅，檢測方式包括黑名單、異常檢測和機器學習智能檢測等。

系統安全層。針對Android智能終端操作系統，按照系統層次研究內核安全、本地庫和運行時環境安全、應用程序框架安全。通過內核增強[14]、漏洞挖掘[15]、內存防泄漏、系統防ROOT方式保護內核安全；通過安全沙箱機制、ART機制、組件間安全通信保障本地庫和運行時環境安全；通過權限機制和簽名機制保障應用程序框架安全。

應用安全層。針對運行在Android智能終端上的應用安全，主要研究惡意應用靜態檢測、惡意應用動態檢測、應用安全加固和應用安全評估。靜態檢測研究應用逆向工程、特征提取、機器學習智能檢測、重打包檢測等內容；動態檢測主要研究動態行為獲??；應用安全加固可采用代碼混淆、應用加殼、防反編譯[16]等方式。通過建立評估體系和評估標準，評估惡意應用給系統和數據帶來的風險[4,17]。

數據安全層。保護Android終端設備存儲上的數據安全，研究數據偽造及跟蹤[18,19]、加密[20]、云備份、數字版權保護、安全支付等內容。隱私數據是Android終端設備上最具有核心價值的部分，保護設備、網絡、系統、應用的安全，終極目的是保護數據的機密性、完整性和可用性，通過偽造及跟蹤、加密、云備份、數字版權保護、安全支付等保護方式，直接保護隱私數據的安全性。

鑒于Android廣泛的市場應用，學術界的專家學者對其安全機制進行了諸多研究，主要圍繞權限增強管理、應用安全分析、隱私數據防泄露等方面，并取得顯著成果。本文在廣泛閱讀文獻的基礎上，總結了Android平臺在設備安全、網絡安全、系統安全、應用安全和數據安全方面的研究成果，并根據當前研究工作的不足展望了幾點未來的研究方向。

2 Android移動終端設備安全

2.1 遠程防盜

實現Android智能終端遠程控制的方式有基于HTTP協議的遠程數據傳輸、基于RDP協議的遠程桌面控制[21]、基于XMPP的即時消息推送[10]等。

基于XMPP協議的遠程防盜是當前比較流行的終端設備保護方式，XMPP協議具有超強的可擴展特性，服務端和智能終端可約定通信指令[22]。應用時，首先將用戶信息和設備信息注冊到控制端，制定保護策略，如數據備份和刪除、遠程鎖定、遠程定位等。一旦終端設備丟失，通過控制端下發指令對終端設備定位、對屏幕遠程鎖定、更換SIM卡鎖定設備、刪除短信和通訊錄等隱私數據等，減少因設備丟失造成的損失。目前，主流的智能終端廠商都提供對終端遠程防盜的服務。

遠程防盜已經成為終端安全的標配功能之一，其優點是即使終端不在身邊，只要確定身份合法也能夠方便地實施操作，尤其是在設備丟失的情況下，遠程定位、遠程刪除和鎖定對于找回手機、保護隱私有重大意義，但對于網絡的要求很高，一旦設備離線，便不能發送控制指令，而通過短信發送指令是另一種有效的途徑。

2.2 生物身份驗證

人體的生物特征往往具有唯一性，如指紋、掌紋、聲音、虹膜、人臉、步態、脈搏、運動特征等，科技界已經逐漸將這些特征作為身份識別和驗證的重要手段[23]。Android SDK從1.0版本中就已經集成了簡單的人臉識別功能，而OpenCV開發包集成了更專業、快速、高級的人臉識別算法。自2013年7月芬蘭 Uniqul公司首次推出基于臉部識別系統的支付平臺，目前互聯網金融企業正在研究將人臉支付運用于Android支付系統。

目前有很多Android終端設備搭載了指紋識別技術，利用指紋識別傳感器及指紋模式支持指紋鎖，作為安全工具、硬件平臺和操作系統三方支持的安全模式，不僅簡便了解鎖的過程，還把非法用戶阻擋在外。但是這種防護手段已被黑客攻陷，他們發現了指紋識別框架下的漏洞，輕松地繞過指紋識別器，從而執行任何操作，而且還能夠直接拷貝用戶的指紋信息，在更大范圍內威脅用戶的個人信息安全和隱私內容。在此情況下催生出了更高級、更安全的身份驗證方式——眼球識別技術。目前這種技術的安全性還沒被突破，眼球樣本信息不能被復制，但在識別范圍和識別準確率方面還需要進一步改進。另外，Google正在測試利用用戶的動作震動或者任意活動手機，將動作幅度或者頻率作為鎖屏和解鎖的方式，從進展來看，這是項極具挑戰性的工作。

從發展趨勢上看，利用人體生物特征作為唯一的識別標識，是Android智能終端領域經久不衰的應用研究，在識別校準和準確率方面還需要提高，而其性能在大數據方面也在不斷探索。

2.3 硬件安全模塊

出于對移動終端中隱私數據提供集中的安全保護考慮，智能終端廠商設計并實施了硬件安全模塊（HSM, hardware security modules），直接連接到系統總線上，基于硬件實現高性能密碼和密鑰管理功能，提供的服務包括安全存儲、安全加密、身份驗證等。嵌入式安全技術供應商Discretix公司研發的CryptoCell安全模塊具備PKI引擎、對稱引擎、散列引擎、隨機數發生器、安全密鑰和完整性驗證等6個可配置的功能模塊，加速執行各種驗證和加密功能，對整個智能終端設備的發展將產生積極的影響。在國內，華為作為手機終端的領跑者，通過硬件安全模塊與麒麟操作系統協作，徹底杜絕刷機解密等操作的可能性。

硬件安全模塊在保證數據保護、安全支付等方面更專業，效果更明顯，隨著智能終端對安全愈加重視，必將成為重要的保護方式。

3 Android移動終端網絡安全

3.1 無線安全網絡

Android智能終端通過GPRS、無線Wi-Fi接入網絡可滿足用戶隨時隨地上網的需求。無論使用哪種方式，開放的網絡環境中，用戶執行登錄賬號、支付等敏感操作時，易遭到黑客攻擊導致隱私泄露，常用的攻擊方式有嗅探、釣魚攻擊、中間人攻擊、惡意DNS篡改、遠程執行、XSS跨站腳本、電磁信號干擾等[24]。

Ma等[25]針對商業Wi-Fi網絡提出混合式的惡意網絡接入點檢測方案，主要采用無線掃描和集中流量監控方式發現惡意AP，并且保護網絡免受惡意AP的侵害，優點是不需要專門的硬件并且適用于任何網絡標準。

無線路由器通常采用WPA/WPA2加密的方式保障密碼的安全性，但是通過多次逆運算之后，這種加密能夠被破解，需要探索另外的方式保證無線口令的安全性?，F在的手機安全防護軟件也集成了安全監測功能，防范DNS、ARP、虛假Wi-Fi、加密及釣魚等攻擊。

Wang等[26]針對Wi-Fi驅動的Fuzzing測試框架，通過構建數據分組實施針對Wi-Fi通信的攻擊，這種框架不僅能發現已知攻擊，在發現未知攻擊方面也效果顯著。

針對Wi-Fi竊聽問題，可采用加密的VPN服務，將所有傳輸流量都進行加密，無論通信鏈路是否安全，都能保證數據的安全[11]。

3.2 病毒傳播查殺

自2010年來，每年都爆發多次手機病毒危機，在移動互聯網絡上迅速傳播，波及范圍廣泛，十分具有破壞性。每個季度網絡安全公司都會發布Android手機安全報告，通報當前手機病毒及手機感染病毒的情況等。將Android病毒按照危害特征劃分為多個家族：AnserverBot、BaseBridge、DroidKungFu、DroidDream、FakePlayer、Geinimi、GoldDream、GingerMaster、Zsone、SndApps等[3,27]。Android病毒按照危害行為劃分為木馬類、后門類、蠕蟲類、僵尸網絡類、間諜竊取類、欺騙類等[3]。手機病毒利用通訊錄群發短信、彩信、電子郵件和掃描驗證碼、二維碼方式擴散傳播，造成隱私數據泄露、資費消耗、破壞系統等后果。

病毒具有逐利性，發展技術和種類總是層出不窮，但是反病毒技術的發展只能僅僅追逐于病毒更新的速度，往往反病毒技術只能應對已知的病毒，對于未知的病毒，專家正著眼于利用云計算、大數據資源基于機器學習、深度學習算法等方式，自動化、智能化地根據行為特征對其進行查殺，并按照其執行的操作將其劃分到不同的種類[27,28]。

3.3 防釣魚攻擊

手機終端綁定銀行、支付和社交等賬戶，容易遭受不法分子的覬覦，他們往往通過網頁釣魚、短信釣魚、應用釣魚、郵件釣魚等誘惑用戶[29]，2015全年360手機安全防護軟件共攔截各類釣魚網站攻擊48億次[1]。

釣魚網站攻擊檢測和防范成為當務之急，常用的方法有黑名單、異常檢測和機器學習智能檢測等。Bottazzi等[30]提出釣魚檢測框架MP-Shield，分析URL鏈接，集成了基于公共黑名單的瀏覽器檢測插件，同時實現了機器學習檢測引擎，包含J48、SMO、BayesNet、IBK和SGD算法，確保手機終端免受0Day釣魚攻擊。

Wu等[31]提出輕量級檢測工具MobiFish，檢測手機Web網頁、應用和登錄賬戶上遭遇的釣魚攻擊。MobiFish應用OCR技術提取截屏中的文本信息，通過文本中聲稱的身份信息與網頁URL和APP中實際的身份信息比較，給出釣魚警示，而不像其他方法那樣，分析HTML源碼、IP地址、搜索引擎[32]，或者采用機器學習算法[33]證明該方法能有效檢測和防范釣魚攻擊。

受到利益的驅使，釣魚網站層出不窮，廣大終端用戶應當使用主流的安全防護軟件，它們基本涵蓋了已知的釣魚網站黑名單，能夠很好地攔截非法釣魚鏈接。同時，用戶應提高警惕，不受誘惑，不點擊未知鏈接，并且不泄露身份信息和財產賬戶信息等。

4 Android系統安全

4.1 Android系統內核安全

4.1.1 內核增強

Android系統內核的安全威脅一方面繼承自Linux系統漏洞，另一方面源于Android平臺本身不完善。在Android系統內核訪問控制增強研究方面，Shabtai等[34]提出將強制訪問控制子系統SELinux植入到Android平臺中，以限制應用對系統資源的訪問，增強Android系統安全，是首次提出的高效低耗的系統增強方案。Smalley等[35]實現了基于SELinux內核開發一套MAC中間件擴展Android權限模型，隔離應用間的數據交互。

實際應用上，從Android 4.3以來，正式引入基于MAC的SELinux安全機制，稱為SEAndroid，用來強化操作系統對應用的訪問控制，起到類似沙箱的執行隔離效果，阻止惡意應用對系統或其他應用的攻擊，還有效地減弱內核層出現漏洞時產生的威脅。

4.1.2 漏洞挖掘

任何系統在邏輯設計和實現上都存在缺陷或者錯誤，Android系統亦不例外，2015年，Google成立了Android Security Rewards項目，用于獎勵Android系統漏洞發現者。歷年共公布600多條系統漏洞，覆蓋到內核層、Native層、框架層及應用層，包括內存溢出、權限提升、組件交互、硬件資源調配等各個方面[36]。

傳統的漏洞挖掘方式分為主動方式和被動方式，主動挖掘方式分為人工挖掘、靜態挖掘和動態挖掘，被動挖掘方式分為攻擊分析和補丁分析[37]。Android平臺的漏洞主要分為常規漏洞和權限提升漏洞，通過分析邏輯規則的合理性，編寫Fuzz測試用例，構建漏洞知識庫是一種有效的漏洞發掘方式。

Zhang等[37]提出Android平臺漏洞挖掘4層模型，針對攻擊樣本、攻擊方法、修復補丁，分析漏洞存在的可能性，利用Fuzz測試方法和攻擊挖掘方法，有效地挖掘出系統漏洞、應用漏洞、權限提升漏洞等。

比較嚴重的Android系統漏洞執行方便、涉及范圍廣、無需主動觸發、隱蔽性強，一旦被黑客利用，造成的損失不可估量。對于Android系統本身來說，漏洞挖掘是個持續的過程，漏洞挖掘得越徹底，系統將修補得越完善。

4.1.3 內存防泄漏

Android系統每個版本中都存在內存泄漏問題，即應用進程中一些對象沒有使用價值了，但還占據著內存空間，拒絕被GC回收，導致實際可使用內存變小，系統運行越來越慢，用戶體驗越來越差。內存泄漏產生的原因有類的靜態變量持有大數據對象、資源對象使用后未關閉、注冊對象未反注冊、集合中不用的對象沒清理、Handler臨時性等[38]。使用DDMS、MAT工具可查看內存使用情況。

Shahriar等[39]在研究資源對象導致內存泄漏的情況時，編寫Fuzz測試用例，研究應用bitmap and imageview、event listener、animation activity、static object、AdView object等對象時是否產生內存泄漏。而針對context、內部類、數據庫操作等其他行為是防內存泄漏需要進行的進一步深入研究。

4.1.4 系統防ROOT

Android系統刷機是將刷機包中的系統文件寫入ROM存儲區，替換原生系統文件，再次啟動時，從ROM中載入最新替換過的系統文件。本質就是系統文件的覆蓋和替換操作，會破壞原有系統的權限機制，而來源各異的刷機包中可能集成了大量的惡意軟件或病毒，留下隱患，因而刷機要謹慎[40]。

另一種破壞終端安全機制的方式是對終端ROOT，利用操作系統漏洞獲取最高的ROOT管理權限，任意訪問和修改所有的文件。這種方式的優點是用戶可以完全控制終端，缺點是黑客也能夠利用病毒輕而易舉獲得ROOT權限，導致終端完全暴露出來，可能產生嚴重后果。Android 5.0版本采用增強SELinux后，常用的ROOT方案已行不通，必須通過刷內核的方式，這需要解鎖bootloader，而一旦鎖定bootloader，能夠實現防ROOT破解。

4.2 本地庫和運行時環境安全

4.2.1 安全沙箱機制

Android 4.4以前的運行時環境為應用程序的正常運行提供了核心鏈接庫和Dalvik虛擬環境，采用沙箱機制隔離各應用程序之間的運行環境。每個應用作為一個Dalvik虛擬機實例獨立地運行在一個進程內，Android系統為每個應用分配一個UID，保證應用的文件、數據相互獨立存儲。通過設置sharedUserID，使多個應用程序具備相同的UID，從而共享數據和權限。

這方面的安全問題主要集中在應用之間利用IPC突破沙箱隔離，導致權限提升、信息泄露、惡意攻擊等。權限提升是一種很嚴重的威脅，使未申請權限的應用執行授權操作[41,42]，破壞了程序安全運行環境，因而對Android應用沙箱的安全防護一定程度上體現在對權限提升漏洞的檢測和修復，對權限提升攻擊的檢測和防護將在4.3.1節進行詳細介紹。

4.2.2 ART機制

Android 5.0運行時環境采用ART機制，只在應用安裝時進行一次預編譯，將程序語言轉化為機器語言代碼存儲在本地，而Dalvik虛擬機機制在應用每次編譯時都要編譯，每次程序運行時都將程序語言轉換為機器語言。因此ART機制使應用的啟動和執行更加迅速，效率也更高，但是在應用安裝時耗費更多時間預編譯，運行時占有更多內存。如何優化ART機制產生的內存問題需要不斷深入研究。

Demertzis等[43]提出SAME，在ART虛擬機中分析應用程序的類，采用基于BBO的多層感知器，并行運行粒子群優化（PSO）、蟻群優化（ACO）和遺傳算法（GA）等算法，以區分應用是否是惡意。

4.2.3 組件間安全通信

Android應用由Activity、Service、Broadcast Receiver和Content Provider 4類組件組成，組件之間通過Intent進行交互，隱式Intent容易引發惡意調用、惡意發送廣播、activity劫持、惡意service啟動等[44]問題。這方面的研究方案主要集中在基于上下文感知環境構建組件調用圖檢測數據泄露的路徑。

Enck等[45]指出組件間通信缺少對信息流的監控，存在信息泄露的風險。傅建明等[46]針對國內流行的應用程序研究采用靜態分析方法構建其CFG（控制流程圖）、FCG （函數調用圖）和CCG（組件調用圖）主要檢測隱式Intent可能引發組件劫持、信息泄露和組件的權限泄露問題。

確保組件間安全通信可采取的措施有最小化組件暴露、設置組件訪問權限、檢查暴露組件的代碼等。

4.3 應用程序框架安全

4.3.1 權限機制

1) 保護ROOT權限

ROOT是Android平臺中唯一的超級用戶，管控所有系統資源，據iiMedia Research統計，近30%的用戶對自己的手機終端ROOT，利用獲取的ROOT權限卸載預裝的應用程序，再安裝第三方軟件管理權限、系統文件等，這無疑為病毒非法入侵打開了方便之門。

Android 4.4之前，用戶無法自主管理應用程序的使用權限，除非使用第三方軟件，而Android 4.4之后，Android原生系統集成了SuperUser權限管理程序，這對Android權限管理具有里程碑式的意義。

ROOT權限對于系統資源的安全保護具有很重要的作用，輕易不要對終端設備ROOT，而在未破解ROOT的情況下，如何更深層次地調配系統資源并保護系統安全穩定地運行是需要考慮的。

2) 應用程序權限增強管理

Android 4.3以前的原生系統對權限的管理是粗粒度的，即應用在安裝時，權限之間的關聯關系沒有明確告知用戶，用戶設置全接受或全否定應用申請的權限；在應用運行過程中對權限的使用零監控。Google開發文檔提供了詳細的開發資料，卻對權限的使用說明涉及較少[47]，這導致開發者對權限申請過度。權限的使用貫穿應用程序的全生命周期，在應用的開發、安裝和應用過程中都占據重要地位，Android權限機制實現如圖2所示。

①權限提升監測和防護

應用運行時，一些應用在自身沒有申請權限的情況下，通過其他應用獲取權限進而獲得訪問資源的資格，這種行為稱為權限提升。Schlegel等[48]提出一種手機木馬Soundcomber，本身不具有操作音頻的權限，卻通過其他應用的權限獲取音頻數據，這是利用Android系統隱蔽通道的典型例子。Davi等[41]展示了在沒有短信權限的情況下如何發送短信。Grace等[49]提出權限提升檢測工具Woodpecker，檢測出有些軟件不遵守權限機制，將保護隱私數據的權限暴露給其他應用。

在權限提升防護方面，研究成果包括Saint[50]、XMAndroid[51]、Quire[52]、IPC Inspection[47]、CHEX[53]、DroidAlarm[54]等。權限管理增強框架Saint[51]，對應用APK文件增加權限和策略信息，安裝時規定具體權限被授予給其他應用的情況，運行時檢查組件間的通信，一旦應用之間權限驗證失敗，就無法交互。安全監控框架XMAndroid[52]，利用Android系統的隱蔽通信通道，構建無向圖，動態監視應用之間的權限使用情況，通過設置安全策略，阻斷應用之間利用間接獲得的權限執行未經授權的操作。各方案比較如表1所示。

表1 權限提升監測和防護方案比較

抗混淆副攻擊系統Quire[53]，跟蹤IPC和RPC的調用鏈，每個應用向被調用者傳播其調用鏈的上下文以驗證權限是否符合，并驗證接收到的數據是否可信，如果不符合則拒絕。防跨應用越權操作的IPC Inspection機制[47]，通過分析IPC傳遞事件信息和權限信息，將被調用應用的有效權限減少為調用與被調用應用權限的交集，防止應用發起混淆代理人攻擊導致惡意入侵。同Quire一樣，IPC Inspection也無法檢測所有的通過隱蔽通道傳輸的信息流。

組件漏洞檢測方式CHEX[54]，靜態分析應用的數據流檢測應用是否存在權限泄露、未授權數據訪問、Intent欺騙等問題，檢測應用是否存在組件劫持漏洞，對Android系統開銷低。

權限提升發現工具DroidAlarm[55]，靜態提取惡意應用的所有公開接口及聲明敏感權限信息，采用數據流跟蹤算法發現權限提升問題。

權限提升攻擊檢測的方式有多種，主要都是通過監控應用間的權限使用情況，發現越權非法訪問資源的威脅。就靜態檢測方式而言，如果應用受加殼、混淆保護等，將無法有效檢測；而動態檢測能夠實時檢測應用進程間的通信，是比較有效的檢測方式。

②權限模型擴展和增強

對原生Android權限框架進行擴展，應用安裝時，設置策略檢測權限并修改權限申請，應用運行時，跟蹤并操作權限使用情況，從各方面增強權限機制，從根本上改善權限管理。

Enck等[55]提出輕量級應用檢驗工具Kirin安全規則，設置靜態權限組合策略，應用安裝時，對申請的權限進行檢測，若違反策略則認定應用為惡意應用并拒絕安裝，以防止隱私泄露。這在業界是首次提出的權限增強方案。

Nauman等[56]提出權限策略擴展框架Apex，在應用安裝時，檢測應用權限，允許用戶有選擇地授予權限，并且還能夠自定義限制資源的使用情況。

Felt等[57]提出權限靜態檢測工具Stowaway，根據API與權限的映射關系，得到應用申請的最小權限集，并用其檢查應用過度申請權限的情況。之后，有很多學者基于此方案進行了擴展和深入的研究。Geneiatakis等[58]結合運行時的信息和靜態分析的數據判斷應用是否過度申請權限，是否遵從了最小權限集原則，這種方式不用修改應用的源碼也不用修改Android系統的底層代碼，最大程度上減少對系統運行的影響。

Holavanalli等[59]提出權限擴展機制Flow Permissions，根據數據與敏感API的對應關系，利用工具Blue Seal靜態分析應用，顯示應用的權限關聯信息及與其他應用間暗含的權限關聯信息，提醒用戶可能存在的威脅。

Barrera等[60]用自組織映射方法分析應用程序，研究權限的設置粒度是否合理及權限間的關系，并提出權限增強安全模型以識別頻繁使用的權限。

以上這些權限管理方案都能從某個角度發現問題并起到保護作用，但又都各有局限性，如果將XMAndroid、Kirin、Saint、Quire等方案結合，將更全面地保護Android系統的安全。

隨著Android原生系統的不斷改進及安全防護軟件的升級，權限管理的粒度越來越細化，支持用戶自主管理應用的權限，根據需要主動打開或禁用具體應用的指定權限，如用戶可禁用聊天軟件開啟攝像頭的權限或者禁用網銀軟件讀取通訊錄的權限等。

4.3.2 簽名機制

應用的簽名信息表明APK安裝程序的來源。在Android平臺上，所有的程序都必須有簽名，否則不允許安裝。簽名是保護應用的第一道防線，比較簽名信息可判斷應用是否重打包。

2013年先后爆出3個MasterKey簽名漏洞，惡意應用能夠繞過數字簽名校驗過程，在不被用戶察覺的情況下進入Android系統，達到惡意目的。漏洞爆出之后，百度安全實驗室很快提出DroidSploit解決方案，保護Android免受此漏洞的威脅。

實際上，Android應用的簽名機制還不夠完善，簽名的時間戳和文件路徑能夠被隨意修改，這致使攻擊者能夠繞過驗簽過程，存在惡意應用能夠輕易安裝的隱患。

5 Android應用安全

Android平臺上的應用安全研究主要集中在通過靜態分析和動態分析的方式[61]提取應用的特征，判斷是否是惡意應用，確保應用的安全運行。Android惡意應用的研究方法和理論主要借鑒PC上的經驗，困難之處在于Android平臺硬件資源相對匱乏，對性能消耗過大。現在正逐漸針對Android平臺的特性，借助云計算等計算優勢檢測安全。

5.1 惡意應用靜態檢測

靜態檢測就是使用反編譯等逆向工程手段，分析代碼文件，提取應用程序的特征，如簽名、權限、敏感API調用等，再通過樣本比對或機器學習的方式，判定是否惡意。靜態檢測方式簡單且效率高，但是無法分析混淆、加密等惡意代碼。

5.1.1 逆向工程

靜態分析的第一步就是逆向工程。一種方式是采用dex2jar工具將DEX反編譯成Java源碼，采用AXMLPrinter2工具處理AndroidManifest.xml文件，采用jd-gui工具查看Java源碼，提取表征應用的特征信息。另一種方式是使用APKtool和Smali，將APK文件逆向成Smali文件[62]。其他反編譯工具還包括Dexdump、Dedexer、androguard、IDA PRO等。

Enck等[63]提出Dalvik反編譯器Ded，將DEX文件反編譯成Java文件，再對應用進行控制流、數據流、數據結構和語義分析，發現其漏洞和威脅。

5.1.2 應用特征提取和分析

逆向工程之后得到可讀的Java或者Smali代碼文件，再基于語義從文件中提取能代表應用的特征，如Intent、簽名、API函數、類、常量、權限、組件等，通過分析這些特征，判斷是否是惡意應用[64]。

Shabtai等[65]直接從APK文件中提取應用的APK、XML和DEX文件信息，再使用機器學習算法自動化區分應用的類別。

AndroidManifest.xml中是APK文件中最重要的一個文件，描述了應用實現的類、權限、組件、簽名、各種被處理的數據和啟動信息等。解析該文件中的信息標簽，可以在一定程度上判定是否是惡意應用。這方面的研究成果來自Sarma[66]、Sato[67]、Wu[68]、Weichselbaum[69]等。

以權限為判斷特征，分析申請的權限組合，或者設置Kirin安全規則[55]，或者將權限與API調用合并起來作為特征構建高維特征向量[13]，或者基于權限的行為路徑[70]，都可以對應用進行安全檢測。

函數調用能夠反映應用的行為，Strace是Android平臺上的系統調用跟蹤器，顯示其他進程的系統調用信息，包括參數及返回值；Androguard是Google 提供的靜態分析工具，將APK文件中的DEX文件、類、方法等都映射為python對象，用于惡意軟件檢測和惡意評估，分析過程可視化；使用PScout工具[71]，分析API函數調用與權限檢查的情況，構建函數調用圖，形成各個API函數的權限映射關系；Aurasium[72]在應用程序中嵌入跟蹤代碼，截獲程序的系統調用實現對短信、終端信息、網絡等資源使用的監測；基于語義學的DroidSIFT原型系統[73]，提取應用的API，構建基于加權上下文的API調用依賴圖，并引入應用的相似性來判定變種惡意應用或0Day應用。

利用Intent傳遞消息可以被嗅探、篡改或竊取，惡意程序借助Intent偽造、注入惡意消息使得用戶數據被污染。Chin提出[44]Comdroid，根據Intent分析應用，警告存在的漏洞。Arzt等[74]提出污點分析系統FlowDroid，實現對應用信息流的管理。

簽名能夠判斷應用，Hu等[75]提出使用命令從DEX文件中提取簽名信息作為訓練集，再采用字符串相近算法提取簽名信息以檢測惡意應用，有較高的檢測效率和準確度。

使用單一特征分析應用存在漏檢和誤檢的情況，可考慮采用多類特征綜合分析的方式。通過動態和靜態分析應用，提取權限、組件、敏感API、行為調用序列等特征，對各類特征分別選取最優的基礎分類算法，得到惡意應用綜合判定結果。

5.1.3 機器學習智能檢測

機器學習具有大規模數據處理能力，能在相似的數據結構中做出對目標的判斷。在對大量Android應用進行惡意判定時，引入機器學習算法對應用進行智能分析是非常合適的，常用機器學習算法包括樸素貝葉斯（NB, naive Bayes）、決策樹（DT, decision tree）、-最近鄰（KNN,-nearest neighbor）、支持向量機（SVM, support vector machine）、-means等。早在20年前，就有專家學者基于機器學習的各種算法對惡意代碼和惡意應用進行檢測，而在Android應用檢測方面，也已經有很多嘗試。Android機器學習惡意應用檢測結構如圖3所示。

Schmidt等[76]采用CART、prim和KNN算法通過靜態分析對DEX文件中的調用函數進行機器學習；Wu等[68]提出DroidMat，以權限、Intent、API為特征，使用-means和EM聚類算法對惡意應用行為建模再采用KNN和NB分類算法判定惡意應用，有較高的執行效率和可擴展性；以API調用和權限為特征，Peiravian等[13]使用SVM、CART和Bagging 3種機器學習方法，Gates等[77]采用基于正則邏輯回歸的概率判別模型，檢測應用分類；而Yerima[27]等運用NB方法對Android惡意軟件進行分類。

在對上述機器學習算法綜述的基礎上，進一步總結出各主要算法的特點和優缺點，如表2所示。

利用機器學習歸納出已知應用的類別，有效預測未知的惡意代碼。目前，基于機器學習的檢測技術可以去人工化，提高應用分析的效率，有很廣的應用前景，但是這種方式嚴重依賴于提取的應用特征和應用樣本的質量，工業應用時，往往根據不同的應用場景，調用不同的機器學習算法，而且其復雜度和準確率都待改善，這將成為未來惡意檢測研究的重點。

表2 機器學習算法的特點和優缺點

5.1.4 重打包檢測

對應用逆向工程之后，若繼續將應用安裝到智能終端上，就需要對其重打包，重打包的應用很可能攜帶惡意代碼，對此，檢測應用是否重打包意義非凡。先后有專家學者提出檢測工具DroidMOSS[78]、DNADroid[79]、Juxtapp[80]和SCSdroid[81]，分別采用模糊散列算法、構造應用程序類中的方法構造程序依賴圖、特征散列算法，計算軟件市場上的應用軟件與官方市場中的軟件的相似性，當相似性大于一個閾值時，則判定為重打包軟件，用戶安裝需謹慎。

Zhou等[78]提出DroidMoss，比較官方應用與第三方應用市場上應用的開發者信息和代碼指令的散列值，判斷應用是否被二次打包。缺點是難以獲得所有的官方原始應用，因而檢測覆蓋面較小。Lin等[81]提出SCSdroid，提取線程的公共系統調用序列，根據公共調用序列可以檢測應用，而不用獲取原始應用，實驗證明這種方式的正確率高達95%。

5.2 惡意應用動態檢測

對惡意應用動態檢測，提取應用運行中的關鍵數據為特征，通過異常檢測或機器學習的方式，實現智能化的檢測分析。動態檢測繞過了靜態方法遇到的代碼混淆和加密等問題，對于新出現的未知惡意軟件也能保持較好的檢測準確率。但是實時性不高，提取特征耗費時間較長，消耗較多系統資源，而且很難覆蓋到應用的全部執行路線，比較難發現特定條件下發生的惡意行為。

隨著云計算技術的不斷發展，通過云計算對惡意樣本進行維護，有效解決樣本庫內容不斷增加的難題，突破了樣本庫維護的局限，還把應用智能分類的核心計算部分移到了云端，降低了終端上的開銷。

基于云計算的Android應用動態檢測，首先在手機終端捕獲應用行為，提取特征，傳輸到云端，再在云端對應用行為進行異常檢測，再將檢測結果返回到Android終端，由終端對異常行為做成阻塞或者中斷處理[82,83]，Android動態行為檢測架構如圖4所示。

應用動態分析可監控軟件安裝和卸載、聯網、收發短信息、后臺撥打和接聽電話、操作數據庫、權限檢查、文件接收和發送、攝像頭操作等行為?？刹捎?種方式獲取行為信息：第1種是靜態注入技術，對應用程序反編譯嵌入監控API調用的源碼，再編譯和重打包，將修改后的應用安裝到Android平臺，應用運行時，監控代碼便能實現對行為的跟蹤；第2種是API Hook技術，在Android平臺上對敏感API進行Hook，一旦系統或應用對特定的API調用時，可截獲調用函數，將其重定向到代理函數，在代理函數中獲取該API調用的詳細信息，即可獲取行為信息；第3種是進程捕獲，提取關鍵行為的特征。如何實現應用行為監控，如何提取行為特征，研究者們開展了廣泛而深入的研究。

Xu等[72]提出Aurasium，在應用程序中嵌入跟蹤程序，截獲應用程序的系統調用，檢測短信、設備信息、網絡等資源的使用情況。

Bl?sing等[84]提出應用沙箱AASandbox，在隔離的環境中對應用進行靜態和動態分析，檢測惡意應用；Shabtai等[14]提出基于行為的惡意軟件檢測系統Andromaly，收集Android平臺運行各種特征，通過-means、DT、NB、LR等機器學習算法對收集到的數據分類，并比較了各種算法的準確性。

Burguera等[83]提出Crowdroid，在Android端使用strace追蹤器采集行為數據，傳到分析服務端，利用分類器訓練這些行為樣本，使用KNN算法判斷應用是否含有惡意行。

另外，還有其他幾種應用動態分析工具，如Droidbox、SandDroid等。它們都能夠捕獲網絡數據，包括監控網絡、文件、短信泄露的信息等，是具有一定成熟度的動態分析工具。

5.3 應用安全加固

隨著Android應用逆向工程的快速發展，對應用破解變得輕而易舉，對應用開發者來說，辛苦開發出的成果可能被惡意者植入病毒、篡改、劫持等非法利用，把良性應用變成惡意應用被用戶拋棄，對用戶來說，安裝被反編譯過的應用存在很大風險。鑒于此，應用的安全加固必不可少。

應用安全加固主要采用的技術是防反編譯，禁止調用gdb、gcore從內存中截取DEX文件以防內存竊取，禁止向進程中動態注入代碼以防動態跟蹤，校驗APK完整性以防惡意篡改等，且加固后的程序不影響其運行效率和用戶體驗。

比較流行的應用防反編譯的方式有代碼混淆、加殼等，但最有效的是NDK開發應用，編寫Native代碼，即使應用被反編譯，也無法得到C/C++代碼，導致無法閱讀和修改全部應用代碼。另外，還可以通過代碼加密技術對NDK應用加殼，使程序破解難上加難，但這也對開發人員的技能要求很高。

總之，對Android應用程序的保護方式有很多種，而真正保證安全，還是要尋求更可靠的加密方式，希望在這方面引起學者足夠的重視及更多的投入。

5.4 應用安全評估

惡意應用產生的威脅程度需要通過建立評估體系和評估標準，從多個角度進行評價，最后綜合得到一個結果，反映出應用的脆弱性和風險。

Grace等[61]將惡意應用的風險等級分為3級：高級、中級和低級。根據利用系統漏洞跳過合法權限破壞系統判定為高級風險，根據造成用戶隱私泄露和經濟損失判定為中級風險，根據收集設備信息和用戶信息判定為低級風險。通過這3種風險判別，發現了大量0Day漏洞。MWR InfoSecurity提出應用安全評估框架Drozer，通過分析應用程序與Dalvik、其他應用及底層操作系統的交互數據，發現漏洞。

Wang等[17]提出基于權限的安全風險評估框架DroidRisk，將應用的風險量化，并且能夠提示潛在的惡意行為，但是一旦應用申請的權限過度，需要考慮其他因素使用其他方式來評估風險。

對Android應用風險評估，幫助用戶了解惡意軟件可能存在的攻擊路徑，指導使用者更好地保護他們的隱私數據，以規避可能受到的攻擊。

6 Android隱私數據安全保護

6.1 隱私數據偽造和跟蹤

隱私數據偽造是保護數據的一種方式，當應用被惡意訪問時，為了保護自己的隱私數據不被泄露，提供虛假的數據。在這方面的研究成果主要有TISSA[85]、MockDroid[18]和AppFence[86]等。他們都能夠對外提供偽造的數據，包括位置信息、設備ID、聯系人信息等。

對敏感數據做污點標記是隱私數據保護的另一種方式，跟蹤數據的流向，記錄到日志，為數據溯源提供依據。在這方面第一個研究成果是Enck等[19]提出的污點標記系統TaintDroid，此后，有多名學者在此基礎上進一步研究，提出了各種污點數據跟蹤系統，如AndroidLeaks[87]、Kynoid[88]等，都能夠跟蹤數據去向，分析應用程序當中是否存在隱私泄露行為。

6.2 數據加密

加密是對數據保護最直接的一種保護方式，Android平臺上的數據加密主要體現在對短信、通訊錄、通話記錄等SQLite數據庫中的數據加密，以及對圖片、音頻、視頻等文件數據加密。通常采用透明加解密方式，即加解密過程都在后臺進行，用戶感知不到，且不改變用戶對數據的使用習慣，這就對加解密在效率、安全性、開發難度、移植性上達到平衡有較高要求。

對SQLite數據庫數據加密的方式一般有2種，一種是在數據入庫、出庫時進行加解密操作，但是不利于加密信息的檢索；另一種是對整個數據庫文件加解密，普遍采用這種方式，通常采用AES或DES等加密算法。

Wang等[89]實現基于FUSE的文件透明加密系統EncFS，用戶創建目錄作為文件系統，所有寫入該系統的文件都會被加密。該系統支持AES和Blowfish加密算法，經過不斷優化，加密文件系統對原系統的性能影響不大。

Android 5.0采用全盤加密來提升安全性能，所有寫入硬盤的數據均需要先加密，所有讀取的數據都需要先解密。不足之處在于，大多數硬件設備上的閃存并沒有自帶加密標準，在開啟全盤加密后，使機器性能大幅下降。然而，可通過采用更快的閃存芯片和更快的文件系統如F2FS、優化SoC等方式進行改進。

6.3 數據云備份

云服務已經成為智能終端的另一標配，基于云計算將智能終端上的數據遠程備份到云端，包括通訊錄、短信、圖片等個人隱私數據。日常時將終端設備上的數據同步到云端，當終端數據遭受損失時通過網絡恢復數據到本地，或者實現多個設備間的數據統一。同時，云備份還具備定時增量備份、加密存儲、數據管理和恢復等功能。

為了保證數據在網絡傳輸過程中不被竊聽、非法攔截，智能終端與云端備份服務器通信主要是基于SSL協議，提供雙向認證、數據加密、數據完整性驗證等服務。Android對SSL協議有很好的支持，用到的相關類在javax.net.ssl、java.security及javax.crypto包中。

6.4 數字版權保護

數字版權保護（DRM, digital right management）從技術上防止數字內容被非法復制、篡改，只有授權后才能合法使用，達到數字內容版權保護的目的。Android平臺集成了OMA DRM 2.0的部分功能，提供了一個可擴展的數字版權管理框架，Marlin DRM也是廣受認可的內容保護及內容管理的開放標準，不同的DRM解決方案可通過Plugin方式集成到Android系統中，允許應用程序管理和保護自己的數據。

隨著研究的發展，PC上成熟的DRM技術，如基于時間/空間約束的DRM授權模型、添加水印的音視頻DRM技術、構建智能終端共享域并設計域內DRM安全授權模式、基于角色的可信數字版權安全許可授權模型等，在Android平臺上的擴展使用是DRM發展的又一重要方向。

6.5 安全支付

隨著移動互聯網的發展，移動支付在生活中扮演越來越重要的角色，而基于NFC技術的Android支付平臺，更加即時、安全和快捷地實現近場付款及遠程支付[90,91]。

由于支付與用戶的經濟利益切實相關，其安全不容忽視，對于移動支付安全來說，隱患主要來自3個方面：一是外部釣魚網站和惡意入侵，二是不安全無線網絡接入環境，三是終端安裝了惡意的應用。采取的安全防護類型包括以下5種：病毒掃描，保證手機不被感染；運行環境監測，監視應用的正常運行；無線Wi-Fi網絡掃描，阻止惡意攻擊；短信驗證和密碼保護保障支付安全；分辨釣魚網站，避免賬戶信息泄露。

7 趨勢和展望

Android智能終端安全保護相關技術經過專家學者的不懈付出，已經取得了顯著的成績，而全能有效地解決實際應用的成果還亟待出現，因此，針對Android安全的研究還將會是一項持久艱巨的任務，主要可能圍繞以下幾個方面展開。

1) 構建通用的Android內核安全增強框架，及時發掘系統漏洞，增強對系統的監控能力；隔離系統內核層和應用程序框架層，減少病毒對系統內核的侵害；細粒度應用權限設置，增強用戶對權限管理的參與性。

2) 構建輕量級的Android動態惡意應用檢測模型，建立行為模式，針對應用當前運行狀態，檢測出潛在的威脅，并實現對應用進行安全風險評估，實時展示評估結果，及時給出安全預警，增強用戶使用各種應用軟件的安全性。

3) 構建高效的大規模惡意應用檢測系統，針對層出不窮、數量龐大的惡意應用，提取應用特征，并進行特征優化選擇，再基于機器學習算法，智能化地對惡意應用檢測，不斷改進檢測算法，提高檢測的準度、精度和效率，杜絕惡意應用的傳播擴散。

4) 構建全面的Android移動終端隱私數據保護系統，針對短信、通訊錄等數據庫數據及圖片、音視頻等文件數據，加密保護隱私數據的內容，驗證隱私數據訪問的身份，限制隱私數據使用的方式，跟蹤記錄隱私數據的流向，通過多種手段，全面有效地保護隱私數據的安全。

5) 構建基于云計算和大數據的Android智能終端防護體系，整合云計算、大數據資源在數據處理和存儲方面的優勢，彌補Android計算資源的不足，通過大數據挖掘及時檢測Android病毒，通過云服務實時維護Android終端信息和數據、查殺病毒、防盜防騙等，拓寬智能終端安全防護的體系。

8 結束語

Android的開放性和流行性吸引了眾多攻擊者和安全研究者的關注，攻擊者利用系統漏洞、入侵應用軟件、病毒植入等各種可能的手段試圖獲取隱私數據以謀求非法利益。安全防護者針對各種威脅，從終端設備本身的硬件安全、所處網絡環境的安全到Android系統的內核增強、權限細粒度增強管理，到應用靜態提取特征、應用簽名、動態行為智能分析，再到隱私數據加密、備份、版權保護、支付安全等各個方面提出防范措施，讓破壞分子無處遁形。本文主要對Android的設備安全、網絡安全、系統安全、應用安全和數據安全進行了分析研究，并展望了未來的發展方向，希望對后續的研究有所幫助。

[1] 360互聯網安全中心.2015年手機安全狀況報告[R]. 2015. 360 Internet Security Center. 2015 mobile security status report [R]. 2015.

[2] 騰訊移動安全實驗室. 2015年上半年手機安全報告[R]. 2015. Tencent Mobile Security Laboratory. Mobile security report in the first half of 2015 [R]. 2015.

[3] FAUKI P, BHAMAL A, LAXMI V, et al. Android security: a survey of issues, malware penetration, and defenses[J]. Communications Surveys & Tutorials, 2015, 17(2): 998-1022.

[4] SEO S H, GUPTA A, MOHAMED S A, et al. Detecting mobile malware threats to homeland security through static analysis[J]. Journal of Network and Computer Applications, 2014, 38(2): 43-53.

[5] 馮登國, 孫悅, 張陽. 信息安全體系結構[M]. 北京: 清華大學出版社, 2008: 1-14. FENG D G, SUN Y, ZHANG Y. Information security architecture[M]. Beijing: Tsinghua University Press, 2008: 1-14.

[6] JANG J, W J Y, MOHAISEN A, et al. Andro-AutoPsy: anti-malware system based on similarity matching of malware and malware creator-centric information[J]. Digital Investigation, 2015, 14(6): 17-35.

[7] NIKOLAY E. Android security internals: an in-depth guide to android's security architecture[M]. No Starch Press, 2014.

[8] STEFFEN L, MATTHIAS L. Android security, pitfalls and lessons learned[C]//The 28th International Symposium on Computer and Information Sciences. Berlin, Germany, c2013: 409-417.

[9] KARI K, ELENA R, JAN ERIK E, et al. Old, new, borrowed, blue: a perspective on the evolution of mobile platform security architectures[C]//The First ACM Conference on Data and Application Security and Privacy. New York, USA, c2011: 13-24.

[10] LUBKE R, SCHUSTER D, SCHILL A. A framework for the development of mobile social software on Android[C]//Third International Conference, MobiCASE 2011. Los Angeles, CA, USA, c2011: 207-225.

[11] HONG Y R, DONGSOO K. Security enhancement of smart phones for enterprises by applying mobile VPN technologies[C]//Computational Science and Its Applications(ICCSA). Santander, Spain, c2011: 506-517.

[12] KORKMAZ I, METIN S K , GUREK A, et al. A cloud based and Android supported scalable home automation system[J]. Computers & Electrical Engineering, 2015, 43(5): 112-128.

[13] PEIRAVIAN, N. ZHU X Q. Machine learning for Android malware detection using permission and API calls[C]//IEEE 25th International Conference on Tools with Artificial Intelligence (ICTAI). Herndon, VA, c2013: 300-305.

[14] SHABTAI A, KANONOY U, ELOVICI Y, et al. Andromaly: a behavioral malware detection framework for android devices[J]. Journal of Intelligent Information Systems, 2012, 38(1): 161-190.

[15] SCHREUDERS Z C, MCGILL T, PAYNE C. The state of the art of application restrictions and sandboxes: a survey of application- oriented access controls and their shortfalls[J]. Computers & Security, 2013, 32(2): 219-241

[16] JUNFENG X, LI Z , DONG L, et al. Recommendable schemes of anti-decompilation for android applications[C]//2015 Ninth International Conference on Frontier of Computer Science and Technology (FCST). Dalian, c2015: 84-90.

[17] WANG Y, ZHENG J, SUN C, et al. Quantitative security risk assessment of Android permissions and applications[C]//27th Annual IFIP WG 11.3 Conference. Newark, NJ, USA, c2013:226-241.

[18] BERESFORS A R, RICE A, SKEHIN N, et al. MockDroid：trading privacy for application functionality on smartphones[C]//The 12th Workshop on Mobile Computing Systems and Applications. New York, USA, c2011: 49-54.

[19] ENCK W, GILBERT P, CHUN, et al. Taintdroid: an information-flow tracking system for realtime privacy monitoring on smartphones[C]// The 9th USENIX Conference on Operating Systems Design and Implementation. Berkeley, CA, USA, c2010: 1-6.

[20] TEUFL P, THOMAS Z, CHRISTOF S. Mobile device encryption systems[C]//8th IFIP TC 11 International Conference. Auckland, New Zealand, c2013: 203-216.

[21] HUANG T Y, WANG H, PENG C L, et al. A new remote desktop approach with mobile devices: design and implementation[M]//Ubiquitous Computing Application and Wireless Sensor, 2015, 331: 305-321.

[22] NAKAO K. NAKAMOTO Y. Toward remote service invocation in Android[C]//Ubiquitous Intelligence & Computing and 9th International Conference on Autonomic & Trusted Computing (UIC/ATC). Fukuoka, c2012: 612-617.

[23] BELKEDE M, GULHANE V, BAJAI P. Biometric mechanism for enhanced security of online transaction on Android system: a design approach[C]//Advanced Communication Technology (ICACT). Pyeong Chang, c2012: 1193-1197.

[24] KHANDELWAL A, MOHAPTRA A K. An insight into the security issues and their solutions for android phones[C]//Computing for Sustainable Global Development (INDIACom). New Delhi, c2015: 106-109.

[25] MA L, TEYMORIAN A Y, CHENG X. A hybrid access point protection framework for commodity Wi-Fi networks[C]//The 27th Conference on Computer Communications. Phoenix, AZ, c2008: 1894-1902.

[26] WANG D, ZHOU M. A framework to test reliability and security of Wi-Fi device[C]//Electronic Packaging Technology (ICEPT). Chengdu, c2014: 953-958.

[27] YERIMA S Y, SEZER S, MCWILLIAN G. Analysis of Bayesian classification-based approaches for Android malware detection[J]. Information Security, IET, 2013, 8(1): 121-129.

[28] SHINA S, ANITHA R, NATARAJAN V. Android based malware detection using a multifeature collaborative decision fusion approach[J]. Neurocomputing, 2015, 151(3): 905-912.

[29] FELT A P, WAGNER D. Phishing on mobile devices[M]. NA, 2011.

[30] BOTTAZZI G, CASALICCHIO E, CINGOLANI D, et al. MP-Shield: a framework for phishing detection in mobile devices[C]//2015 IEEE International Conference on Computer and Information Technology, Ubiquitous Computing and Communications; Dependable, Autonomic and Secure Computing, Pervasive Intelligence and Computing (CIT/IUCC/DASC/PICOM). IEEE, c2015: 1977-1983.

[31] WU L, DU X, WU J. MobiFish: a lightweight anti-phishing scheme for mobile phones[C]//2014 23rd International Conference on Computer Communication and Networks. IEEE, c2014: 1-8.

[32] HE M, HORNG S J, FAN P, et al. An efficient phishing webpage detector[J]. Expert Systems with Applications, 2011, 38(10): 12018- 12027.

[33] BASNET R, MUKKAMALA S, SUNG A H. Detection of phishing attacks: a machine learning approach[M]//Soft Computing Applications in Industry. Springer Berlin Heidelberg, 2008: 373-383.

[34] SHABTAI A, FLEDEL Y, ELOVICI Y. Securing Android-powered mobile devices using SELinux[J]. Security & Privacy, 2010, 8(3): 36-44.

[35] SMANEY S, CRAIG R. Security enhanced (SE) android: bringing flexible MAC to Android[C]//The 20th Annual Network and Distributed System Security Symposium. Switzerland, c2013: 20-38.

[36] AVD Android漏洞庫[EB/OL]. http://android.scap.org.cn/avdview.html. AVD Android vulnerability database[EB/OL]. http://android.scap.org.cn/avdview.html

[37] ZHANG W, CAO C, LIU W, et al. Vulnerability mining techniques in Android platform[J]. CCIS-13, 2013, 52(1391):535-540.

[38] STIRPARO P, FOVINO I N. KOUNELIS I. Data-in-use leakages from Android memory-test and analysis[C]//Wireless and Mobile Computing. Networking and Communications (WiMob). Lyon, c2013: 701-708.

[39] SHAHRIAR H, NORTH S, MAWANGI E. Testing of memory leak in Android applications[C]//High-Assurance Systems Engineering (HASE). Miami Beach, FL, c2014: 176-183.

[40] ALESSANDRO A, ALESSIO M, MAURO M, et al. Breaking and fixing the android launching flow[J]. Computers & Security, 2013, 39: 104-115.

[41] DAVI L, DMITRIENKO A, SADEGHI A. Privilege escalation attacks on Android[M]//Information Security. Springer Berlin Heidelberg, 2010: 346-360.

[42] BUGIEL S, DAVI L, DMITRIENKO A, et al. Poster: the quest for security against privilege escalation attacks on Android[C]//The 18th ACM Conference on Computer and Communications Security. ACM, c2011: 741-744.

[43] DEMERTZIS K, ILIADIS L. SAME: an intelligent anti-malware extension for android ART virtual machine[C]//Computational Collective Intelligence 7th International Conference, ICCCI 2015. Madrid, Spain, c2015: 235-245.

[44] CHIN E, FELT A P, GREENWOOD K, et al. Analyzing inter-application communication in android[C]//The 9th International Conference on Mobile Systems, Applications, and Services. New York, USA, c2011: 239-252.

[45] ENCK W, ONGTANG M, MCDANIEL P. Understanding Android security[J]. IEEE Security & Privacy, 2009, 7(1): 50-57.

[46] 傅建明, 李鵬偉, 易喬. Android組件間通信的安全缺陷靜態檢測方法[J]. 華中科技大學學報（自然科學版）, 2013, 41: 259-264. FU J M, LI P W, YI Q. A static detection of security detects between inter-components’ communication [J]. Journal of Huazhong University of Science and Technology (Natural Science Edition), 2013, 41: 259-264.

[47] FANG Z R, HAN W L, LI Y J. Permission based Android security: issues and countermeasures[J]. Computers & Security, 2014, 43(6): 205-218.

[48] SCHLEGEL R, ZHANG K, ZHOU X, et al. Soundcomber: a stealthy and context-aware sound trojan for smartphones[C]//NDSS. San Diego, California, USA, c2011: 17-33.

[49] GARCE M, ZHOU Y, WANG Z, et al. Systematic detection of capability leaks in stock Android smartphones[C]//The 19th Network and Distributed System Security Symposium (NDSS 2012). San Diego, CA, c2012.

[50] ONGTANG M, MCLAUGHLIN S, ENCK W, et al. Semantically rich application-centric security in Android[C]//In ACSAC '09. Computer Security Applications Conference. Honolulu, HI, c2009:340-349.

[51] BUGIEL S, DAVI L, DMITRIENKO A, et al. XManDroid: a new Android evolution to mitigate privilege escalation attacks[R]. Technical Report TR-2011-04, Technische Universitat Darmstadt. Germany, c2011: 1-17.

[52] DIETZ M, SHEKHAR S, PISETSKY Y, et al. QUIRE: lightweight provenance for smart phone operating systems[C]//The 20th USENIX Conference on Security. USENIX Association Berkeley, CA, USA, c2011:23.

[53] LU L, LI Z C, WU Z Y, et al. CHEX: statically vetting android apps for component hijacking vulnerability[C]//ACM Conference on Computer and Communications Security. New York, USA, c2012: 229-240.

[54] ZHONG Y, XIN Z, MAO B, et al. DroidAlarm: an all-sided static analysis tool for android privilege-escalation malware[C]//The 8th ACM SIGSAC Symposium on Information, Computer and Communications Security. New York, USA, c2013:353-358.

[55] ENCK W, ONGTANG M, MCDANIEL P. On lightweight mobile phone application certification[C]//ACM Conference on Computer and Communications Security. Chicago, USA, c2009:235-245.

[56] NAUMAN M, KHAN S, ZHANG X. Apex: extending Android permission model and enforcement with user-defined runtime constraints[C]//The 5th ACM Symposium on Information, Computer and Communications Security. New York, USA, c2010: 328-332.

[57] FELT A, CHIN E, HANNA S, et al. Android permissions demystified[C]//The 18th ACM Conference on Computer and Communications Security. New York, USA, c2011:627-637.

[58] GENEIATAKIS D, FOVINO I N, KOUNELIS I, et al. A permission verification approach for android mobile applications[J]. Computers & Security, 2015, 49(3): 192-205.

[59] HOLAVANALLI S, MANUEL D, NANJUNDASWAMY V, et al. Flow permissions for Android[C]//2013 IEEE/ACM 28th International Conference on Automated Software Engineering (ASE). Silicon Valley, CA, c2013:652-657.

[60] BARRERA D, KAYACIK H G, OORSCHOT P C, et al. A methodology for empirical analysis of permission-based security models and its application to Android[C]//The 17th ACM Conference on Computer and Communications Security.New York, NY, USA, c2010:627-637.

[61] GRACE M, ZHOU Y J, ZHANG Q, et al. RiskRanker: scalable and accurate zero-day Android malware detection[C]//The 10th International Conference on Mobile Systems, Applications, and Services (MobiSys). ACM, Lake District, UK, c2012: 281-294.

[62] ZHENG M, SUN M, LUI J. Droid analytics: a signature based analytic system to collect, extract, analyze and associate Android malware[C]//The 12th IEEE International Conference on Trust Security and Privacy in Computing and Communications. c2013: 163-271.

[63] ENCK W, OCTEAU D, MCDANIEL P, et al. A study of Android application security[C]//The 20th USENIX Conference on Security. USENIX Association Berkeley, CA, USA, c2011:1175.

[64] FEIZOLLAH A, ANUAR N B, SALLEH R, et al. A review on feature selection in mobile malware detection review article[J]. Digital Investigation, 2015, 13(6): 22-37.

[65] SHABTAI A, FLEDEL Y, ELOVICI Y. Automated static code analysis for classifying Android applications using machine learning[C]//The 2010 International Conference on Computational Intelligence and Security(CIS). Nanning, China, c2010:329-333.

[66] SARMA B P, LI N, GATES C, et al. Android permissions: a perspective combining risks and benefits[C]//The 17th ACM Symposium on Access Control Models and Technologies. New York, USA, c2012:13-22.

[67] SATO R, CHIBA D, GOTO S. Detecting Android malware by analyzing manifest files[C]//The Asia-Pacific Advanced Network.Tokyo, c2013: 23-31.

[68] WU D J, MAO C H, WEI T E, et al. DroidMat: Android malware detection through manifest and API calls tracing[C]//Seventh Asia Joint Conference on Information Security (Asia JCIS). Tokyo, c2012:62-69.

[69] WEICHSELBAUM L, NEUGSCHWANDTNER M, LINDORFOR M,et al. Andrubis: Android malware under the magnifying glass[R]. Vienna University of Technology, 2014. TRI-SECLAB- 0414-001 .

[70] HOU Y, WANG Z, ZHOU W, et al. Hey, you, get off of my market: detecting malicious apps in official and alternative android markets[C]//The 19th Annual Network and Distributed System Security Symposium(NDSS). San Diego, c2012.

[71] AU K W Y, ZHOU Y F，HUAGN Z, et al. Pscout: analyzing the android permission specification[C]//The 2012 ACM Conference on Computer and Communications Security. New York, USA, c2012: 217-228.

[72] XU R, SAIDI H, ANDERSON R. Aurasium: practical policy enforcement for Android application[C]//The 21st USENIX Conference on Security Symposium. USENIX Association Berkeley, CA, USA, c2012:27.

[73] ZHANG M, DUAN Y, YIN H, et al. Semantics-aware Android malware classi?cation using weighted contextual API dependency graphs[C]//The 2014 ACM SIGSAC Conference on Computer and Communications Security. New York, USA, c2014:1105-1116.

[74] ARZT S, RASTHOFER S, FRITZ C, et al. FlowDroid: precise context, flow, field, object-sensitive and lifecycle-aware taint analysis for Android apps[C]//The 35th ACM SIGPLAN Conference on Programming Language Design and Implementation. c2014: 259-269.

[75] HU G, LI T, DONG H, et al. Malicious code detection for Android using instruction signatures[C]//IEEE 8th International Symposium on Service Oriented System Engineering. Oxford, c2014:332-337.

[76] SCHMIDT A D, BYE R, SCHMIDT H G, et al. Static analysis of executables for collaborative malware detection on Android[C]// IEEE International Conference on Communications. Dresden, c2009: 1-5.

[77] CEN L,GATES C, et al. A probabilistic discriminative model for Android malware detection with decompiled source code[C]//IEEE Transactions on Dependable and Secure Computing. c2013:1-14.

[78] ZHOU W, ZHOU Y, JIANG X, et al. Detecting repackaged smartphone applications in third-party android marketplaces[C]//The Second ACM Conference on Data and Application Security and Privacy. New York, USA, c2012: 317-326.

[79] CRUSSELL J, GIBLER C, CHEN H. Attack of the clones: detecting cloned applications on Android markets[C]//Proceedings of ESORICS. Berlin, Germany, c2012:37-54.

[80] HANNA S, HUANG L, WU E, et a1. Juxtapp: a scalable system for detecting code reuse among Android applications[C]//The 9th International Conference on Detection of Intrusions and Malware, and Vulnerability Assessment. Berlin, Germany, c2013:62-81.

[81] LIN Y D, LAI Y C, CHEN C H, et al. Identifying Android malicious repackaged applications by thread-grained system call sequences[J]. Computers & Security, 2013, 39(12): 340-350.

[82] 文偉平, 梅瑞, 寧戈, 等. Android惡意軟件檢測技術分析和應用研究[J]. 通信學報, 2014, 35(8): 79-85. WEN W P, MEI R, NING G, et al. Malware detection technology analysis and applied research of android platform[J]. Journal on Communications, 2014, 35(8): 79-85.

[83] BURGUERA I, ZURATUZA U, et al. Crowdroid: behavior-based malware detection system for Android[C]//The 1st ACM Workshop on Security and Privacy in Smartphones and Mobile Devices. New York, USA, c2011: 15-26.

[84] BLASING T, BATYUK L, SCHMIDT A D, et al. An Android application sandbox system for suspicious software detection[C]//5th International Conference on Malicious and Unwanted Software (MALWARE). Nancy, Lorraine, c2010: 55-62.

[85] ZHOU Y J, ZHANG X W,et al. Taming information-stealing smartphone applications(on Android)[C]//The 4th International Conference on Trust and Trustworthy Computing. Berlin, Germany, c2011:93-107.

[86] HORNYACK P, HAN S, JUNG J, et al. These aren’t the droids you’re looking for: retro?tting android to protect data from imperious applications[C]//The 18th ACM Conference on Computer and Communications Security. New York, USA, c2011: 639-652.

[87] GIBLER C，CRUSSELL J, ERICKSON J, et al.AndroidLeaks: automatically detecting potential privacy leaks in Android applications on a large scale[C]//The 5th International Conference on Trust and Trustworthy Computing. Berlin, Germany, c2012:291-307.

[88] SCHRECKLING D, POSEGGA J, et al. Kynoid: real-time enforcement of fine-grained, user-defined, and data-centric security policies for Android[C]//WISTP'12 The 6th IFIP WG 11.2 International Conference on Information Security Theory and Practice. Berlin, Germany, c2012:208-223.

[89] WANG Z H, MURMURIA R, STAVROU A. Implementing and optimizing an encryption filesystem on Android[C]//The 2012 IEEE 13th International Conference on Mobile Data Management. Washington, DC, USA, c2012: 52-62.

[90] TAN G W, OOI K B, CHONG S C, et al. NFC mobile credit card: the next frontier of mobile payment[J]. Telematics and Informatics, 2014, 31(2): 292-307.

[91] 王志強, 劉奇旭, 張玉清. Android平臺NFC應用漏洞挖掘技術研究[J]. 通信學報, 2014, 35(z2): 118-123. WANG Z Q, LIU Q X, ZHANG Y Q. Research of discovering vulnerabilities of NFC applications on Android platform[J]. Journal on Communications, 2014, 35(z2): 118-123.

Survey of security for Android smart terminal

XU Yan-ping1, MA Zhao-feng1, WANG Zhong-hua2, NIU Xin-xin1, YANG Yi-xian1

(1.Information Security Center, Beijing University of Posts and Telecommunications, Beijing 100876, China; 2. National Computer Network Emergency Response Technical Team/Coordination Center of China (CNCERT/CC), Beijing 100029, China)

Aiming at the security, the layered security system was constructed. Firstly, the devices safety protection based on remote anti-theft, biometric identity verification and hardware security module was expounded. Secondly, network security referring to the wireless security network, virus propagation killing and anti-phishing was illustrated. Thirdly, the OS safety was introduced from the perspective of system kernel, runtime environment and application framework. Fourthly, application security was showed containing the reverse engineering static analysis, behavior dynamic analysis, safety reinforcement and safety assessment. Fifthly, the privacy data protection was summarized including tracking, encryption and backup. Finally, the future development direction was prospected on the security framework and intelligent behavior analysis.

Android, device security, network security, system security, application security, data security

TP309

A

10.11959/j.issn.1000-436x.2016127

2015-10-19；

2016-02-19

國家自然科學基金資助項目（No.61272519）；“十二五”國家科技支撐計劃基金資助項目（No.2012BAH23F00）；國家科技支撐計劃基金資助項目（No.2012BAH45B00）

The National Natural Science Foundation of China (No.61272519 ), The Twelfth-five National Science and Technology Support Program (No.2012BAH23F00), The National Science and Technology Support Program (No.2012BAH45B00)

許艷萍（1986-），女，安徽亳州人，北京郵電大學博士生，主要研究方向為移動互聯網安全、Android智能終端應用安全。

馬兆豐（1974-），男，甘肅鎮原人，博士，北京郵電大學講師，主要研究方向為移動互聯網安全技術、云計算安全技術、數字版權管理。

王中華（1986-），男，山東聊城人，國家計算機網絡應急技術處理協調中心工程師，主要研究方向為移動互聯網安全、網絡安全攻防演練。

鈕心忻（1963-），女，浙江湖州人，北京郵電大學教授、博士生導師，主要研究方向為數字水印、信息隱藏、隱寫分析。

楊義先（1961-），男，四川鹽廳人，北京郵電大學教授、博士生導師，主要研究方向為密碼學、計算機網絡與信息安全。