Android软件信息系统的威胁模型与安全解决方案_开题报告

调查数据指出，Android已经赢得平台之战，未来有望成为移动操作系统领域的寡头，而安全性则有可能会成为阻碍Android发展的主要因素。

国际知名黑客Joshua J. Drake在《Android安全攻防权威指南》一书中指出目前Android平台面临的威胁主要有以下几种:

(一) 病毒

Android病毒就是手机木马，主要是一些恶意的应用程序。比如去年央视曝光的一款名为“银行悍匪”的手机银行木马，模仿真正的手机银行软件，通过钓鱼方式获取用户输入的手机号、身份证号、银行账号、密码等信息，并把这些信息上传到黑客指定服务器。盗取银行账号密码后，立即将用户账户里的资金转走。手机木马有的独立存在，有的则伪装成图片文件的方式附在正版App上，隐蔽性极强，部分病毒还会出现变种，并且一代比一代更强大。

（二）关键信息泄露

虽然java代码一般要做混淆，但是Android的几大组件的创建方式是依赖注入的方式，因此不能被混淆，而且目前常用的一些反编译工具比如apktool等能够毫不费劲的还原java里的明文信息，native里的库信息也可以通过objdump或IDA获取。因此一旦java或native代码里存在明文敏感信息，基本上就是毫无安全而言的。

（三）APP重打包

即反编译后重新加入恶意的代码逻辑，从新打包一个APK文件。重打包的目的一般都是上面提到和病毒结合，对正版apk进行解包，插入恶意病毒后重新打包并发布，因此伪装性很强。截住app重打包就一定程度上防止了病毒的传播。

（四）进程被劫持

这个几乎是目前针对性最强的一种攻击方式了，一般通过进程注入或者调试进程的方式来hook进程，改变程序运行的逻辑和顺序，获取程序运行的内存信息，也就是用户所有的行为都被监控起来，这也是盗取帐号密码最常用的一种方式。

（五）数据在传输过程中遭劫持

传输过程最常见的劫持就是中间人攻击。很多安全要求较高的应用程序要求所有的业务请求都是通过 s，但是 s的中间人攻击也逐渐多了起来，而且我们发现在实际使用中，证书交换和验证在一些山寨手机或者非主流ROM上面存在一些问题，让 s的使用碰到阻碍。

（六）键盘输入安全隐患

支付密码一般是通过键盘输入的，键盘输入的安全直接影响了密码的安全。键盘的安全隐患来自三个方面：

1.使用第三方输入法，则所有的点击事件在技术上都可以被三方输入法截取，如果不小心使用了一些不合法的输入法，或者输入法把采集的信息上传并且泄露，后果是不堪设想的。

2.截屏，该方法需要手机具有root权限，才能跑起截屏软件

3.getevent，通过读取系统驱动层dev/input/event1中的信息，获取手机触屏的位置坐标，在结合键盘的布局，就能算出来事件跟具体数字的映射关系，这也是目前比较常用的攻击方式。

（七）Webview漏洞

由于现在hybrid app的盛行，Webview在app的使用也是越来越多，Android 系统Webview存在一些漏洞，造成js提权。最为著名的就是传说中js注入漏洞和webkit xss漏洞

而对于这些威胁目前国内外Android系统安全解决方案有如下一些方案:

(一) 保护App的组件

保护app组件的途径有两条,其一是正确地使用 Androidmanifest xml文件,其二是在代码级别上强制进行权限检查。app安全中的两个因素使权限框架相当的灵活,并能以一种粒度相当小的方式,限制能访问你的组件的app的数量锁定你的组件。

(二) 保护 Content Provider的路径(path)

Content Provider中经常会含有许多用户的敏感数据,而且它们也与SQL注入攻击和信息泄露密切相关。ContentProvider中的太多路径暴露给未经授权的或潜在的恶意app统一资源定位符( Uniform resource identifiers,UR|)是 content provider用来标识给定数据库的。如果在Androidmanifest xml文件中加入特定的配置对 Content Provider甚至于在URI的路径(path)级别上进行访问保护,同时防止了滥用URI授权( grant URI)机制会造成的安全风险。

(三) 防御SQL注入攻击

要确保攻击者不能把来路不明的SQL内容注入到你的查询语句中去,最好的办法就是:避免使用 SqliteDatabase.rawQuery(),而改用一个参数化的语句。使用一个预先编译好的语句,比如 Sqlitestatement,提供对参数的绑定(binding)和转换(escaping),以防御SQL注入攻击。

(四) 验证app的签名(防篡改)

Android安全的基石之一是所有的app都必须经过数字签名。app的开发者使用私钥,以证书的形式对app进行签名。在这过程中并不需要使用授权证书,事实上,更常见的是使用自签名的证书。证书中通常都会定义一个到期日期,而谷歌应用商店要求证书的过期时间在2033年10月22日之后。当攻击者修改你的app的apk文件时,他也就破坏掉了原有的数字签名。这也就意味着,如果他们想把这个apk文件安装到一个 Android设备上去的话,必须要用另个不同的密钥重新对它签名。当攻击者修改了你的app之后,他们希望通过各个应用商店或者其他更多的感染途径,比如电子邮件、Web站点或者论坛等去传播它。所以必须在Android app运行时查询 Package Manager来得到app的签名,并进行验证如果验证不通过则立即停止app的运行。

(五) 用 Gexguard进行高级代码混淆

Dexguard是 Eric Lafortune(他也开发了 Proguard)编写的一个商用优化和混淆工具。Dexguard可以用在 Android资源和 Dalvik字节码上的混淆。开发者的关键优势之一就是,源码保留了(软件的)可维护性和可测试性,使用 Dex Guard可以获得更多的安全性,因为它是专门为 Android而优化的,同时还提供了额外的安全特性。

(六) 使用 S   使用 S后可以认证用户和服务器，确保数据发送到正确的客户机和服务器; 加密数据以防止数据中途被窃取; 维护数据的完整性，确保数据在传输过程中不被改变。

(七) 密钥保护

App开发中经常会在 Java 代码或 SharePreferences 里明文记录着 app key / secret / token，这样的做法，就算使用了 proguard或Gexguard 对代码进行混淆，也是非常容易被逆向获得服务端接入密钥，非常危险，针对这一方面Android 提供了 KeyStore 等可以长期存储和检索加密密钥的机制，Android KeyStore 系统特别适合于存储加密密钥。AndroidKeyStore 是 KeyStore 的一个子集，存进 AndroidKeyStore 的 key 将受到签名保护，并且这些 key 是存在系统里的，而不是在 App 的 data 目录下，依托于硬件的 KeyChain 存储，可以做到 private key 一旦存入就无法取出，以保证每个 App 自己创建的 key，别的应用是访问不到的。

参考文献:

[1] Joshua J. Drake. Android安全攻防权威指南 [M]. 北京：人民邮电出版社，2015

[2] 许晓锋.Android 高级混淆和代码保护技术 [Z]. 

 s://drakeet.me/android-advanced-proguard-and-security/ ,  2017

[3] 许晓锋.Android 密钥保护和 C/S 网络传输安全理论指南 [Z]. 

 s://drakeet.me/android-security-guide/ ,  2017

[4] 周圣韬. Android安全技术揭秘与防范 [M]. 北京：人民邮电出版社，2015

二、^范文提纲

1 Android生态圈

Android的起源

公司历史

1.1.2 Android版本历史

1.1.3 Android系统设备分布

1.2 Android生态圈的复杂性

1.2.1 设备碎步化问题

1.2.2 兼容性问题

1.2.2 安全性与开源性

2 Android的攻击面

2.1 攻击面的分类

2.1.1 攻击面属性

2.1.2 分类决策

2.2 远程攻击面

2.2.1 网络概述

2.2.2 网络协议栈

2.2.3 暴露的网络服务

2.2.4 客户端攻击面

2.3 本地攻击面

2.3.1 检索文件系统

2.3.2 发现本地攻击面

2.3 物理攻击面

2.3.1 拆解物理设备

2.3.2 通过USB

2.3.3 其他

3 Android的信息数据传输

3.1 Android内部组件之间的数据传输

3.1.1基于消息的通信机制的传输

3.1.2基于存储数据的传输

3.1.3 基于IPC的通信机制的传输

3.1.4 基于Handler信息传递机制的传输

3.2 Android网络的数据传输

3.2.1 Android常用网络传输协议

3.2.2  (s)连接下的数据传输及数据加密

3.2.3 Soket连接下的数据传输及数据加密

4 Android的安全设计与架构

4.1 Android系统架构

4.2 安全边界和安全策略执行

4.2.1 Android沙箱

4.2.2 Android权限

4.3 Android各个层次

4.3.1 应用层

4.3.2 框架层

4.3.3 DalvikVM层

4.3.4 用户空间原生代码层

4.3.5 内核

4.4 安全性与复杂的漏洞利用

5 结论

三、参考文献

著作：

[1] 丰生强. Android软件安全与逆向分析 [M]. 北京：人民邮电出版社，2013

[2] Nikolay Elenkov. Android 安全架构深究[M]. 北京：电子工业出版社，2016

[3] Makan,K. Android安全攻防实战 [M]. 北京：电子工业出版社，2015

[4] Joshua J. Drake. Android安全攻防权威指南 [M]. 北京：人民邮电出版社，2015

[5] 周圣韬. Android安全技术揭秘与防范 [M]. 北京：人民邮电出版社，2015

[6] 许晓锋.Android 高级混淆和代码保护技术 [Z]. 

 s://drakeet.me/android-advanced-proguard-and-security/ ,  2017

[7] 许晓锋.Android 密钥保护和 C/S 网络传输安全理论指南 [Z]. 

 s://drakeet.me/android-security-guide/ ,  2017

[8] Google Source. Android安全 [Z].

 s://source.android.com/security/ ,  2017

[9] Google Training. Android安全要点 [Z].

 s://developer.android.com/training/articles/security-tips.html ,  2017

[10] tanprathan. MobileApp-Pentest-Cheatsheet [Z].

 s://github.com/tanprathan/MobileApp-Pentest-Cheatsheet ,  2015