Security on Android Apps
Ritu Sheoran, Meenakshi Chaudhary
Abstract
For the smartphone users the biggest problem is privacy and the reason behind this is sharing of sensitive information while accessing the numerous apps. However, it is very difficult to understand which application can access what kind of information and to achieve the functionality what are the minimum number of accessing approvals are required. Before the installation of an application, all the permissions which are requested by the apps are represented in the dialog box. And it depends on the user what to do in such condition either to accept the permissions requested or select not to continue with installation. Even the security risks are also associated with online advertisements. It is possible that to disperse malignant malware with online promotions and taint end clients#39; PC. The individual information is gathered by all internet publicizing organizations without clients#39; knowledge. Individual data can be utilized to damage clients or can be sold to outsiders. In this paper we build up a wrapper that give a consent administration interface furthermore build up a Patcher that is being infused into the APK installer record to improve the security of the Android applications.
Keywords — Android, Malware, Manifest files, Permissions, Android Security, Advertising banners.
I. INTRODUCTION
1 .BASIC OF ANDROID
In Mobilersquo;s the most popular operating software is Android that is as of now created by Google. Android is generally centered on LINUX KERNEL and planned initially for the touchscreen gadgets like tablets and mobile phones. Android client interface is normally centered on direct management utilizing touch movements that mostly relate to real world activities, for example, tapping, pinching to change on screen objects, alongside for the text input virtual keyboard is used. What#39;s more with these touchscreen gadgets, Google also develop android TV for TVrsquo;s, android wear for wrist watches, and for cars android auto, with their user interface. Indeed, even android is additionally utilized as a part of games, computerized cameras, note pads and different gadgets.
1.1 OPEN SOURCE
Android was introduced in 2007, alongside the establishing of open handset organization together that is comprised of software, hardware and telecom organizations invent open standards for cell phones. There are millions of android app developed and downloaded from Google play store. For cell phones android is open source software. In the development of life cycle of an application android never force strong controls as per the philosophy of design, namely openness. The source codes are discharged to general society. Anybody can compose and put applications without affirm by Google. However the absence of control can bring about vulnerabilities particularly when the security of the framework relies on upon the client validation choice. Android permit everybody to compose their own particular application and afterward distribute it unreservedly.
1.2 FEATURES OF ANDROID
·Interface
·Applications
·Memory management
1.2.1 INTERFACE
Android#39;s default client interface is normally centered on direct control, utilizing touch movements that frequently compare to genuine activities like pinching to control the screen stuffs, tapping, alongside virtual keyboard. Game controllers and in addition physical consoles are supported by means of USB or Bluetooth. At the point when the client inputs then the reaction is intended to be prompt and gives a liquid touch interface, over and over utilizing the vibration capacities of the gadget to give criticism to the client. Interior equipment, for example, accelerometers, gyroscopes and proximity sensors are utilized by different applications to react to the client activities, for instance permitting the client to drive the vehicle in racing games by pivoting the gadget, control of a controlling wheel.
1.2.2 APPLICATIONS
To increase the functionality of a gadget the application used are generally written by using Android software development kit (SDK) and, mostly, the android APIs are completely accessed by java programming. There is a large collection of third party apprsquo;s in android , and users can get these applications by just downloading the android application package (APK) file and then installing them or one other way is utilizing an application store by which user can download, install , remove and update the applications from their gadgets. The primary store which is installed in android gadgets is Google play store. Android users can download, install and remove any of the app present in Google play store either it is made by Google or third party inventor. In play store there are more than one million apps for android clients.
1.2.3 MEMORY MANAGEMENT
Powersource for the android gadgetrsquo;s is battery, the designing of android gadgets are done in a way that the power consumption of the processes remains at minimum. When the application is ideal means that it is not in use then the system suspends its operation so that, while available for instant use rather than close, it does not use CPU resources and battery power.
Android manages all the applications that are stored in the memory automatically: when the memory is low than the system will begin unnoticeably and automatically closing all the inactive processes, starting with those that are inactive for a long time.
1.3 Android application framework
1.3.1Application Components:
Components are fundamental building blocks of Android applications. Each component can be run individually, either by system upon permi
全文共23035字,剩余内容已隐藏,支付完成后下载完整资料
Android应用程序的安全性
Ritu Sheoran,Meenakshi Chaudhary
摘要
对于智能手机用户来说,最大的问题是隐私,这背后的原因是在访问众多应用程序时共享敏感信息。然而,很难理解哪个应用程序可以访问什么样的信息,要实现这一功能,最少需要多少次访问批准。在安装应用程序之前,应用程序请求的所有权限都会显示在对话框中。这取决于用户在这种情况下要做什么,要么接受请求的权限,要么选择不继续安装。甚至安全风险也与在线广告有关。有可能通过在线促销来散布恶意软件,并污染终端客户的电脑。个人信息是由所有网络宣传机构在客户不知情的情况下收集的。个人数据可能被用来损害客户,也可能被卖给外人。在本文中,我们构建了一个包装器,该包装器提供了一个同意管理界面,此外,我们还构建了一个Patcher,该Patcher被注入到APK安装程序记录中,以提高Android应用程序的安全性。
关键词——Android、恶意软件、清单文件、权限、Android安全性、广告横幅。
一、导言
1 .安卓的基础
在移动设备中,最流行的操作系统是Android,它现在是由谷歌开发的。Android通常以Linux内核为中心,最初计划用于平板电脑和移动电话等触摸屏设备。Android客户端界面通常以直接管理为中心,利用主要与现实世界活动相关的触摸动作,例如轻击、捏捏以改变屏幕对象,同时使用文本输入虚拟键盘。除此之外,谷歌还开发了用于电视、手表以及用于汽车的安卓用户界面。事实上,甚至Android也被额外用作游戏、电脑摄像机、笔记本电脑和各种小工具的一部分。
1.1 开放源码
Android是在2007年推出的,与此同时,由软件、硬件和电信组织组成的开放手机组织共同创建了手机开放标准。谷歌play商店开发和下载了数百万Android应用程序。对于手机来说,Android是开源软件。在应用程序生命周期的开发中,Android从来没有按照设计理念,即开放性,强制实施强有力的控制。任何人都可以撰写和提交应用程序,无需谷歌确认。然而,缺乏控制会导致漏洞,尤其是当框架的安全性依赖于客户端验证选择时。Android允许每个人编写自己的特定应用程序,然后毫无保留地分发。
1.2 ANDROID的特点
bull;接口
bull;应用程序
bull;内存管理
1.2.1接口
Android的默认客户端界面通常以直接控制为中心,利用触摸动作,经常与真正的活动比较,如捏控制屏幕内容,点击,以及虚拟键盘。游戏控制器以及USB或蓝牙支持物理控制台。当客户输入时,反应将是迅速的,并给出一个液体触摸界面,一遍又一遍地利用小工具的振动能力来判断客户。内部设备,例如加速度计,陀螺仪和接近传感器被不同的应用程序用于对客户活动作出反应,例如允许客户端通过转动小工具、控制车轮来驾驶赛车。
1.2.2应用
为了增加小工具的功能,所使用的应用程序通常使用Android软件开发工具包(SDK)编写,并且大多数情况下,java API完全由java编程访问。 Android中有大量的第三方应用程序,用户可以通过下载Android应用程序包(APK)文件获得这些应用程序,然后安装它们或另一种方式是使用应用程序商店,用户可以通过它下载,安装,从他们的小工具中删除和更新应用程序。安装在Android小工具中的主要商店是Google Play商店。Android用户可以下载、安装和移除Google Play商店中的任何应用程序,无论是由Google还是第三方发明者制作的。在游戏商店里,有超过100万个Android客户端应用程序。
1.2.3内存管理
Android小工具的电源是电池,Android小工具的设计是以进程的功耗保持在最低的方式进行的。当应用程序是理想的,意味着它不在使用中,那么系统会暂停它的操作,这样,尽管可以立即使用而不是关闭,但它不会使用CPU资源和电池电量。
Android自动管理存储在内存中的所有应用程序:当内存不足时,系统会开始不引人注意地自动关闭所有不活动的进程,从那些长期不活动的进程开始。
1.3 Android应用框架
1.3.1应用组件
组件是Android应用程序的基本构件。每个组件可以单独运行,或者由系统根据其他应用程序的允许请求运行,或者由它的具体应用程序运行。Android应用程序可以包括四种类型的组件[1]:
bull;活动组件
bull;服务组件
bull;广播接收器
bull;内容提供商
(1)活动组件:提供Android用户界面的来源。每个应用程序可能有许多活动,向用户显示应用程序的不同屏幕。
(2)服务组件:这些组件提供后台处理功能,不提供任何用户界面。即使用户与另一个应用程序交互,播放音乐和下载文件也是可以作为服务运行的操作示例。
(3)广播接收器组件:对系统范围的消息广播进行串行响应。接收器组件通常充当其他组件的网关,并将消息传递给服务或活动以处理它们。
(4)内容提供商组件:为其他组件提供数据库功能。此类数据库主要用于应用程序内部数据持久性以及跨应用程序共享数据。
1.4权限
执行权限是除了沙盒之外的另一种机制,由Android框架提供以保存应用程序,对应用程序可以执行的特定操作(例如与数据库和系统API交互)以及跨应用程序的限制互动。每个应用程序都应在其清单中预先声明其所需的权限,并且Android系统会在应用程序安装期间提示用户同意。如果用户拒绝允许对应用程序请求的权限,则应用程序安装将被删除。在安装应用程序后,Android没有给出动态机制来授予权限。清单文件还声明了应用程序或其任何组件强加的权限,因此其他应用程序应具有与此类受保护组件交互的权限[1]。
1.4.1许可保护等级
Android权限管理对功能和敏感资源的访问。第三方应用程序可以访问近134种Android定义的权限。权限主要使用四种不同的保护级别之一进行定义,这些级别区分了权限中隐含的潜在风险并强制执行冲突的安装时批准过程。与权限相关的保护级别为[11]:
bull;普通危险
bull;签名
bull;签名重组系统
正常:自动允许正常权限。
危险:用户可以在安装期间授予权限。如果拒绝该权限请求,则不会安装该应用程序。
签名:仅当请求的应用程序由定义权限的同一开发人员签名时,才允许签名权限。签名权限有助于控制组件对开发人员控制和信任的一小组应用程序的访问。
签名或系统:如果应用程序安装在系统应用程序文件夹中,或者应用程序符合签名要求,则授予这些权限。系统应用程序文件夹无法将应用程序放置在Android Market中。系统应用程序必须由设备制造商预先安装或由高级用户手动安装。
除了上面提到的划分之外,权限还通过接受权限的方式来划分:
使用时间:用户在执行敏感操作(例如,访问设备位置)时必须确认此权限。这是阻止应用程序访问设备资源的唯一方法。
安装时间:安装应用程序时接受,用户将它们作为一个整体接受;他不能选择接受哪个许可和拒绝哪个[14]。
1.5 Android安全模型
Android安全模型的规划方式是,没有一个应用程序被授予执行任何操作的权限,这些操作可能会对其他应用程序、用户或操作系统产生不良影响。Android被认为是一个多进程系统,因为每个应用程序都在自己的进程中运行。Linux设施(如组和用户标识)被分配给在进程级加强系统和应用程序之间的安全性的应用程序。使用“权限”机制提供额外的安全性,该机制授予每个进程仅执行某些操作的权限,还提供“每个URI的权限”,该权限仅授予对某些信息的临时访问权限。
权限机制和沙盒据说是Android安全模型的基础。众所周知,每个应用程序的代码都运行在一个特定的达尔维克虚拟机中,该虚拟机分配了一个特定的用户ID。每个应用程序与其他应用程序分开运行,因此任何应用程序都无法访问其他应用程序的文件[17]。
二、相关工作
2.1李小雷,广东白等人(2014)
移动设备正变得越来越普遍,因此用于划分重要资源的物理边界消失了。因此,恶意应用程序有可能滥用移动平台上呈现的资源。在本文中,作者提出资源虚拟化作为Android系统的安全机制,以加强几种类型资源之间的物理屏障,并封装滥用资源的Android应用程序。移动设备上的物理资源虚拟化为所选Android应用程序的不同虚拟视图。资源虚拟化模拟Android资源的部分但稳定的虚拟视图。因此,它不仅可以有效地包含滥用资源的应用程序,还可以确保这些应用程序的可用性。实现系统原型RVL,并使用不同类型的真实应用程序对其进行评估。他们的结果证明了它对恶意Android应用程序的有效性及其在良性Android应用程序上的可用性和兼容性[5]。
2.2桓曾,严仁等人(2014)
在本文中,通过研究android权限系统和android API系统,在权限和API之间找到了关系。此外,一种方法旨在检测消息拦截恶意软件。本文的介绍有三个方面:首先,对应用程序执行静态分析以获取权限和系统API。为了避免API和权限超过声明,构建java函数调用图并找到已使用的系统API;其次,一种轻量级方法用于动态发现和更新权限与API之间的关系;第三,动态控制方法旨在检测Android恶意软件,该方法通过大量实验验证[6]。
2.3 Andre Egners,Bjorn Marschollek等人(2012)
在智能手机操作系统上,权限模型已变得普遍,以管理从第三方安装的应用程序所允许的权限。在安装应用程序之前,通常会向用户显示一个对话框,其中显示应用程序请求的权限。用户必须选择接受所有请求的权限,或选择不继续安装。大多数普通用户无法完全理解允许应用程序使用哪组权限,这可能是有害的。除了应用程序员和用户之间的知识差距之外,大多数权限模型实现的缺失可变性和粒度都有助于攻击者绕过权限模型。在本文中,作者关注谷歌Android平台的权限模型。许可模型是详细的,并显示了一系列攻击,这些攻击可以用来完全合作用户的设备,使用不显眼地查看请求非可疑权限的应用程序[14]。
2.4 周燕京和江许贤(2012)
智能手机的普及和接受极大地刺激了移动恶意软件的增加,尤其是在Android等流行平台上。鉴于其快速增长,需要开发有效的解决方案。然而,防御能力主要是由于对这些新兴移动恶意软件的了解有限以及及时访问相关样本的短缺。在本文中,作者专注于Android平台,旨在表征或系统化现有的Android恶意软件。主要是,经过一年多的努力,有超过1,200个恶意软件样本的集合,包括大多数现有的Android恶意软件系列,从2010年8月入口到2011年10月的近期恶意软件系列。此外,系统地将它们与各种方面,包括它们的激活机制,安装方法以及携带的恶意有效载荷的性质。基于演化和表征的代表性家族研究表明,它迅速发展,以规避现有移动反病毒软件的发现。基于对四个代表性移动安全软件的评估,实验表明最佳情况检测到79.6%,而最坏情况检测到数据集中仅20.2%。这些结果显然需要更好地开发下一代反移动恶意软件解决方案[15]。
2.5 Wook Shin,Sanghoon Kwak 等人(2010)
本文展示了Android权限方案中的一个缺陷。 Android框架强制实施基于权限的安全策略,其中应用程序只有在完全允许应用程序时才能检索系统的其他部分。框架的安全性主要取决于设备的所有者,因为授权决策主要由用户做出。结果,许可方案迫使用户承担大部分管理负担,或者保持简单。此外,框架在以下方面不应用足够的控件或维持动态调整,对新的权限声明不应用约束或命名规则。一旦应用程序获得许可,在应用程序的生命周期内永远不会调用该权限,可以使用具有相同名称的两个不同的权限。框架的这些特征可能导致安全漏洞[16]。
三 、拟议的工作
在限制应用程序权限时,Android采取“全有或全无”的方法。 我们无法精确控制哪些数据应用可以访问。因此,唯一的方法是不首先安装应用程序,以防止应用程序查看您的位置,访问联系人,撤消面部登录或Google plus登录。 使用模式我们可以撤销已安装应用程序的个人权限,但这些都有一个共同点,即需要root访问权限。
图4.未应用显示广告横幅的补丁程序的ACR .APK
图5. ACR.apk应用Patcher删除广告横幅
现有的应用程序可以接受我们的任何应用程序,而不是在它们的编码中注入一个包装,允许我们禁用特定的权限。这是一个相当巧妙的解决方案,因为它的唯一要求是我们在手机的安全设置中启用了未知来源。
更技术性的观点是,一个将提供权限管理界面的包装器正在被注入到所选应用程序的A
全文共6051字,剩余内容已隐藏,支付完成后下载完整资料
资料编号:[506]
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
