xmandroid（中文翻译）

Java库的Java库。此时DVM执行驻留在应用层和系统应用程序的应用程序的二进制文件。

Android应用层包括核心（即默认安装）应用程序，如浏览器，拨号电话和接触供应商联系。Android应用程序是用Java编写的，但他们还可以通过Java本地接口（JNI）纳入C/ C + +的本地库。应用程序包括分离的模块，所谓的组件。有四种基本类型的组件：Activities (A), Services (S), Content Providers (C) and Broadcast Receivers (B)（如图2所示）。Activities负责用户界面，每个屏幕显示用户通常是由一个单一的活动组件代表。Services实现后台进程的功能，这是用户不可见的。Content Providers有特殊用途的应用程序之间共享数据使用的组件。Broadcast Receivers接收事件通知，从系统和其他应用程序服务。

组件可以沟通彼此和其他应用程序的组件，通过组件间通信（ICC）的中间件所提供的机制。应用程序启动ICC的联系，通过发送一个特殊的消息称为意图。ICC的四种类型可以有所不同：（一）开展活动，（二）意图广播，（三）提供访问内容和（四）绑定组件服务定向ICC呼叫，可能会导致相反方向的数据流的服务。例如，ICC呼叫只读查询查询内容提供商将返回请求的数据，或ICC呼叫绑定组件服务可以导致建立双向数据接口。

2.2 Android的安全机制

下面我们简要介绍了Android的核心安全机制：（一）沙盒，（二）许可框架和（iii）应用签署。 [13，15，40，39]中可以找到更详细的信息。

沙盒

沙盒是一种机制，应用程序彼此并与系统资源相互隔离。应用隔离是每个应用程序通过分配一个唯一的用户标识（UID）的手段，而底层的Linux内核强制用户拥有的资源（文件和设备）自主访问控制的权利。系统或根用户拥有系统资源。应用程序只能访问自己的文件，他人或明确标记所有可读文件。

应用程序签名。

Android的应用程序执行签名，然而，并不集中，即开发人员本身不得不用自我认证密钥签署应用程序代码。因此，应用程序签署不提供针对恶意软件的防护，但帮助来自相同的开发应用之间建立信任关系。使用相同的密钥签名的应用程序可能要求分享相同的UID，即，它们将被放置到同一个沙箱（例如，应用程序2和图2中的应用3）。

Android的权限框架。

中间件层提供Android权限框架。它包括一个在ICC调用时实施强制访问控制（MAC）的参考监视器（见图2）。安全敏感的应用程序编程接口（API），这里所指的接口，通过权限保护。这是可以要求强制访问控制，或授予允许访问的安全标签。

授予的权限分配给应用程序沙箱和被所有应用程序组件继承。与此不同，所需的权限分配给应用程序组件。要求和授予的权限都将在应用程序安装包中包含的应用程序的Manifest文件明确指定。在安装时根据用户确认批准授予的权限。一旦批准，权限不能被修改。

Android的核心服务是由名为Android（见图2）系统应用提供。Android组件的访问受标准权限保护，如访问精良位置（P1）和发送短信（P2）的意味着，应用程序必须具备这些权限能够访问用户的位置或发送短信。此外，应用程序组件可以定义，并要求新类型的权限，以限制访问自己的接口（例如，在图2中P3允许权）。

在运行时参考监视器检查权限分配。例如，在图2中，应用程序2和3的组件能够访问Android组件提供访问用户的位置的功能，因为他们的沙箱分配适当的权限访问精确位置（P1）。然而，参考监视器拒绝这些应用程序的组件，访问Android提供发送短信的功能，因为2和3的应用程序沙箱没有被授予相应发送短信（P2）的权限。

标准的Android权限列表包括110项[22]，其中大部分是Android所需要的。

3问题描述

在本节中，我们将描述的特权提升攻击的一般问题，定义我们的攻击者模型和假设。

应用程序级的特权提升攻击

可以在应用程序级的特权升级攻击的总体思路如图2所示：应用程序没有权限访问位置信息，因为它没有被授予相应的权限P1。然而，它可以传递地访问它，例如，通过应用2（两跳）的组件。事实上，应用程序2的组件不需要任何权限进行访问，应用程序3的组件可以访问的位置信息，因为他们的沙箱中被授予的权限P1。这传递的流量可以用来升级应用1的特权，使之在没有拥有P1权限的情况下访问位置信息的应用程序的特权。

特权提升攻击可以分为两类。其中第一类包括混淆的副攻击，如攻击者的控

制下的应用程序（无论是恶意或损害）利用未受保护的良性的应用程序接口（例如，利用Android浏览器下载文件[26]，或误用的Android脚本环境擅自发送短信[8]）。在第二类的攻击，应用程序都是恶意的，他们相互勾结获得不良的权限集。此外，勾结的攻击可以分为这些应用程序直接与对方沟通，或间接通过使用另一个应用程序或组件之间。在后一种情况下，中介组件可以提供或者变相（例如，通过电源管理器[37]）或公开（例如，通过用户的联系人数据库）应用程序的通信渠道。

攻击者模型

攻击者的目标是升级特权，并获得未经授权访问受保护的接口。攻击者能够利用脆弱的良性应用接口和执行代理困惑攻击。此外，一些恶意的应用程序（两个或两个以上）合作（勾结），以获得一个合并的权限集。因此，我们的攻击者模型还包括恶意软件开发者。

假设

我们假设高度特权的Android应用程序（见第2节），也就是已经提供的默认配置的一个干净的并无恶意的设备。这是有道理的，因为一般有可能会更加信任真正的厂商（例如，谷歌，微软和苹果）不恶意攻击终端用户。然而，Android应用程序可能会受到来自设计缺陷，使攻击者建立隐蔽通道，并推出特权升级攻击[37]。

此外，我们认为ICC作为唯一的机制，在Android应用程序之间建立沟通渠道的渠道。然而，正如我们在4.4节中详细说明，在某些情况下，应用程序可能会用除ICC以外的其他手段进行通信。例如，应用程序可以建立隐蔽通道，从而完全绕过Android的中间件层，我们的检测机制。这些渠道的一个例子是文件锁[29]（还在[37]利用）。此外，我们目前还不考虑通过Linux所控制的公开渠道，如互联网sockets或文件系统通信。考虑这些渠道，XManDroid内核级的扩展是必需的。

4 XManDroid

在这部分中,我们介绍XManDroid的设计和构造 (Android上的扩展监测)。XManDroid执行运行监测与分析应用程序之间的通信联系，以便根据定义的政策，防止潜在的恶意攻击。

这个想法是如下：XManDroid维护系统状态，其中包含安装的应用程序和

它们之间的平台上建立的通信链路（控制和数据流）。默认的Android参考监视器授予一个ICC调用时，XManDroid被调用，并验证是否要求的ICC调用可能会被利用为提升攻击（曾经发生在系统与其他通信链路的组合）（基于底层系统的政策）。为了尽量减少性能开销，XManDroid存储的决策，取决于常设的条件，因此随着时间的推移不会改变。当下次同样的ICC调用时，这些决策同样适用。

一个系统的政策，包括必须满足的安全规则，以防止特权提升攻击。在4.3节中，我们将提供策略规则的例子。

4.1体系结构

XManDroid的结构如图3所示。它扩展了Android应用程序框架并由三个模块组成：（一）运行监控，（二）安装申请，及（三）系统策略安装程序。

运行监测

运行监视器提供了XManDroid的核心功能。它涉及到组件的参考监视器，DecisionMaker，系统视图，权限，系统的政策和决定。参考监视器是标准的Android参考监视器，执行指定的标准Android权限机制权限检查。

DecisionMaker是一个组件，如果被请求的ICC调用有威胁（特权升级攻击），它负责作出决定。系统视图正在维护系统运行的状态。权限是Android的标准组件，它维护权限数据库。系统策略是一个系统策略规则数据库。决策是一个数据库，其中存储由DecisionMaker作出的决定。