分析用户对隐私数据泄漏的移动应用程序

文摘

为了克服移动设备的资源和计算能力的限制在物联网(物联网)时代,云计算提供了一个有效的平台而无需人工干预来构建一个面向资源的安全解决方案。然而,现有的恶意软件检测方法都受制于一个模糊的信息泄漏的情况。本文的主要目的是测量一定程度的隐藏意图为移动应用程序(应用程序)来保持其泄漏活动无形的给用户。在现实的应用程序中测试中,我们针对Android应用程序,释放用户隐私数据。TaintDroid-ported模拟器,我们做实验用户事件之间的时间距离和隐私泄露。与谷歌的Android应用程序下载玩我们的实验表明,泄漏的大部分情况下是由用户显式事件或隐式的用户参与,让用户知道的泄漏。这些发现可以帮助一个恶意软件检测系统在减少假阳性的速度通过考虑恶意的意图。从实验中,我们更好地理解应用程序的内部运营。作为一个案例研究中,我们还提出了一种基于云计算的动态分析框架进行流量监控。

1。介绍

计算机病毒和恶意代码形式的另一个已知恶意软件破坏物联网基础设施以及边缘设备包括移动设备。由于移动设备的广泛使用,设备更容易接触到恶意代码和环境类似于那些目标企业系统的设备。防病毒和防病毒工具为企业系统建造不转移与移动设备。的一部分原因是有限的移动设备有效运行防病毒工具的能力。移动设备的局限性包括权力问题由于依赖电池,更少的CPU周期致力于保护运行软件,和一个更小的内存占用运行工具。很少有文献提出一个架构在云中执行移动恶意软件分析。建筑的主要目的是识别恶意软件之前激活在移动设备上。这可以抢占恶意代码和减轻威胁之前,用户或设备造成伤害。

然而,很具有挑战性的检测应用程序时恶意软件信息泄漏真的发生了。在许多情况下,用户愿意把他们的私人或敏感数据到远程服务器,以换取有用的服务(s)如位置感知的搜索服务。因此,做一个决定,一个看似数据漏出一段时间内会导致假阳性识别恶意信息泄漏。最佳的输出数据流的初衷就是问用户数据流是否会允许他/她。然而,从用户获得的意图是不允许一个自动化的云系统。相反,我们选择来分析应用程序的意图造成输出数据流的隐藏努力阻止用户泄漏越来越意识到应用程序的活动。

本文的贡献是在三折叠。首先,我们区分数据通过了解用户的请求和数据漏出的恶意软件。根据最近的一项研究[1),Android恶意软件传输私有数据未经用户同意。因此,大部分的恶意软件样本听不显明的系统事件开始他们的秘密服务。量化,提出了一个方法如何衡量用户感知的数据泄漏。我们生产这个量化值的用户事件之间的时间距离和数据泄漏事件的激活。

第二,我们分析一个现实世界的时间距离Android应用程序从谷歌下载游戏,基于TaintDroid-ported模拟器。TaintDroid [2)跟踪内部数据流以检测隐私泄漏。这个工具允许我们发现泄露的信息和记录每个事件的时间戳以毫秒为单位。结合Android的日志系统,logcat [3),我们可以构建一个完整的记录表格,泄露的信息类型,调用接口,目标IP地址和时间的事件。我们的实验表明,该IMEI,占50%的隐私泄露,经常在设备标识过程中传播。此外,部分IMEI泄漏,发生后30秒内用户的第一输入像一个按钮,达到65.5%。其余病例发生在自动位置更新下用户的意识。

第三,扩大用户感知的数据泄漏的概念,我们构建一个基于云计算的移动恶意软件分析系统检测(4,5]。我们提出的系统包括一个混合的动态应用程序分析和网络流量分析在应用程序运行时。发现一些泄露的数据被捕获在纯形式数据传输要求需要安全的敏感数据的端到端加密机制。用户感知分析和网络流量监视可以帮助像僵尸网络的检测更复杂的恶意软件(6]。

本文的其余部分组织如下:部分2给我们目标和解释的问题的初步分析结果。部分3描述了设计的测量方法和体系结构。节4我们目前的实验结果。节5,我们解释一个基于云的动态分析为例。而在部分6,我们将讨论挑战和问题。我们以前的工作7最后,结论部分共享8。

2。背景

有限的资源用于软件工具部署在移动平台上显示基于云的解决方案的价值。云计算为移动平台的多个实例提供了更强大的CPU和内存限制。此外,潜在的恶意代码的分析和处理发生在虚拟电话之外的真正的移动设备(4,7- - - - - -9]。除了资源有限,漏洞(10的移动设备和恶意软件的攻击能力比企业计算系统将会使问题更加复杂。

为了理解类别和行为特征的恶意软件在获取私有数据的目标,我们进行了静态分析55收集了不同家庭的Android恶意软件样本通过逆向工程(11和分析代码。图的分析结果1表明,敏感数据包括短消息服务(以下简称SMS)和接触主要是Android恶意软件的目标。大多数恶意软件通常有过多的短信和IP网络访问权限。另一个方面要注意的是,许多恶意软件样本模仿流行的应用程序欺骗用户安装恶意软件应用程序没有任何怀疑。所以我们比较所请求的权限与模仿原始应用程序。图表(图2)的示例应用程序展示了三种不同类型的特征。首先,最明显的一个,就是恶意应用程序请求权限以外的原始请求的应用程序。第二种类型,区分恶意应用程序从原始应用程序基于相同数量的权限是具有挑战性的。其中一个原因是,在本质上是广泛的,包含许多功能权限。例如,允许所谓的“互联网”允许应用程序完整的网络访问。最后最有趣的类型的恶意应用程序需要更少的权限比较原始的应用程序。这是恶意软件的情况只是看起来像原始的应用程序,但完全不同的代码。

是非常具有挑战性的一个明确的界限之间的恶意活动和移动应用程序的正常运行。一般来说,大量的恶意软件样本收获私有数据存储在移动设备和不怀好意地发送数据到远程服务器。这种形式的信息泄漏攻击可能有更多的对用户的影响当金融凭证是有针对性的。然而,让我们的目标更明显,本文将恶意软件定义为私有数据泄漏没有用户的意识。最近的一项研究[1,12)表明,现有的Android恶意软件主要是由启动激活,短信,和净相关的事件。特别是BOOT_COMPLETED事件系统事件主要是恶意软件的目标。另一个有趣的特性是,大多数恶意软件通过网络和短信命令从远程指挥和控制服务器(以下C&C)。这一趋势显示了恶意程序的隐形功能,使它们不显明的给用户。同样,这是一个关键的挑战现有的恶意软件缓解方法(2,9,13]。在方法中,TaintDroid提供运行时分析通过跟踪敏感数据流识别滥用用户的私人信息。除了Java-written部分应用程序,DroidScope允许其内部分析仪跟踪信息流的本地库部分恶意元素可以居住(14]。

然而,没有人类干预的情况下自动恶意软件检测往往是错误由于缺乏理解用户的意图。许多流行的移动应用程序需求用户的地理信息提供准确locality-based服务没有任何明确的来自用户的输入。例如,Foursquare (15)帮助人们找到感兴趣的地方附近使用他们的位置。因此,它是很难判断的数据漏出GPS定位是否恶意。

因此,从一个移动设备数据传输的结果并不一定意味着数据泄漏情况。甚至良性的活动可以被认为是一个数据泄漏从一个简单的决定完全基于信息流。因此,恶意软件分析模型与粗威胁定义可能导致假阳性高甚至在当用户故意的情形使内部信息离开他们的设备。除了内部数据流本身,我们应该考虑外部环境的应用程序(比如用户意图)在做决定是否泄漏活动是恶意的。

而不是立即导致信息泄漏的存储数据,一些恶意软件的目标是控制移动设备未来的漏出。例如,Android。stel [16)是一个臭名昭著的木马最近发表在Android平台上。一旦安装在受感染的设备,特洛伊打开后门从C&C服务器处理请求。后来特洛伊发起电话收费号码通过C&C服务器。打电话和发送短信收费号码可能导致经济损失给用户。然而,木马没有敏感数据的移动设备或漏出私人用户信息到远程服务器。相反,这种特殊的恶意软件激活未经用户同意的恶意操作。发展一种方法来衡量用户感知的应用程序的活动可以帮助识别意想不到的敏感API调用:发送短信和打电话。

本文提出的体系结构和设计原则不限制任何特定的移动平台的应用程序。Android平台的优势在移动设备市场,不断扩大增长(大约78%的手机市场在2015年第一季度17])说服作者选择Android平台作为一个参考模型。

3所示。设计

3.1。测量方法

最近的一个用户友好的移动应用程序包含多个实例的视图对象和层次。这种类型的应用程序运行在一个事件驱动的方式,而不是一个连续的执行流从一个程序的入口点。例如,一个Android应用程序由几个活动,代表独立执行元素与相应的用户交互式对象。每个活动响应用户的输入和显示结果可见信息。例如,图的Android应用程序3由六个独立的元素,表示为一组。其中,两个元素,和蓝色矩形中用户交互式操作,响应用户输入。的元素作为后台服务运行,不需要用户交互,包括数据泄漏操作的四个不同时间片红色矩形。距离变量()指定数据泄漏操作之间的运行时间和其前用户交互式操作。这段时间变量,指出,指定时间跨度期间所有相应的数据泄漏被认为是由相同的用户交互式操作。时间的距离和时期认为是由同一个用户交互式操作。

通常,应用程序可以通过单击启动应用程序的图标。因此,我们假设有一个明确的用户交互。根据我们的定义,第一期应用程序启动后开始。在所有执行元素在图3的元素,,黑色矩形的运行没有任何明确的用户交互应用程序的生命周期中。他们不涉及任何数据泄漏,所以我们把它们排除在测量过程。考虑到恶意应用程序的行为,恶意软件隐藏其内部管理活动从用户的意识。换句话说,该设备用户几乎没有注意到发生的活动和事件背后的用户交互式操作。基本计量单位,时间距离()的一个事件代表一个量化值用户感知的事件。通过结合所有时间距离,我们的目标是衡量一定程度的意图与用户应用程序试图隐藏其内部活动意识。随着应用程序隐藏更多,距离值会更高。

3.2。总体架构

进行我们的测量应用程序,应用程序内部的运行时信息应该是运行时监控。因此,我们的方法的关键功能是跟踪和记录所有活动发生在应用程序,让分析仪检查收集信息。有三个主要的设计原则,我们提出一个平台架构,收集运行时信息在两个不同的检查站。首先,跟踪应用程序内的数据流是一个初始步骤跟踪敏感信息的流动。当数据在监视应用程序通过网络或需要沟通(IPC),这种潜在的泄漏应与补充信息报道。要完成这个任务,应用程序的操作信息需要提供从应用程序运行的基础平台。第二,除了本地数据流,等外部数据流网络流量应考虑。我们的初步分析表明,大量的恶意软件与外部通信服务器充当C&C服务器。此外,分析网络流量的应用程序允许获得更好的理解策略使用的恶意软件。最后,测量体系结构可以部署在云计算环境中,所以整个过程应该自动完成而无需人工干预。

该体系结构如图4集成核心构建块和周边环境。所需的功能从上面的设计原则纳入核心构建块。和操作平台的基础上预计云计算的虚拟环境。总的来说,虚拟执行环境的架构包含三个实例层:主机、移动设备和软件执行平台。获取操作信息的内部和外部应用程序,两个运行时伐木工定位设备和软件平台实例,分别。如果我们把Android作为参考模型,移动设备以及Android软件平台可模拟与x86主机CPU。进一步,主机可以虚拟成多个实例的云。为了检验一个Android应用,虚拟主机上创建一个实例,安装了Android平台的移动设备。运行时伐木工插装在安卓平台和移动设备允许分析检索应用程序的操作信息。应用程序感觉一样的环境在现实Android设备,这样应用程序可以直接运行。

3.2.1之上。分析程序

系统显示在图4有三个主要构建块来分析应用程序运行时应用程序的运行时行为。首先,泄漏分析仪收集所有日志的内部数据跟踪和输出数据流。一旦日志生成,数据泄漏分析仪检查泄漏事件分析器,然后看着相关事件导致数据泄漏。根据收集的日志,泄漏分析仪措施在前一节中描述的时间距离来衡量用户意识的数据泄漏的程度。每一个看似数据泄漏,泄漏分析仪需要定位无意识的数据泄漏事件分析器使用提供的信息。除了直接应用程序的数据流,补充等信息系统资源和配置有助于理解应用程序的上下文。因此,运行时伐木工位于基础平台和移动设备负责两个分析提供信息。两个伐木工位于实例层的平台和移动设备生成日志包括系统事件、模拟用户事件,他们的时间信息。在本文中,我们使用logcat作为地面测井系统的谷歌Android软件开发工具包(SDK) [3]。随着这些内部分析程序,有一个外部分析仪,流量分析仪。当应用程序传输数据外,即将离任的数据包将会生成。然后交通分析仪可以检查数据流经过网络接口卡(NIC)。

至于数据泄漏监测,许多杰出的方法(2,5,18- - - - - -20.)建议使用动态分析。通常,动态分析了一个应用程序的行为在一个受控的环境中执行。那些可以在公共领域,采用TaintDroid作为运行时日志跟踪数据流并确定任何数据泄漏。TaintDroid,类型的动态污点跟踪技术,跟踪本地数据和变量通过插装的Dalvik虚拟机。这种基于android系统的方法旨在识别敏感数据泄漏的电话。

3.2.2。发电机

交互式移动应用程序通常是由用户输入或事件触发的系统服务。在云中部署我们的架构,我们构建核心模块在虚拟实例。出于同样的原因,分析过程自动化中最重要的问题之一是模仿人类用户交互而不实际参与。图的输入信号发生器4控制应用程序检查下模拟用户输入事件触发内所有活动。除了输入生成器,SMS发生器使应用程序认为它运行在一个真正的电话通过模仿短信。在测试应用程序而无需人工干预,输入信号发生器的性能决定了整个动态分析系统的准确性。

在前一节中我们初步静态分析显示,大多数恶意软件已经过度SMS和IP网络访问的权限。同样,以往的研究(1,12)表明,很多恶意软件样本利用短信激活自己。因此,模拟短信激活恶意应用程序以及正常的关键应用程序。在实践中,短信生成器是紧密耦合的,移动设备模拟器。发电机用于我们的实验利用谷歌的Android调试桥(以下简称亚行)。亚行提供了一个命令来模拟一个传入消息虚假的电话号码。

提出了输入生成器扫描所有对象在视图布局21)的应用程序和遍历每个视图对象使用模拟一个接一个有效的输入。这个过程可以通过深度优先搜索数据结构在堆栈跟踪活动和访问他们彻底,从而遍历所有应用程序的视图。考虑一个应用程序有三个不同的视觉活动如图5。该算法通过生成适当的输入文本字段和事件点击按钮。然后点击按钮产生新的活动,活动2按钮1。如果下一个活动开始,那么同样的程序递归地适用于活动,进一步探索。深度优先搜索的搜索流程描述到目前为止是实线表示为一个树。

一旦递归搜索程序达到最右边的叶节点,我们可以搜索流回以前的活动通过显式或隐式的后退按钮。在开始之前,每个活动的入口,一个循环检测例程是否已经有一个循环遍历节点。为了避免循环情况,遍历活动节点维护列表中,我们比较当前节点在开始之前。

借助这两个发电机,任何应用程序都可以被测试没有任何了解应用程序的源代码。然而,最近的移动应用程序实现更复杂的视图对象,这样输入生成器需要了解对象的详细信息来生成有效的输入事件。这往往导致相当大的开销在编写健壮的、自动的黑盒测试用例。此外,正如隐私敏感的应用程序往往需要用户身份验证,生成一次性密码有效文本仍然是一个具有挑战性的问题来模拟用户输入正确。

4所示。实验

在本节中,提出了实验数据和结果。代表真实的Android应用程序,用户的感知数据泄漏的测量是基于我们的方法介绍了部分3。对于底层虚拟实例层的操作平台,VirtualBox [22],QEMU [23],Dalvik虚拟机使用。QEMU-based设备模拟器和TaintDroid-ported Dalvik虚拟机配置运行时日志记录器,提供应用程序的操作信息。的主机我们的实验是基于64位的Linux 3.5 GHz 8核和32 GB的内存。的移动软件平台Android 4.3果冻豆是TaintDroid集成最新的适用版本。有几种方法可以得到实验但下载从谷歌Android应用程序,称为一个正式的Android应用市场的地方,被选中。有几个标准选择应用分析实验。首先,应用程序需要安装和成功运行仿真平台。一些应用程序检查是否一个用户识别模块(SIM)插入和准备使用。emulator-based软件平台没有安装这些应用程序由于难以模拟物理SIM卡。第二,检查数据泄漏和用户感知之间的关系,被测试的应用程序应该传输敏感数据到外部服务器或一组服务器。 This requires the app to gain the permissions of full network access and location. Before downloading the candidate app, a full list of permissions should be checked to be granted and make sure that the app is likely causing data leaks. After the candidate meets this screening requirements, then a measurement sample is selected. Third, data set needs to represent the same type of services. We mainly focus on the personal service apps which utilize sensitive data. The coverage of the finally selected apps ranges from health, weather, and traffic to chatting messenger services.

开始前我们的测量实验,设置一个模拟器与虚假的私有数据,如IMEI GPS定位坐标,和接触。这通常会让被测试的应用程序运行在一个真正的电话。谷歌的亚行工具为开发人员提供了一组命令来配置手机的系统信息。例如,模拟设备的地理位置可以由地理位置设置命令。电话可以操纵的权力地位触发手机进入省电模式。除了编辑系统信息在亚行工具,IMEI号码可以直接插入到平台的源代码。和联系人照片手动填写并保存每一个实验。其他微妙的模拟器测试环境有关的问题将得到解决以后在讨论部分。

一旦谷歌的安卓应用下载和安装,我们的分析过程的帮助下准备开始。TaintDroid通知功能,数据泄漏很容易发现。图的照片6现在的一些屏幕截图TaintDroid通知通知。当TaintDroid图标出现在状态栏,图标可以推倒并显示相应的数据的详细信息泄漏。信息包括应用程序的名称造成的数据泄漏,目的地IP地址,泄露的数据类型,这个事件的时间和数据本身。其中,数据类型,标记为受污染,时间戳测量。八个样本应用程序进行测试,代表不同的服务的家庭。初步分析结果表明,8个样品发送敏感数据到远程服务器(s)超过一次。在实践中,位置感知应用程序试图找到电话为了提供周边服务或依赖所在的信息。

鉴于这一事实,预计看到天气预报Pro,位置相关服务,将位置数据到服务器。还个人训练助理应用、RunDouble传输手机的IMEI,位置和GPS定位在测试期间多次。个性化的应用通常传输设备的IMEI信息以及位置数据到远程服务器。同样,发送IMEI个性化或device-oriented服务重要组成部分。与这三个样本,其他5应用程序提供他们独特的信息,如设备的IMEI换取device-identifiable服务。

有几个发现注意到在我们的实验结果表1。首先,IMEI信息泄露的情况下约占50%的所有数据泄漏。这意味着对应服务器请求服务的手机ID每个服务事务。所以,我们希望更频繁的IMEI传输作为一个应用程序提供更多的各种服务通过通信服务器。交通信息应用Bey2ollak,有趣的是,一个跨平台的移动应用程序,传输设备的IMEI 16倍几个服务器应用程序启动。这可以显示一个模范的行为跨平台的应用程序,从中文网将作品放在一起。其次,应用与周期性数据更新显示传输更多的信息。RunDouble轨迹运行的距离,允许手机用户计算卡路里。这种应用程序应该阅读位置数据在一定时间间隔,在主动模式。这也是看到应用程序所示当分享位置的功能被激活。 However, most privacy leaks occur at the early time of app’s execution and discontinue without explicit inputs.

中泄露的数据类型,位置和GPS定位类型看起来相似但实际上有一个微妙的差异获取位置信息。可能有几种方法可以找到手机的位置。其中,位置意味着得到位置信息通过网络而不是GPS。特别是,当用户在市中心的建筑或被高楼大厦包围,被称为GPS死区,位置应该通过网络来解决。在我们的实验中,GPS定位和位置都是污染只要位置数据泄漏发生。

时间分析的实验结果,泄露信息类型的IMEI和位置绘制。在测量方法中,每个数据泄漏都有对应的输入事件引发泄漏。的设在代表了时间的距离数据泄漏事件,表示节3。应用程序可能有多个触发输入事件和相应的数据泄漏,因此存在一个时期在一个应用程序。但是其他诸如天气预报Pro和备份我的只有一个输入事件,引发实际数据泄漏。然后他们有一个周期,,一组时间距离,,在。图在图7描述了聚合时间距离时间的所有应用程序进行测试。

至于激活机制,单击应用程序的图标是一种常见的触发数据泄漏发生。因此,许多隐私泄露检测到应用程序的启动时间。第二常见的按钮触发元素对象。一般来说,用户与移动应用程序交互作品通过单击GUI视图对象像按钮。许多Android应用程序利用按钮对象同意从其用户。从这个意义上说,监控屏幕上的按钮对象正确地识别触发事件是至关重要的。最后一个设备激活隐私泄漏超时事件从服务器获取更新的信息。如上所述,一些移动应用程序跟踪位置随着时间的推移,或得到更新。这样的应用程序发出的隐私数据时保持本地服务器的数据同步。和这个更新将继续,直到应用程序得到释放。 In all, our data set includes all privacy leaks activated by these three types of mechanism. According to the timing graph, we notice that a big group of data leaks comes within 11 seconds.

特别是,数据泄漏在1秒内达到21%。考虑到这两个事实,我们假设这些应用程序响应用户事件立即发送必要的隐私数据到服务器。下一个明显的群体是30秒左右。进一步调查这个群体,大部分的数据泄漏主要来自一瞥,Bey2ollak, RunDouble。这些应用程序有共同特点,保持当地的信息定期更新。剩下的零星数据泄漏后第二组也从这三个应用程序。因此,两个不同的数据泄漏模式,由用户输入事件触发和复发性超时事件,被发现。

仔细看看第一组,两个单独的子组也发现了。前面的子群在3秒内看起来正常的数据泄漏集团源于立即响应来自用户的输入事件。但是,后面的子群形成大约7秒钟需要更多的解释。当一个程序开始或触发激活,它通常改变屏幕下活动。这个屏幕变化是一个耗时的工作,而算术运算或网络通信,并导致延迟。因此,似乎推迟日期泄漏在后面群是由于屏幕变化和网络连接延迟。总的来说,数据泄漏的时间距离可以依赖于应用程序的编程设计以及激活事件类型。

我们回到我们的设计主体,管理相关的隐私泄漏和用户输入事件。这被认为是一种方法来衡量有多少用户意识到应用程序在做什么,特别是敏感数据泄漏。我们的实验表明,大约40%的IMEI泄漏和33%的位置传输发生在大约10秒钟之后用户输入事件。所有这些数据泄漏响应用户的意愿得到服务通过提供个人数据到外部服务器。同时,剩下的60%的IMEI和67%的泄漏位置似乎远离用户的输入。然而,所有这些数据泄漏发生在被测试的应用程序正在运行前景视觉活动。换句话说,用户认为没有明确的用户输入与应用程序交互。在这种情况下,在屏幕上显示的可视化表示被认为是用户的隐式意图。更量化参数,我们需要设计一个方法来衡量数据泄漏用户隐式知识渊博。这将是一个具有挑战性的话题,我们留给未来的工作。

5。案例研究:基于云计算的分析

把整个系统到云主机以及移动测试设备应该被虚拟化。当一个应用程序安装和激活输入生成器如图4,应用程序将尝试与远程服务器通信发送敏感信息。在这种情况下,移动设备上运行的应用程序之间的通信和远程对等服务器可以分析流量分析仪。网络流量分析(24),交通分析仪可以接收聚合流量模拟移动设备的多个实例。整体交通允许我们检测各种交通行为只能见一群移动设备的总和。流量分析仪锻炼一个广泛的分析在多个设备,交通分析仪驻留在一个物理机器可以被分开。孤立的流量分析仪,一个可扩展的框架组成的多个虚拟主机机器如图8。一个虚拟主机代表一个主机实例图4。实例的主机可以连接到其他的虚拟主机机器,加入一个巨大的虚拟网络包括所有虚拟电话。

图的总体框架8显示了流量分析仪驻留在开关,所有交通从虚拟电话合并。这个分析模型、交通来自所有虚拟手机可以检查一个流量分析仪。此体系结构具有以下优势对流量分析在每个主机上运行。(我)分析逻辑网络。交通分析仪检查聚合交通模式以及单个流的交通设备。例如,虚拟设备相同的信仰可以构造一个逻辑网络。这个模型允许我们应用流量分析逻辑用户组不考虑他们的实际物理位置。(2)有效的策略管理。单检查模型在网关部署一贯的政策是有效的所有虚拟设备。这消除了需要复制相同的政策,每个主机只要政策变化。(3)灵活的流量分析器实现。没有设计限制流量分析器允许使用特殊的专用硬件加速器(s)在分析数据包。或者我们可以通用主机上部署软件流量分析仪。通过网络分析在这项实验中,个人敏感数据通过网络传输纯文本形式。只有16 182年数据泄漏的安全的SSL加密。IMEI和位置信息可能不如个人敏感信息和联系人。通过移动数据通信和发送数据相对安全由于移动网络关闭。然而,他们可以产生有害影响用户当妥协与犯罪的目的。同样,网络级分析有助于了解安全漏洞并提出措施减轻。

6。讨论

本文通过IP网络传播隐私数据泄漏追踪。然而,短信和彩信也可以用于移动应用用户的敏感数据发送到外部服务器。我们的分析方法的目的是衡量用户隐私泄漏的意识和辨别有用的应用对恶意软件通过隐形泄露个人信息。而即将离任的短信和彩信功能没有得到用户明确的许可可能是恶意的,有害的,很明显,普通消息传输和反常行为不好的意图。同样,我们的方法可以促进检测恶意软件的传播目标用户的消息。另一个适用的用例是失去了电话服务。这些应用程序内置函数为用户远程控制手机。当用户丢失手机,GPS定位信息传送到管理服务器,以便用户可以找到手机。在这种情况下,关于位置的隐私数据泄漏发生不需要用户的输入到手机的视图对象。然而,我们做一个假设,手机用户已经有意识的对丢失手机的数据传输。 For this reason, we exclude this case from the experimental data set.

在规划我们的实验一开始,某些类型的应用程序将导致隐私泄露。尤其是地图位置服务预计收益率经常个人资料泄露。然而,他们很少生产测试期间的隐私泄露。下载地图信息导航服务开始前解释这种情况。地图和地理信息通过GPS模块可以提供寻位服务,而无需承担任何数据泄漏。作为一个副作用,我们的实验结果有助于了解移动应用程序的内部操作。

测试实际应用,仿真器应该与实验设置配置为应用程序测试下感觉像一个真正的电话。即使我们把一些虚假的个人资料到模拟器,还有更多的问题需要解决。例如,每当Android SDK使移动设备模拟器的一个实例,实例的MAC和IP地址分配都是一样的。恶意应用程序使用此信息来规避仿真系统为我们的测量模块。幸运的是,正常的应用程序不检查他们的模拟器信息是否运行在模拟器或真实的手机。

更多的应用往往需要健壮的用户身份验证或设备认证而不是简单地请求电子邮件地址或IMEI号码。常见的用户身份验证方法,切断检查用户的电子邮件地址的确认回复邮件是否有效用户。设备认证、密码验证是使用在几个应用程序。这种严格的身份验证过程是最具挑战性的问题对于我们的自动分析方法。

7所示。相关工作

智能手机的销量增加,也一直在急剧上升的数量进入网上市场恶意应用程序。考虑到巨大的增长的恶意软件,安全研究人员和供应商必须分析越来越多的应用程序在给定的时间内理解软件的目的和发展对策。直到最近,分析了通过使用工具如反编译器和运行时调试器。这个过程可能会非常耗时且容易出错根据分析师的技能。另一方面,一个自动分析(25]调查下载的应用程序而无需人工干预。主要技术,自动分析应用二进制取证包括反编译、解密、模式匹配、静态系统调用分析、控制流分析。然而,恶意软件开发人员也把他们的努力在寻找新方法的恶意软件绕过检测机制(1,26]。

作为最著名的分析方法之一,TaintDroid [2)跟踪运行时通过变量和组件之间的通信数据流检测隐私数据泄漏。然而,这种细粒度的跟踪技术仅覆盖Dalvik的Java字节码。这熊限制在识别数据泄漏发生在本机C和c++编写的库。Mobile-Sandbox [19]TaintDroid集成到虚拟电话和代码的覆盖范围延伸至本地库除了Java编程语言编写的。然而,污染跟踪的局限性在于缺乏低估的周围环境,包括用户的意图。改善运行时污染跟踪,VetDroid [27]分析了许可使用行为来检测恶意信息泄漏。作为一个集成框架模型,AppsPlayground [28)结合了一些分析方法如动态污点跟踪,API监视和内核级监控补充个人方法。珀加索斯(29日使用正式的方法在指定的权限和api的财产。通过实施许可事件图由模型检查,正式的方法检测到恶意行为。然而,权限滥用和异常API调用只关注应用程序的内部运营模式,没有考虑用户与应用程序的交互。即使数据泄漏检测,确定泄漏是否恶意或不需要额外的信息。

实现所有的测试,而无需人工干预,输入生成器应该控制下的程序检查通过生成事件触发内所有活动。因此,输入生成器的准确性决定了自动分析系统的整体性能。广泛使用的猴子工具(30.)的Android SDK来模拟用户输入不了解应用程序的源代码。然而,这个工具自动生成随机事件不管实际应用程序的视图的布局。因此,有时错误的输入导致崩溃由于输入格式不匹配或无效的值。同样,MonkeyRunner [31日)是一个自动输入发电机更有效的创造。然而,这个工具是由测试设备在功能或框架层面,所以它往往更特定于应用程序的性质。SmartDroid [32设法找到有效的用户输入,引发敏感行为。这种方法使用两个静态分析(33)由函数调用图和动态分析探索的UI元素敏感的api。像我们的方法,AppIntent [20.)能够辨别用户预期数据泄漏意外通过提供一个有效的GUI交互序列导致隐私数据泄漏。AppIntent减少了搜索空间的活动空间约束模型与其他方法的类似的代码覆盖率。与上面的工具,Brahmastra [34]和[TriggerMetric35)使用静态分析来构造api执行路径调用敏感。而不是集中在GUI元素,Brahmastra重写应用程序触发回调函数及隐私api。而不是仪器分析³E (36)提高报道通过使用一个静态的,taint-style、数据流分析在字节码。

除了数据泄漏分析、交通分析移动平台提出了一些文献。窃听手机站提供了一个机会识别交通与恶意软件签名(16]。这是一个基本的概念,基于网络的入侵检测系统(NIDS)连接。所有的移动设备的流量路由到VPN服务器允许监控包一样NIDS [37]。通过模拟虚拟网络环境,我们可以应用网络级检测屏幕所有流量来自或移动设备。此外,虚拟网络由个人设备可以提供一个整体交通行为从逻辑网络的角度来看。这将让流量分析器找出潜在威胁从网络的角度以及单一设备的视角。类似于动态分析框架提出摘要Andlantis [5在集群环境中提供了一个良好的可伸缩性,能够处理每小时3000 Android应用程序。但Andlantis使用MonkeyRunner生成用户输入事件。

8。结论

无处不在的移动设备在现代生活中,积极的预防措施对恶意应用程序应该到位以及现有安全解决方案。在本文中,我们提出了一个方法和一个架构来测量用户对敏感数据泄漏,这档节目的特点就是运行时应用程序分析用户输入事件在时间距离和实际隐私数据泄漏。移动应用程序可以请求隐私数据交换有用的服务。和这个看似自愿数据泄漏会导致困难做一个明确的意图是否泄漏是否恶意数据。从我们的实验在现实世界的Android应用程序,我们发现IMEI和位置信息用于设备标识和位置感知服务。正常应用,大多数数据泄漏源于用户直接输入的事件或隐式互动视觉呈现在屏幕上。此外,该方法有助于了解移动应用程序的内部操作。结合现有的恶意软件检测系统,我们预期的用户感知测量可以帮助减少假阳性在一个微妙的情况下通过测量程序的恶意。

克服移动设备的有限的资源和计算能力,云计算是一个很好的平台,在该平台上,我们可以构建一个解决方案的资源约束。本文的另一个主要贡献是采用移动流量分析的基于网络的监控。虚拟网络由个人手机模拟器可以提供一个更完整的网络环境在物理网络一样。从网角度分析在我们的实验中,我们观察到的脆弱实践传输纯文本形式的IMEI和位置信息。

利益冲突

作者宣称没有利益冲突有关的出版。

承认

这项工作是支持的信息与通信技术促进研究所(IITP)由韩国政府拨款(MSIP)(没有。r - 20150518 - 001267,发展智能轻量级操作系统安全核心技术的物联网设备)。

引用

1. x y周和江”,解剖Android恶意软件:特征和演化”美国第33 IEEE研讨会上安全和隐私109年,页95 - 2012年5月旧金山,加州,美国。视图:出版商的网站|谷歌学术搜索
2. w·Enck·吉尔伯特美国汉et al .,“TaintDroid:信息流跟踪系统实时隐私监控智能手机上,“ACM交易计算机系统,32卷,不。2,第五条,2014年。视图:出版商的网站|谷歌学术搜索
3. Android SDK,http://developer.android.com/sdk/index.html。
4. j . Oberheide k . Veeraraghavan e·库克j . Flinn和f . Jahanian“虚拟化在云安全服务为移动设备、”学报第一车间在移动计算虚拟化页31-35,ACM,科罗拉多州,美国,2008年6月。视图:出版商的网站|谷歌学术搜索
5. m . Bierma e . Gustafson j .埃里克森d·弗里茨和y崔承哲,“Andlantis:大规模的Android动态分析”诉讼第三移动安全技术研讨会(大多数的14)美国加州圣何塞,2014年5月。视图:谷歌学术搜索
6. c,方滨兴,y丽华,l .孝义和z .田,“Andbot:对先进的移动僵尸网络,”学报》第四届USENIX大会大规模利用和紧急的威胁美国大规模p。11日,波士顿,2011年3月。视图:谷歌学术搜索
7. g . Portokalidis p小礼帽,k . Anagnostakis和h . Bos“偏执Android:多功能保护智能手机,”美国计算机安全应用年会(ACSAC 10)德克萨斯州奥斯汀市,页347 - 356,美国2010年12月。视图:出版商的网站|谷歌学术搜索
8. c . Jarabek d·巴雷拉,j .额寇卡“ThinAV:真正轻量级的移动云计算反恶意软件,”学报》第28届计算机安全应用年会(ACSAC 12)ACM,页209 - 218年,洛杉矶,加州,美国,2012年12月。视图:出版商的网站|谷歌学术搜索
9. p·吉尔伯特,B.-G。春,l·p·考克斯和j .荣格“愿景:自动化安全验证移动应用程序市场,”第二届国际研讨会在移动云计算和服务(MCS 11),页,第21到26 ACM,马里兰州贝塞斯达,美国6 - 2011。视图:出版商的网站|谷歌学术搜索
10. 纳扎尔a、m·m·西格和h -拜尔,“加油Android-extending亚行的auto-connecting WiFi-accessible服务”信息安全技术的应用程序艾德,赞美,卷,7161在计算机科学的课堂讲稿施普林格,页189 - 204年,柏林,德国,2012年。视图:出版商的网站|谷歌学术搜索
11. Androguard,http://code.google.com/p/androguard。
12. 据Traynor w . Enck p p•麦克丹尼尔和t门,“SMS-capable蜂窝网络,利用开放的功能”学报》第12届ACM计算机和通信安全会议(CCS 05)2005年11月,页393 - 404。视图:出版商的网站|谷歌学术搜索
13. t·布拉斯特区l . Batyuk A.-D。施密特,s . a . Camtepe Albayrak,“Android应用程序沙箱系统可疑软件检测,”第五届国际会议上恶意诉讼和不必要的软件(恶意软件”10)IEEE,页55 - 62年,洛林,法国,2010年10月。视图:出版商的网站|谷歌学术搜索
14. l .严k和h阴”DroidScope:无缝地重构操作系统和Dalvik语义视图动态Android恶意软件分析”21 USENIX安全研讨会会议的程序贝尔维尤,p。29日,洗,美国,2012年8月。视图:谷歌学术搜索
15. Foursquare,https://foursquare.com/。
16. s . Davido d·哈里森,r .价格和美国佛莱姆,“diy细胞入侵检测系统,液化沼气安全白皮书,2013年。视图:谷歌学术搜索
17. 国际数据公司(IDC):智能手机市场的份额,http://www.idc.com/prodserv/smartphone-os-market-share.jsp。
18. 即Burguera, Zurutuza, s . Nadjm-Tehrani”Crowdroid:基于行为的Android恶意软件检测系统”学报第一ACM车间安全与隐私在智能手机和移动设备(SPSM 11),页15-26、芝加哥、生病,美国,2011年10月。视图:谷歌学术搜索
19. m . Spreitzenbarth t . Schreck f . Echtler d . Arp和j·霍夫曼,“Mobile-Sandbox:结合静态和动态分析与机器学习技术,”国际期刊的信息安全,14卷,不。2、141 - 153年,2015页。视图:出版商的网站|谷歌学术搜索
20. z杨,杨m、y, g .顾p .宁和x s . Wang”AppIntent:分析敏感数据传输在Android隐私泄漏检测,”诉讼的ACM SIGSAC计算机和通信安全会议上(CCS的13),页1043 - 1054年,柏林,德国,2013年11月。视图:出版商的网站|谷歌学术搜索
21. Robotium,https://code.google.com/p/robotium。
22. 甲骨文VirtualBox,https://www.virtualbox.org。
23. QEMU,http://www.qemu.org。
24. B.-H。Chang和c . y .宋”,一个高效的网络攻击可视化使用安全四和多维数据集,“电子杂志,33卷,不。5,770 - 779年,2011页。视图:出版商的网站|谷歌学术搜索
25. m . Egele t他、大肠Kirda和c .克鲁格尔,”一个调查自动化动态malware-analysis技术和工具,”ACM计算调查,44卷,不。2、第六条,2012年。视图:出版商的网站|谷歌学术搜索
26. r·罗默e·布坎南、h . Shacham和野蛮,“Return-oriented编程:系统、语言和应用程序,”ACM交易信息和系统安全,15卷,不。1,第二条,2012。视图:出版商的网站|谷歌学术搜索
27. 张y、m .杨许b . et al .,“审查不可取行为与许可使用Android应用程序分析,”诉讼的ACM SIGSAC计算机和通信安全会议上(CCS的13)ACM,页611 - 622年,柏林,德国,2013年11月。视图:出版商的网站|谷歌学术搜索
28. 诉Rastogi、陈y和w·Enck”AppsPlayground:智能手机应用程序的自动安全分析,”学报》第三届ACM数据和应用程序安全会议上和隐私(CODASPY 13)新奥尔良,页209 - 220年,洛杉矶,美国,2013年2月。视图:出版商的网站|谷歌学术搜索
29. k . Chen h·约翰逊,诉德et al .,“在Android应用程序上下文策略实施许可事件图”美国第20届年度网络和分布式系统安全座谈会,13 (nds)2013年2月,圣地亚哥,加利福尼亚州,美国。视图:谷歌学术搜索
30. 猴子的工具,http://developer.android.com/tools/help/monkey.html。
31. Monkeyrunner,http://developer.android.com/tools/help/monkeyrunner_concepts.html。
32. 戴c .郑朱s, s . et al .,“Smartdroid:一个自动系统暴露在Android应用程序基于ui的触发条件,”第二届ACM车间安全与隐私在智能手机和移动设备(SPSM 12)ACM,页93 - 104年,2012年10月。视图:出版商的网站|谷歌学术搜索
33. w . Enck d . Octeau p·麦克丹尼尔,乔杜里,“Android应用程序安全性的研究,”诉讼20 USENIX安全(SEC的会议11)p。21日,旧金山,加州,美国,2011年8月。视图:谷歌学术搜索
34. r . Bhoraskar汉,j .全et al .,“Brahmastra:驱动程序测试第三方组件的安全,”第23届USENIX安全研讨会会议学报》上,页1021 - 1036,圣地亚哥,加利福尼亚州,美国,2014年8月。视图:谷歌学术搜索
35. k . o .所知,x, d .姚明,b·g·赖德江x,“Android恶意软件检测分析user-trigger依赖,”电脑与安全49卷,第273 - 255页,2015年。视图:出版商的网站|谷歌学术搜索
36. t . Azim和i Neamtiu针对性和深度优先勘探Android应用程序的系统测试,”学报ACM SIGPLAN会议系统面向对象编程语言和应用程序,页641 - 660年,印第安纳波利斯,印第安纳州,美国,2013年10月。视图:谷歌学术搜索
37. a . Parrizas和d . Adrianto监控网络流量为Android设备,2013年SANS研究所信息安全阅览室。

版权

版权©2015 Youngho金等。这是一个开放分布式下文章知识共享归属许可,它允许无限制的使用、分配和复制在任何媒介,提供最初的工作是正确引用。