无线通信和移动计算

PDF
无线通信和移动计算/<一个class="sc-htpNat bUhGXt link sc-gGCbJM eslOan breadCrumb" href="//www.newsama.com/journals/wcmc/contents/year/2018/" aria-label="2018">2018年/文章

研究文章|开放获取

体积 2018年 |文章的ID 2769417 | https://doi.org/10.1155/2018/2769417

赵Ziru彭、罗向阳、风扇、庆丰Cheng Fenlin刘, Hydra-Bite:静态污染免疫力、分裂和共谋Android设备的基础信息获取方法”,无线通信和移动计算, 卷。2018年, 文章的ID2769417, 19 页面, 2018年 https://doi.org/10.1155/2018/2769417

Hydra-Bite:静态污染免疫力、分裂和共谋Android设备的基础信息获取方法

学术编辑器:Kim-Kwang雷蒙德Choo
收到了 2018年3月08
修改后的 2018年4月17日
接受 2018年5月23日
发表 2018年7月17日

文摘

为了吸引注意的恶意使用大规模操作的应用程序,Hydra-Bite, Android设备的隐私泄漏路径通过将传统的恶意应用程序和重组来实现协作应用程序组,提出了。Hydra-Bite,首先,分析了传统隐私窃取木马获取权限设置,权限设置冗余消除分裂算法,随后采用提取最简单的关键功能设定的权限设置和分裂,形成协作应用程序组。然后,秘密通道采用群际应用删除信息的污点标记的安全方法。与此同时,一个传播媒介选择算法和信息标准化的编码方法,提出了改善效率和污染去除的隐藏属性。最后,协同外部传播的信息的基础上实现社会团体内部的应用程序的通信。实验结果表明,Hydra-Bite可能抵制约60的检测和杀死安全引擎如卡巴斯基,McAfee,奇虎360年VirusTotal平台和捕捉不同版本的隐私信息的设备从Android 4.0到Android 7.0。Hydra-Bite下列两种方法可以抵御杀害,典型的检测工具Androguard基于“permission-API”和典型的静态污染FlowDroid跟踪工具。相比与传统的隐私窃取木马,Hydra-Bite更高信息捕获率和更强antikilling性能。

1。介绍

Android操作系统广泛应用于ILDs(智能设备),涵盖家居、沟通、商业和车载终端,等报道,Android操作系统拥有全球86.2%的入住率ILD市场。ILD可以存储大量用户的关键信息,如位置、通讯记录、账户,和运动轨迹。随着大规模操作的应用程序,也就是说,同样的操作实体运行多个应用程序,这样的操作方式可能是利用信息销售组织和关键信息的用户可能被需要协作。我们探索和报告这样偷模式。第一个目的是,在研究层面,吸引相关的安全研究人员的注意。第二个目的是,在应用程序级别,促进研究中的应用安全审计机制平台。基于上述目的,本文希望在ILDs防止潜在的大规模收集用户信息的行为。

传统的信息窃取木马主要是由单个应用程序实现的。这些木马可以分为两类。第一类是根许可应用(根)和第二类非Root权限申请(根)。具体来说,典型的根的方法包括Rootcager [<一个href="#B1">1),地狱火,Jmedia Bgserv [<一个href="#B2">2]。一旦“地狱之火”成功地促进根权限通过在包嵌套,云匹配,等等,它有极强的antikilling能力。在这种情况下,普通杀毒软件不能完全消除它。然而,根类别是脆弱的。例如,在安装之前,根方法很大程度上取决于用户状态和系统环境;安装后,它可能会触发杀毒软件的报警立即推广许可之前,所以根类别可操作性差。典型的非根类别包括方法Zsone (<一个href="#B3">3],GPSSPY和Nickyspy [<一个href="#B4">4),短信追踪、Spitmo Zitmo,被盗的信息通常是通过过度申请许可。典型的非根木马Soundcomber [<一个href="#B5">5窃取的信息通过电话录音,语音识别等技术。相比之下,捕捉关键信息的方法通过应用根权限,其他方法不申请根权限识别程度较低,但不申请根权限的方法很容易阻塞或被用户通过搜索和上传信息的行为,特别是在动态许可机制引入Android。这些木马盗取大量的信息,从而对设备造成伤害的隐私。例如,无线信息和社会信息泄漏可能会导致设备的位置信息进行跟踪(<一个href="#B6">6- - - - - -<一个href="#B8">8]。

窃取木马的上面的信息,研究人员提出了多种信息保护策略。这些策略可以分为“permission-API检测和跟踪。”“permission-API”检测策略包括典型的可选择的授权工具麒麟(<一个href="#B9">10)及其改进版本顶点(<一个href="#B10">11偷渡者[],过度权限检测工具<一个href="#B11">12]和PScout [<一个href="#B12">13]等。他们通过API调用敏感判断应用是否恶意和检测风险权限组合,但这种模式误警率高,很难应对隐私窃取的方法基于“合作。”因此,“静态污染关键信息的跟踪”自2013年以来一直研究越来越多。代表的工具如下:静态分析工具ScanDroid [<一个href="#B13">14],DroidChecker [<一个href="#B14">15],Chex [<一个href="#B15">16),秘密<一个href="#B16">17)等。这些工具通过检测执行静态分析的应用程序的许可,敏感数据泄漏路径和数据流分析,等。此外,应用数据流分析工具FlowDroid [<一个href="#B17">9]建立了关键信息的传播路径“敏感源”(例如,IMEI号码,经度和纬度),“接收节点,水槽”(例如,发送短消息,在互联网上传)通过静态污染跟踪,从而跟踪污染信息流。目前,该方法已由几个安全引擎分析内核的Android应用程序,但很难实现“静态污染跟踪”系统上的底部框架。文献[<一个href="#B18">18- - - - - -<一个href="#B20">20.)其他秘密通信检测方法。

为了吸引注意恶意使用的大规模操作的应用,本文研究了安卓系统的应用程序层,提出了Hydra-Bite。具体来说,首先,Hydra-Bite使用权限分割和重建模块将传统隐私窃取木马,和协作应用程序组构造。在第一步中,问题是粗粒度的许可协作应用程序组。为了解决上述问题,权限设置冗余消除分裂算法提取的关键功能权限设置和分裂。第二,污染清洗模块和污点标记由静态污染关键信息跟踪方法清洗通过Android的秘密通道。解决问题的大品种的传播媒介和带宽(<一个href="#B21">23)、信息标准化提出了编码方法。在第二步中,为了解决这个问题,很容易被传播媒介不规则的用户操作,通信介质选择算法。实验结果表明,与传统的隐私窃取木马相比,Hydra-Bite具有更高的信息捕获率和强antisearching antikilling率。

本文的主要贡献如下。

(1)静态污染免疫力、分裂和共谋的基础信息获取方法:Hydra-Bite是Android设备的信息获取方法。这种方法可以获得信息,避免造成协作应用程序。同时,Hydra-Bite清洁标志标记通过秘密渠道安全方法。本文对Hydra-Bite发出安全警报。

(2)适当的权限集分割方法:Hydra-Bite权限集分割后提出删除冗余算法。该算法可以将权限组传统的恶意应用程序和重建后的权限集分割是一个合作的应用程序组。

(3)信息和通信媒体适应:Hydra-Bite提出了一个标准化的编码方法。这个方法解决问题困难的秘密通信媒体和信息之前适应信息进入秘密通道。

(4)动态选择的通信媒体:Hydra-Bite提出传播介质的动态选择算法。如何动态选择算法解决问题的最大的通信带宽中一些媒体都忙着的时候。

(5)污点清洁:Hydra-Bite证明现有的静态污染跟踪方法的不足。Hydra-Bite可以把编码信息通过秘密渠道,与污染,污染不能被跟踪。

其余本文的内容安排如下:在部分<一个href="#sec2">2”地狱之火”,“Soundcomber”,和“FlowDroid”作为例子来介绍相关工作两个方面的“木马”和“保护”;节<一个href="#sec3">3,详细解释方法的原理和步骤;节<一个href="#sec4">4,该方法评估两个方面的“信息采集”和“antikilling表现”;部分<一个href="#sec5">5是结论。

本部分首先说明了Hydra-Bite的功能的基础上,通过引入传统数据捕获木马“数以百计,”“Gypsymoth”,“地狱之火”,和“Soundcomber”;然后,通过引入“Permission-API”的特点和“静态污染跟踪,它解释了传统保护隐私的弱点的方法面对Hydra-Bite隐私泄漏路径。

2.1。传统关键信息获取方法

传统的关键信息获取方法是基于获得根权限和申请过多的权限。下面的部分将详细解释这两个。

(1)基于根同意收购的捕获方法。2015年6月,该病毒命名为“数百名”是活跃。数以百计的原则来捕捉信息如图<一个href="//www.newsama.com/journals/wcmc/2018/2769417/fig1/" target="_blank">1。步骤①,②,③:App携带病毒进入设备,然后释放特权优惠代码和核心模块。步骤④、⑤、⑥:促销代码许可开始工作后,系统版本的信息上传到服务器。⑦步:服务器标识系统并返回根计划与当前系统兼容的版本。步骤⑧⑨:模块使用上面的根计划入侵系统文件夹为方便假本身作为一个系统应用程序,所以可以自动起动,不能删除。⑩步和⑪:数百收集设备信息和上传服务器。

2015年12月,该病毒名为Gypsymoth活跃。Gypsymoth捕捉信息的原理图所示<一个href="//www.newsama.com/journals/wcmc/2018/2769417/fig2/" target="_blank">2。步骤①和②:病毒已经被提升为Root权限,通过系统的漏洞。步骤③:一些系统文件被Gypsymoth根权限后被提拔,这样Gypsymoth可以驻留在系统通过监测系统运行环境和嗅探文件更改。步骤④⑤:当满足基本生存需求,Gypsymoth开始捕捉信息和上传服务器。

2016年6月,该病毒命名为“地狱之火”活动。“地狱之火”的原则来捕捉信息如图<一个href="//www.newsama.com/journals/wcmc/2018/2769417/fig3/" target="_blank">3。①步:病毒携带应用进入设备。步骤②:病毒携带应用发布分包用于获得根权限。步骤③和④:分包获得当前系统的SDK版本并将其发送给服务器。步骤⑤⑥:地狱火接收从服务器返回的根计划并执行。根权限提升之后,地狱火可以寄生虫底层模块的系统和驻留在设备不断收集设备信息。

方法来捕捉关键信息当根权限提升有显著的影响。然而,这些方法有很强的用户和系统环境的依赖。这些方法不适合系统禁用Root权限或用户注意应用程序的权限。

(2)捕获方法获得过多的权限。过多的权限的权限之外的那些是必要的,以满足应用程序的功能。方法是基于过多的权限,通常申请大量的权限和伪装成正常的应用程序中,由应用程序重新打包。

2011年,Soundcomber [<一个href="#B5">5]莱等人提出的方法申请过多的许可,如录音、磁盘访问和互联网接入。当监测设备调用,这些权限的Soundcomber用于打开录音功能。然后Soundcomber将存储记录的音频文件。最后,当条件适宜,Soundcomber识别关键字从音频文件并上传网络。

2012年,Tapprints [<一个href="#B22">24]埃米利亚诺·等人提出的方法权限申请加速度计、陀螺仪和IMEI号码。Tapprints标识设备模型与IMEI号码,然后查询设备屏幕大小的模型。之后,Tapprints静静地聆听用户的点击坐标,点击屏幕上的对象。Tapprints结合机器学习方法来推断用户的输入设备,与以前的坐标和对象。

2017年,随着智能可穿戴设备的普及,Maiti等人提出的方法获取用户输入的信息通过智能穿的传感器(<一个href="#B23">25]。他们的方法申请权限访问传感器,属于移动通信设备和可穿戴设备。最后,还有观察手的动作的权限之前应用于提高获取信息的准确性。

基于过度许可上述设备信息窃取方法避免了系统环境依赖。然而,这种方法仍然具有强大的用户依赖。同时这种方法也可以被现有安全手段(<一个href="#B25">26,<一个href="#B26">27]。

2.2。防止关键信息获取方法

来检测和阻止应用程序的关键信息获取,主要有两个方法:一个基于检测的映射关系“permission-API”和其他进行静态污染分析应用,下面的部分将详细介绍两种。

(1)保护方法基于检测“Permission-API”映射。这种检测方法是基于“permission-API”映射可以估计是否应用进行关键信息捕获通过分析如果应用程序适用于高风险的权限,如根,还是应用程序调用高风险API记录和上传等组合。代表在这种类型的保护方法是PScout [<一个href="#B12">13]分析了Android系统源代码和获得API集和权限集之间的映射关系,并且可以进行API级的分析应用程序通过特定的映射关系。

如图<一个href="//www.newsama.com/journals/wcmc/2018/2769417/fig4/" target="_blank">4App1,如图<一个href="//www.newsama.com/journals/wcmc/2018/2769417/fig4/" target="_blank">4(一)是一个良性的应用程序,因为它适用于未使用敏感权限但不调用任何API泄漏关键信息;App2在图<一个href="//www.newsama.com/journals/wcmc/2018/2769417/fig4/" target="_blank">4 (b)只适用于“阅读IMEI号码”和“发短信”两个权限,其中包含关键信息捕捉的潜力。如果我们只从许可方面,分析App1和App2 App1会触发警报和错误地诊断为它申请很多关键信息阅读和上传权限并生成高风险组合。然而,如果我们从更详细分析App1和App2 API调用方面通过“permission-API”检测方法,App2将触发警报,因为它要求更危险的API的组合。因此,提高了检测精度的api级扫描应用程序。

(2)的保护方法基于静态污染跟踪应用程序。静态污染跟踪方法检测完整路径的关键信息首先被捕获的来源,水槽,它泄露源应用通过分析应用的水平。这种分析方法可以监视应用程序的数据流路径的关键信息和块捕获方法阅读应用程序申请多余的权限。代表作是FlowDroid [<一个href="#B17">9),一个Android应用的高精度静态污染跟踪方法发明的医生等。通过模仿完整的安卓系统生命周期,FlowDroid使用分析方法根据不同的要求,这是高度精确、高效的比较其他这种类型的方法。

图<一个href="//www.newsama.com/journals/wcmc/2018/2769417/fig5/" target="_blank">5污染分析说明实际情况。这幅图包含两个部分;第一个是向前污点分析(①,②,⑦),追踪污染的流动变量。第二个是向后按需分析检测别名之前标记污染了。FlowDroid生成完整的污染路径通过使用上述向前向后污染分析和随需应变分析。然而,它面临的APK文件和FlowDroid方法很难追踪污染了隐藏在内心深处的底部的系统。

3所示。该方法

本节将概述Hydra-Bite的体系结构,根据图<一个href="//www.newsama.com/journals/wcmc/2018/2769417/fig6/" target="_blank">6。首先,一些术语和概念,将出现在后来的描述定义。然后,根据图<一个href="//www.newsama.com/journals/wcmc/2018/2769417/fig6/" target="_blank">6,Hydra-Bite将概述的过程。

3.1。术语和定义

Hydra-Bite将系统地介绍部分<一个href="#sec3.1">3.1。Hydra-Bite如图的原则<一个href="//www.newsama.com/journals/wcmc/2018/2769417/fig4/" target="_blank">4。为方便以下描述,定义术语、缩写,如下所示:

(1)传统的恶意应用程序:App_TM,正常的应用程序:App_Norm。

(2)关键信息(K_Info):可以读取的信息只有当应用隐私相关权限。

(3)权限设置(PSet):应用程序应用的所有权限组成一个集合,标记为PSet,PSet可分为子集PSet_RPSet_S根据信息阅读和发送的过程。上述两个子集之间的关系如下:PSet_R∩PSet_S=∅。PSet_R∪PSet_S⊆PSet

(4)关键权限设置(KPSet):权限PSet只有相关的整个过程获得K_Info构成一组,选择记录KPSet。的KPSet可以进一步分为阅读权限的设置KPSet_R和发送权限的设置KPSet_S获得K_Info根据API调用的过程。上述集的关系如下:KPSet_R⊆PSet_RKPSet_S⊆PSet_SKPSet_R∪KPSet_S⊆KPSetKPSet_R∩KPSet_S=∅。KPSet⊆PSet

(5)与污染关键信息(K_Info_T): K_Info阅读后,静态污染跟踪方法将标签,像K_Info_T表示。

(6)规范化编码与污染关键信息(K_Info_N_T):规范化编码K_Info_T写成K_Info_N_T。

(7)规范化编码的关键信息没有污染(K_Info_N):污染后的清洗过程,K_Info_N_T污点标记冲洗掉;结果是记录为K_Info_N。

(8)秘密通道:它可以表示为一个三联体 (<一个href="#B25">26),在Android系统中共享资源; 是一个安全级别较高的通信实体,可以修改吗; 是一个安全级别较低的通信实体,可以观察到或感知。沟通从 是不允许的。完成two-entity通信的通道称为秘密通道。

(9)合作应用程序组(Co_Apps): Co_Apps是由我们Hydra-Bite方法,可以与其他应用程序组中。

3.2。过程的方法

该方法由三部分组成:Co_Apps改革之前KPSet分割模块、K_Info私有化模块化和合作传输模块。下面的步骤将被专门基于图<一个href="//www.newsama.com/journals/wcmc/2018/2769417/fig6/" target="_blank">6

(1)Co_Apps改革之前KPSet分裂(1)KPSet提取(①和②)。我们的方法解析App_TM AndroidManifest文件的安装包,KPSet提取过程中根据API调用获取K_Info。(2)KPSet分裂(③、④、⑤)。Hydra-Bite分裂KPSetKPSet_RKPSet_S根据各个阶段的阅读和发送过程中获得K_Info App_TM;(3)Co_Apps改革(⑥⑦⑧)。App_R和App_S结构化Co_Apps,根据KPSet_RKPSet_S他们只拥有。

(2)K_Info私有化(1)⑪K_Info读(⑨⑩,⑫)。在安装和执行目标Android设备,App_R将读取K_Info保护的系统安全机制,应用程序层。此时,将标记K_Info静态污染方法成为K_Info_T。(2)K_Info_T规范化(⑬和⑭)。阅读后App_R, K_Info需要被翻译成一个统一的格式,支持秘密通道,由于各种形式。因此,Hydra-Bite规范化K_Info_T K_Info_N_T通过编码。(3)K_Info_N_T(⑮和清洁)。如果此时K_Info_N_T转移,它将被检测到,因为污点标记。清洁污点,C_Chan设计在我们的方法中,这K_Info_N Hydra-Bite可以。

(3)合作转移(1)消息接收()。App_R打开信息接收组件App_S K_Info_N转移,K_Info私有化操作之后就完成了。现在K_Info_N App_R的私人信息。(2)信息传输()。接到K_Info_N后,App_R打开信息传输组件,将K_Info_N发送到接收设备通过KPSet_它拥有。在上面的流程、关键步骤将分别解释如下:KPSet分裂点播(①~⑤)和秘密通道(⑬-污染清洁)。

4所示。关键问题描述

本节将详细描述的权限分离的关键问题。权限集冗余去除后分裂,他们是关键的关键信息规范化、沟通媒体选择,通过秘密渠道和污点清洁。

4.1。关键权限集分割后删除冗余

权限设置冗余意味着,在这个过程中捕获的信息,所需数量的权限小于敏感应用程序调用api在AndroidManifest文件许可项目。解决问题,造成的Co_App的权限是粗粒度允许冗余,本节提出了一种重复数据删除算法允许设置在分裂之前。该算法使用双层的键-值映射算法提取关键权限设置,然后设置不同的标签的项目在关键权限集。算法<一个href="//www.newsama.com/journals/wcmc/2018/2769417/alg1/" target="_blank">1是算法的伪代码的主要循环。

(1)定义sApiList < apiMap < api_Name perm_Name > >:
列表< Map < String, String > >
(2)定义kPermList < permMap < perm_Name、旗> >:
列表< Map < String, String > >
(3)sApiList≠∅
(4) sApiList.size ()
/ /遍历敏感的键-值映射列表api
(5)地图sApiList.get(我).getKey ()通过映射文件
由Pscout
/ /对应敏感api映射到权限
(6)sApiList.get(我).getValue()←烫
(7)如果是第一次节目吗然后
/ /删除后的复制权限映射
(8)()
/ /分类权限之前,将它们添加到第二个键-值映射
(9)情况下是转移类许可:
(10)permMap.getKey()←烫发
(11)permMap.getValue ()←反式
(12)添加Map2kPList
(13)清晰的Map2
(14)情况下信息读取类许可:
(15)permMap.getKey()←烫发
(16)permMap.getValue ()←
(17)添加Map2kPList
(18)清晰的Map2
(19)情况下其他权限:
(20)下降
(21)其他的
(22)下降
(23)如果
(24)结束了
(25)结束时

第一层的键-值映射的目的是提取权限实际上使用的应用程序,然后删除重复项。这个过程是实现如下。首先,该算法集应用程序实际上调用的api密钥。然后算法地图api来调用所需要的权限,通过PScout[提供的映射文件<一个href="#B12">13]。算法的实现的原因是,在某些情况下一个许可可以调用多个API。例如,允许READ_CALL_LOG可以调用api可以阅读称之为类别和时间。这一层的键-值映射显示在(5)-(6)的伪代码,在算法<一个href="//www.newsama.com/journals/wcmc/2018/2769417/alg1/" target="_blank">1

第二层的键-值映射的目的是将实际使用的权限的应用,根据类别。这个过程是实现如下。首先,提取的算法改进真正的许可权限项相关的关键信息。这个过程是关键权限设置的产物。然后,该算法分类,标签的关键权限设置的项目,根据阅读或发送信息。最后,该算法集项目关键权限设置为每一项的键和设置标签值。最后,Hydra-Bite可以分裂的关键权限设置根据标签。这一层的键-值映射显示在(7)-(23)行伪代码,在算法<一个href="//www.newsama.com/journals/wcmc/2018/2769417/alg1/" target="_blank">1

4.2。关键信息标准化

有两个问题需要解决预处理的关键信息。一个问题是关键信息。因为不同的存储类型和内容丰富的信息在Android设备,我们统计的一些关键信息的存储格式存储在设备和表所示<一个href="//www.newsama.com/journals/wcmc/2018/2769417/tab1/" target="_blank">1。””表明,关键信息存在于这种格式或内容。可以看出,一些关键的信息存储在表中<一个href="//www.newsama.com/journals/wcmc/2018/2769417/tab1/" target="_blank">1不同类型和内容。另一个问题是。不同的共享资源有不同形式的存在和通信带宽。把闹钟的音量和屏幕的亮度为例;体积的阈值和亮度是主,0 - 255整数数字,分别。可以看出,由于格式和内容的不团结,适应之间共享资源和不同的关键信息是很困难的。


IMEI
数量
好位置 联系人 调用类型 调用日期 短信内容

信息类型
字符串
Int
信息内容
数量
字符
中国
其他语言

共享资源是由系统决定,很难修改。因此,在本部分中,针对上述问题,一个方法规范化提出了关键信息。该方法分为格式统一的模块和信息编码模块。流程图如图<一个href="//www.newsama.com/journals/wcmc/2018/2769417/fig7/" target="_blank">7。方法的步骤如下。

步骤1。要处理的关键信息转化为字符串,方便后续的编码。

步骤2。为了统一格式的信息,所有的字符都转换成hex-code。

步骤3。hex-code转换为二进制代码,然后将二进制代码转化为八进制代码

为方便共享资源的动态选择,每一位的编码信息必须小于带宽共享资源的阈值;除了共享资源的修改和观察是一个费时的过程。考虑到时间成本和带宽利用率,Hydra-Bite选择把hex-code变成八进制代码。

后的字节数将增加信息编码。本文计算了信息编码后的字节数。当 是一个数字,之前的字节数编码和编码后的字节数(<一个href="#EEq1">1)。当 一个字母,关系是(<一个href="#EEq1">2)。

4.3。通信媒体选择

Hydra-Bite解决另一个问题是共享资源的选择。有许多类型的共享资源,以及它们之间的通信带宽是不同的。这些共享资源很容易被不规则的用户操作,导致低污染清洁效率和隐藏的方法。

在本节中,为了解决上述问题,通信媒体选择算法。通过动态查询共享资源的占用状态,该算法迭代的最大的占用状态是错误的。结果是最优的共享资源。

图的流程图<一个href="//www.newsama.com/journals/wcmc/2018/2769417/fig8/" target="_blank">8算法的伪代码<一个href="//www.newsama.com/journals/wcmc/2018/2769417/alg2/" target="_blank">2描述算法的主循环。首先,一组“中等国家”键-值映射用于识别的占用状态。Hydra-Bite集“关键”并设置占用状态为“价值。”算法的查询实时和动态识别其状态,以实现可用资源的筛选((4)-(5)行伪代码)。然后Hydra-Bite查询在“键-值”映射表和递归迭代”fastKey更高的带宽来部署有效(6)-(7)行伪代码)。通信媒体动态选择的具体过程如下。

(1)statList≠∅
(2)声明fastKey:字符串
(3) 0到statList.size ()通过增加//遍历键-值映射列表
(4)statList.get(我).getKey ()没有人买
/ /判断是否“关键”在当前的键-值映射是否占据
(5)查询带宽statList.get(我).getKey ()
speedMap < res,带宽>
/ /查询空闲的“关键”“sr -带宽”键表中的带宽
(6)如果带宽>value.speedMap (fastKey)
value.speedMap (fastKey)=零然后
(7)fastKey statList.get(我).getKey ()
/ /迭代共享资源具有更高的带宽
(8)如果
(9)结束时
(10)结束了
(11)返回fastKey/ /返回结果的迭代
(12)结束时

步骤1。定义状态列表statList<>及其内部“键-值”地图<,OccStat>,共享资源的名称设置为“关键”和入住率的地位”的价值。”然后判断statList是空的,如果statList是空的,它表明,预置共享资源都被用户操作,和当前设备状态不适合清洁操作。如果statList不是空的,那么国家列表遍历。

步骤2。遍历的零值开始的statList。如果当前的状态入住率是真的,下一个值statList将判断。如果当前的状态入住率是假的,然后查询当前带宽。

步骤3。比较当前的带宽与以前的带宽。如果当前老的年代带宽很大,给当前的带宽分配fastKey。如果当前的带宽值很小,那么第一个老的年代带宽仍是fastKey

步骤4。不管什么带宽值fastKey使用在前面的步骤中,继续遍历statList直到循环结束条件满足。

4.4。污点清洁通过秘密渠道

在本节的讨论,读者需要知道秘密通道的定义部分<一个href="#sec3.1">3.1(<一个href="#B25">26)和IFDS算法(<一个href="#B27">28]。

数据流向较低的系统层很难被跟踪静态污染跟踪方法(STT)。因此污染由 不能连续跟踪STT流入的过程中底部的操作系统。可以获得同样的原因;阅读的信息来源 不能STT追踪的。这种沟通是不允许的,因为两个实体通过安全策略不沟通。在这一点上 组建了一个秘密通道沟通三元组。

图<一个href="//www.newsama.com/journals/wcmc/2018/2769417/fig5/" target="_blank">5显示的原则 , 去除污点跟踪的秘密通道。污染数据流图所示红色指示线。在图的左边<一个href="//www.newsama.com/journals/wcmc/2018/2769417/fig9/" target="_blank">9(一个),代码段1显示的过程 (一个通过变量)传播它携带的信息 (str1)。右边的图<一个href="//www.newsama.com/journals/wcmc/2018/2769417/fig9/" target="_blank">9(一个),IFDS图数据流分析的结果是基于图的可达性str1使用IFDS算法(<一个href="#B27">28]。在图<一个href="//www.newsama.com/journals/wcmc/2018/2769417/fig9/" target="_blank">9 (b)代码段2显示了通信的实体bstr2实现传播的目的关键信息的秘密通道通过修改和阅读同步的。Hydra-Bite需要穿过框架层,库层和内核层到硬件层修改和阅读。以体积为例;改变体积,卷管理器(AudioManger)需要调用系统卷服务(AudioService)进入卷系统(AudioSystem),它可以操作AP-CP司机在硬件抽象层(HAL)。在这一点上STT很难标记shar_Res ( )和str2 ( )。

5。实验结果

核实Hydra-Bite方法的有效性,本文验证Hydra-Bite方法带来的威胁隐私信息本身通过关键信息采集实验和演示了Hydra-Bite的功能可访问性。实验运行时开销用于验证Hydra-Bite方法足以传递足够的信息在有限的时间内,演示了该方法的实用性在时间开销。antikilling性能实验用于验证Hydra-Bite方法可以空白现有主流的杀人方法,这表明Hydra-Bite方法的宽容面对死亡的方法。

5.1。关键信息采集实验

(1)关键信息采集实验的设置。在本节中,捕捉关键信息的性能,评估Hydra-Bite方法将在8个不同的Android版本中实现。这些版本的Android 4.0, Android 4.1……Android 7.0。实验设备模型和相应的Android内核版本,Android API,和市场份额如表所示<一个href="//www.newsama.com/journals/wcmc/2018/2769417/tab2/" target="_blank">2市场份额,为第一周使用Google的官方网站,2018年统计数据:developer.android.com。


序列号 Android内核版本 Android API 市场份额 设备模型

1 Android4.0 15 0.40% 星系注意二世
2 Android4.1 16 1.70% 米2
3 Android4.3 18 0.70% MI 2 s
4 Android4.4 19 12.00% 小米3
5 Android5.0 21 5.40% MI 4 lte-cu
6 Android5.1 22 19.20% MI 4-LTE
7 Android6.0 23 28.10% OPPO-A57
8 Android7.0 24 28.50% MI 6
- - - - - - - - - - - - 96.00% - - - - - -

(2)关键信息采集实验的结果和讨论。App_R构造和App_S评估Hydra-Bite的捕捉关键信息的能力。构造App_R阅读和清洁的关键信息。App_S构造来接收从App_R清洗信息和发送到接收设备。在表中列出的8版本的Android<一个href="//www.newsama.com/journals/wcmc/2018/2769417/tab2/" target="_blank">2,这部分测试的捕捉能力Co_Apps六个关键信息项列在表中<一个href="//www.newsama.com/journals/wcmc/2018/2769417/tab3/" target="_blank">3地理位置、设备状态、设备状态,等等。这些关键信息项,Android系统要求危险的权限访问。实验结果如表所示<一个href="//www.newsama.com/journals/wcmc/2018/2769417/tab3/" target="_blank">3:””和“”,分别代表这个操作是成功的,这个操作需要动态地授予许可。


许可 安卓
4.0
安卓
4.1
安卓
4.3
安卓
4.4
安卓
5。0
安卓
5。1
安卓
6.0
安卓
7.0

SendInfo阅读的关键信息
位置
设备状态
联系
SMS消息
无线网络状态
通话记录
GetInfo接收信息的关键
位置
设备状态
联系
SMS消息
无线网络状态
通话记录
GetInfo发送的关键信息
互联网
短信

在表<一个href="//www.newsama.com/journals/wcmc/2018/2769417/tab3/" target="_blank">3、数据分别显示的结果操作:App_R获得关键信息,App_S接收App_R的消息,App_S送外的关键信息。在Android 6.0之前,Co_Apps可以直接读取关键信息和发送。Android 6.0后,询问当Co_Apps读取和发送。上述结果的原因是Android 6.0后,系统采用动态权限授予机制,让用户决定是否授予应用程序允许在运行时。

5.2。运行时间开销的性能实验

(1)运行时开销的性能实验的设置。在Hydra-Bite方法 污点清洁操作是通过秘密渠道进行的,在访问底层资源需要每字节操作两次,可耗时。本文说明了Hydra-Bite方法的实用性的时间成本通过检查的时间开销污点清洁过程。

在本节实验运行开销的性能,使用设备模型MI_NOTE测试时间开销的三个秘密通道”报警音量”,“屏幕亮度,”和“系统日志。“设备配备了Android 6.0系统和其他硬件参数,下面列出了影响性能。实验设备使用基于CPU的主频2.45 ghz。设备的运行内存是3.00 gb。和内核的版本是3.4.0-gf4b741d-00639-ge918701。

(2)运行时开销性能试验的结果和讨论。运行时开销性能实验结果如图<一个href="//www.newsama.com/journals/wcmc/2018/2769417/fig10/" target="_blank">10。每个秘密通道的结果用不同的符号和颜色。绿色虚线代表的数据量,可以在第二次清洗。

可以看出,当编码信息的字节数时,系统日志的秘密通道的时间开销是最贵的,因为Android系统过程产生大量的日志。从这些日志过滤编码信息是耗时。屏幕的亮度秘密通道时间开销是最小的,因为访问和亮度变化的值是由不同的系统模块,完成这“分离”使它更容易避免等待硬件响应。清洁的上述三个秘密通道78 b / s, 280 b / s,和5.5 kb / s,足以传递一定的信息。

5.3。权限设置分割效果实验

(1)允许分裂效应实验的设置。在本部分中,VirusTotal平台作为一种有效的检测工具用于协作应用程序组。平台是由sistema multiengine文件扫描工具在2004年(<一个href="#B28">21]。通过多个安全引擎和VirusTotal检测上传文件来确定是否存在恶意行为。一些使用的防病毒引擎VirusTotal表列出<一个href="//www.newsama.com/journals/wcmc/2018/2769417/tab4/" target="_blank">4


序列号 杀毒引擎 国家

1 阿里巴巴 中文
2 Antiy-AVL 中文
3 百度 中文
4 BitDefender 肾阳
5 Arcabit 波尔
6 CAT-QuickHeal 印第安纳州
7 科摩多 美国
8 江民 中文
9 卡巴斯基 美国
10 金山 中文
11 迈克菲 美国
12 微软 美国
13 奇虎360 中文

本文选择10应用分割从恶意应用程序设置表<一个href="//www.newsama.com/journals/wcmc/2018/2769417/tab5/" target="_blank">5作为样本。这些样品都有冗余的许可,他们应用多个关键信息阅读权限和权限发送类。发送权限类、阅读类权限和VirusTotal检出率的样品在表中列出<一个href="//www.newsama.com/journals/wcmc/2018/2769417/tab6/" target="_blank">6,<一个href="//www.newsama.com/journals/wcmc/2018/2769417/tab7/" target="_blank">7,<一个href="//www.newsama.com/journals/wcmc/2018/2769417/tab8/" target="_blank">8,分别。”“显示样品申请许可和“■”表示样品不申请许可。MD5值对应的样本在VirusTotal平台上也列出。


序列号 起源 国家 数量

1 VirousShare 美国 109年
2 MalGenome 美国 73年
3 GitHub 美国 26
4 zeltser.com 美国 19
5 bbs.pediy.com 中文 17
6 bbs.kafan.cn 中文 15
7 谷歌, 美国 14
9 bbs.duba.net 中文 14
10 52 pojie.cn 中文 13
11 bbs.mumayi.net 中文 12
12 其他人 - - - - - - 26
- - - - - - - - - - - - 338年


数量的样品 MD5值的样本 互联网 SEND_SMS CALL_PHONE

Mal_1 744年c9f9ef5a3ad2559174523f1fd664d
Mal_2 844年bc220827f50539c67d09c3998a0da
Mal_3 899年c92f0db1ec69e091795f4ddd251df
Mal_4 4914年c06560cdc3dfaca7c81eea9a33eb
Mal_5 5192年ad05597e7a148f642be43f6441f6
Mal_6 5895年bcd066abf6100a37a25c0c1290a5
Mal_7 8947年eae5c65df02d9c538b12ddaf636f
Mal_8 2908873 c8ab99faa94ffe596499bd8f9
Mal_9 4884112 ac7e599bd4dc20ccc91ce870c
Mal_10 375151412 aff0b21d72207f08665d16d


数量的样品 MD5值的样本 好位置 设备状态 联系人 短信内容 无线网络状态 通话记录

Mal_1 744年c9f9ef5a3ad2559174523f1fd664d
Mal_2 844年bc220827f50539c67d09c3998a0da
Mal_3 899年c92f0db1ec69e091795f4ddd251df
Mal_4 4914年c06560cdc3dfaca7c81eea9a33eb
Mal_5 5192年ad05597e7a148f642be43f6441f6
Mal_6 5895年bcd066abf6100a37a25c0c1290a5
Mal_7 8947年eae5c65df02d9c538b12ddaf636f
Mal_8 2908873 c8ab99faa94ffe596499bd8f9
Mal_9 4884112 ac7e599bd4dc20ccc91ce870c
Mal_10 375151412 aff0b21d72207f08665d16d


数量的样品 MD5值的样本 VirusTotal检测结果 VirusTotal报警率

Mal_1 744年c9f9ef5a3ad2559174523f1fd664d 33/58 52.34%
Mal_2 844年bc220827f50539c67d09c3998a0da 33/57 57.89%
Mal_3 899年c92f0db1ec69e091795f4ddd251df 33/55 60.00%
Mal_4 4914年c06560cdc3dfaca7c81eea9a33eb 37/57 64.91%
Mal_5 5192年ad05597e7a148f642be43f6441f6 49/62 79.03%
Mal_6 5895年bcd066abf6100a37a25c0c1290a5 49/62 79.03%
Mal_7 8947年eae5c65df02d9c538b12ddaf636f 45/62 72.58%
Mal_8 2908873 c8ab99faa94ffe596499bd8f9 32/54 59.26%
Mal_9 4884112 ac7e599bd4dc20ccc91ce870c 32/57 56.14%
Mal_10 375151412 aff0b21d72207f08665d16d 42/56 75.00%

Hydra-Bite将权限设置根据是否存在冗余或是否分类,并使用“_NE_NTS、_E_NTS _NE_TS, _E_TS”标记的后缀。的含义如表所示<一个href="//www.newsama.com/journals/wcmc/2018/2769417/tab9/" target="_blank">9


序列号 标记 意义

1 _NE_NTS 没有消除冗余和没有分裂的分类
2 _E_NTS 消除冗余和没有分裂的分类
3 _NE_TS 没有消除冗余和分裂的分类
4 _E_TS 消除冗余和分裂的分类

(2)允许分裂效应实验的结果和讨论。合作应用程序组的实验结果antikilling绩效评估图所示<一个href="//www.newsama.com/journals/wcmc/2018/2769417/fig11/" target="_blank">11。检测结果如图<一个href="//www.newsama.com/journals/wcmc/2018/2769417/fig11/" target="_blank">11是指应用程序在应用程序组的平均报警率。每个样本的结果用不同的符号和颜色。四种类型的结果是分开的蓝色垂直的虚线。红色虚线代表不同的阈值分割方法。以下可以看到:

(1)权限设置由分类分别冗余或分裂,从而改善antikilling合作应用程序组的性能。

(2)权限设置是多余的和分裂的分类,可以得到最好的antikilling合作应用程序组的性能。

(3)单独权限集是分裂的分类法将增强antikilling性能比单独产生的结果是多余的。

原因是防病毒引擎对潜在的敏感信息披露。权限集的冗余,通过简单的消除单个应用程序内的合作应用程序组由Hydra-Bite重建,仍有潜在风险信息披露的应用。

5.4。Antikilling性能实验

(1)Antikilling性能实验的设置。在antikilling性能实验中,实验样本分为6个部分:

(1)恶意软件样本的内容是一样的表6 - 8。

(2)DroidBench DroidBench测试集样本是随机选择,提出了一种微基准测试套件和详细描述了文献[<一个href="#B17">9]。

(3)样品没有污点清洁和直接传输:1中所示的示例设置类别,表<一个href="//www.newsama.com/journals/wcmc/2018/2769417/tab10/" target="_blank">10。在阅读的关键信息,样品不清洁污点标记的安全方法。他们将信息发送到外部设备直接通过相应的外部传输许可。没有这种样品之间的合作,所以列IPC充满“■”。


类型的序列号 类型的样本 样品名称 目标信息 IPC传输方式 发送模式

1 非合作 Capture1 IMEI号码 SMS消息
分动箱没有 Capture2 位置 互联网
污染清理 Capture3 联系 SMS消息

2 非合作 SoundClean IMEI号码 SMS消息
转移情况 LogClean 位置 互联网
污染清理 ScreenClean 联系 SMS消息

3 NSound_R IMEI号码 意图
Sound_S SMS消息
Co_Apps NLog_R 位置 意图
没有污点清洁 Log_S 互联网
NScreen_R 联系 意图
Screen_S SMS消息

4 CSound_R IMEI号码 意图
Sound_S SMS消息
Co_Apps CLog_R 位置 意图
与污染清理 Log_S 互联网
CScreen_R 联系 意图
Screen_S SMS消息

(4)样品直接与污点清洁和传输:显示了样本集第二类别,表<一个href="//www.newsama.com/journals/wcmc/2018/2769417/tab10/" target="_blank">10,添加一个污点清洁模块前面的样品。三个秘密通道体积、系统日志和屏幕的亮度是用来清理污染。他们没有将信息发送到外部设备直接与它们之间的IPC。

(5)合作应用样本没有污点清洁。第三类,所示的样本集表<一个href="//www.newsama.com/journals/wcmc/2018/2769417/tab10/" target="_blank">10。1日类别中,样本的权限集分割和重构样本集。组通信的应用程序直接与意图。“_R”后缀代表一个应用程序,该应用程序拥有信息读取权限。“_”后缀代表一个应用程序,该应用程序拥有信息发送权限。

(6)合作应用样本污染清洁:4中所示的示例设置类别,表<一个href="//www.newsama.com/journals/wcmc/2018/2769417/tab10/" target="_blank">10,添加一个污点清洁模块前面的样品。

实验环境设置如下:

(1)Android 6.0设备。实验样本集是安装在设备中所描述的部分<一个href="#sec5.2">5。2(1)测试样品是否可以顺利安装。

(2)VirusTotal平台。表中提到的VirusTotal平台<一个href="//www.newsama.com/journals/wcmc/2018/2769417/tab6/" target="_blank">6和文献[<一个href="#B22">24]。本节使用VirusTotal测试样本的杀毒性能。

(3)Androguard [<一个href="#B26">27]。开展“permission-API”检测和报告危险的样本API调用的组合。Python版本构建Androguard 2.7.10, PScout[提供的映射文件<一个href="#B12">13]。Androguard的运行环境:Androguard运行在赢得10个专业版与64位的寄存器的宽度。必要的Python, JDK和2.7.10 SDK版本,1.8,分别和18。

(4)FlowDroid [<一个href="#B17">9]。这个工具的运行环境是下面列出的。该工具的系统环境是赢得10个专业版,64位的寄存器的宽度。在系统中,JDK 1.8版本和Android API。此外,一些官员FlowDroid支持由于一个更新包不可用或缺乏资源。本文改变所有slf4j包提供正式1.8.0测试版。

(2)Antikilling性能试验的结果和讨论。评估Hydra-Bite在现实的生存性能设备,杀毒引擎,“permission-API”映射检测,和污染跟踪检测,本节将使用上面的设置部分<一个href="#sec5.4">5。4(1)进行实验,结果如表所示<一个href="//www.newsama.com/journals/wcmc/2018/2769417/tab11/" target="_blank">11。每一列在表的含义<一个href="//www.newsama.com/journals/wcmc/2018/2769417/tab11/" target="_blank">11如下。


样本来源 测试用例
(许可/
敏感的API)
水槽
(许可/
敏感的API)
Android 6.0
警告
(T / F)
VirusTotal [<一个href="#B28" target="_blank">21](警告/
探测器)
Androguard [<一个href="#B29" target="_blank">22]
(总权限/
敏感的api)
FlowDroid [<一个href="#B17" target="_blank">9]
(源/汇)

恶意样本(表<一个href="//www.newsama.com/journals/wcmc/2018/2769417/tab5/">5) Mal_1 5 /■ 3 /■ T 33/58
Mal_2 5 /■ 2 /■ T 33/57
Mal_3 5 /■ 3 /■ T 33/55
Mal_4 5 /■ 1 /■ T 37/57
Mal_5 6 /■ 2 /■ T 49/62
Mal_6 5 /■ 2 /■ T 49/62
Mal_7 3 /■ 2 /■ T 45/62
Mal_8 4 /■ 2 /■ T 32/54
Mal_9 5 /■ 2 /■ T 32/57
Mal_10 5 /■ 3 /■ T 42/56

DroidBench测试用例(<一个href="#B17" target="_blank">9] Merge1 1/1 1/1 T 27/54 4 / /
DirectLeak1 1/1 1/1 T 27/55 4 / ,/
ArrayAccess1 1/1 1/1 F 28/61 4 / ,/
Button3 1/1 1/1 T 9/57 5 / /
ContentProvider1 1/1 1/1 T 25/55 4 / ,/,
FieldSensitivity1 1/1 1/1 F 23/54 4 / ,/
Loop1 1/1 1/1 T 33/59 4 / ,/
ImplicitFlow1 1/1 0 F 12/57 2 / /
ActivityLifecycle2 1/1 1/1 T 32/62 4 / ,/
Reflection1 1/1 1/1 T 28/55 4 / ,/
回声 1/1 1/1 T 17/62 3 / /
IntentSink2 1/1 1/1 T 30/61 2 / ,/,
EventOrdering1 1/1 1/1 F 28/59 6 / ,/
Executor1 1/1 1/1 T 21/58 4 / /
JavaThread2 1/1 1/1 F 22/60 4 / ,/
AsyncTask1 1/1 1/1 T 18/55 3 / ,/

非合作分动箱没有污点清洁(表<一个href="//www.newsama.com/journals/wcmc/2018/2769417/tab10/">10) Capture1 1/1 1/1 F 14/59 2 / /
Capture2 1/1 1/1 F 21/60 2 / /
Capture3 1/1 1/1 F 17/56 2 / /

非合作分动箱(表<一个href="//www.newsama.com/journals/wcmc/2018/2769417/tab10/">10) SoundClean 1/1 1/1 F 10/62 4 / /
LogClean 1/1 1/1 F 11/61 6 / /
ScreenClean 1/1 1/1 F 13/62 5 / /

Co_Apps没有污点清洁(表<一个href="//www.newsama.com/journals/wcmc/2018/2769417/tab10/">10) NSound_R 1/1 1/1 F 2/62 3 / /
Sound_S 1/1 1/1 F 5/60 2 / /
NLog_R 1/1 1/1 F 2/59 4 / /
Log_S 1/1 1/1 F 3/62 2 / /
NScreen_R 1/1 1/1 F 3/63 4 / /
Screen_S 1/1 1/1 F 6/57 2 / /

Co_Apps污点清洁(表<一个href="//www.newsama.com/journals/wcmc/2018/2769417/tab10/">10) CSound_R 1/1 1/1 F 2/62 3 / /
Sound_S 1/1 1/1 F 5/60 2 / /
CLog_R 1/1 1/1 F 2/59 4 / /
Log_S 1/1 1/1 F 3/62 2 / /
CScreen_R 1/1 1/1 F 3/63 4 / /
Screen_S 1/1 1/1 F 6/57 2 / /

“源”列记录样本的数量的信息阅读权限和api。

“沉”列记录样本的数量的传输权限和api。

“Android 6.0”列记录样品和安装实验是否触发报警。

“VirusTotal”列记录样品的报警数量VirusTotal平台和孔数量的参与引擎。

“Androguard”和“FlowDroid”由两个工具列记录实验结果。符号的意义出现在桌子上<一个href="//www.newsama.com/journals/wcmc/2018/2769417/tab11/" target="_blank">11在下面描述。

”:检测到不安全的对象和警报。

”:假阳性,警惕的对象符合安全规则。

”:没有检测到不安全的对象。

”:检测潜在的不安全的对象,不警惕,因为没有对象与它合作。

本节分析实验结果表<一个href="//www.newsama.com/journals/wcmc/2018/2769417/tab11/" target="_blank">11如下:

(1)恶意软件样本。所有这些样本Android6.0安装实验触发警报。VirusTotal平台及其报警率高于其他样本集。由于封隔器、模糊技术、Androguard FlowDroid不能对它们进行分析。

(2)DroidBench样品。明显的动作捕捉关键信息,这个示例设置报警率高VirusTotal平台和Android系统安装成功率低。

(3)样品没有污点清洁和直接传输。样品不清洁污点标记的安全方法。他们直接将信息发送到外部设备。上述行为触发警报VirusTotal平台上,平均报警率为29.70%。“Androguard”和“FlowDroid”也为它们生成警报。

(4)样品污染清洁和直接传输。因为污染清洗,FlowDroid不会产生警报。报警率由这组样本VirusTotal平台上已经减少,平均报警率是15.04%。和Androguard生成警报,因为没有协作应用程序组。

(5)合作应用程序没有污点清洁样品。因为污染没有清洗,FlowDroid产生报警信息的阅读应用。

(6)合作应用程序和样品污染清洗。“Androguard”和“FlowDroid“不要为这组样本生成警报,因为合作应用程序和清理污染。此外,报警率造成的这组样品是VirusTotal平台,显著降低,平均报警率是5.85%。

可以看出,在FlowDroid,发送应用程序检测到的源点,但FlowDroid不报警。原因是它接收的信息没有污点和直接发送它。因此Hydra-Bite可以清洁污染由FlowDroid标记,它可以抵御检测工具基于“permission-API”,它有一个安装成功率高和低VirusTotal报警率,结果表明,Hydra-Bite方法对用户隐私antikilling性能有足够的威胁。

6。结论

本文通过Hydra-Bite隐私泄漏路径信息披露的关键是研究。目的是为了提醒研究者促进安全工作的进步对共谋攻击和污染清洗。Hydra-Bite方法是一个恶意应用程序用户隐私造成威胁的变体在大规模应用的背景下操作。Hydra-Bite分裂和传统隐私窃取木马重新组织成一个协作应用程序组的权限划分模块,并使用污染清洗模块由静态污点洗污点标记跟踪方法的通信实体携带关键信息通过Android秘密通道将清洗关键信息发送给其他设备通过协作发送模块。原理分析和实验结果表明,Hydra-Bite不控制当前安全机制的性能和antikilling性能比传统隐私窃取木马。我们未来的研究将集中在改进现有静态污染跟踪机制与“粘性”标签的关键信息污染。

数据可用性

使用的数据来支持本研究的发现可以从相应的作者。

的利益冲突

作者宣称没有利益冲突。

确认

工作提出了支持中国的国家自然科学基金(U1736214 U1636219号,61602508,61772549,61572052),中国国家重点研发项目(2016号。2016 yfb0801303 qy01w0105)、河南省科技创新人才计划(没有。2018 jr0018),河南省的关键技术研发项目(没有。162102210032)。

引用

  1. m . Alazab诉Monsamy l .板条r .田和p . Lantz“分析的恶意和良性的android应用程序,”美国第32 IEEE国际会议分布式计算系统研讨会(ICDCSW 12)2012年6月,页608 - 616。视图:<一个href="https://scholar.google.com/scholar_lookup?title=Analysis%20of%20malicious%20and%20benign%20android%20applications&author=M. Alazab&author=V. Monsamy&author=L. Batten&author=R. Tian&author=&author=P. Lantz" target="_blank">谷歌学术搜索
  2. h·l . Thanh”分析恶意软件的家庭在android手机:检测特征识别的普通手机用户以及如何修复它,”《信息安全,4卷,不。4、213 - 224年,2013页。视图:<一个href="https://doi.org/10.4236/jis.2013.44024">出版商的网站|谷歌学术搜索
  3. a . j . Alzahrani和a . a . Ghorbani SMS移动僵尸网络检测使用多代理系统,”诉讼的第一国际研讨会上代理和网络安全,页1 - 8,巴黎,法国,2014年5月。视图:<一个href="https://doi.org/10.1145/2602945.2602950">出版商的网站|谷歌学术搜索
  4. a·卡斯蒂略C,“Android恶意软件过去、现在和未来。”McAfee移动安全工作组的白皮书,2011年。视图:<一个href="https://scholar.google.com/scholar_lookup?title=Android%20malware%20past,%20present,%20and%20future&author=A. Castillo C&publication_year=2011" target="_blank">谷歌学术搜索
  5. k·r·施莱格尔张x周et al .,“Soundcomber:隐形和上下文感知声音智能手机木马,”《网络和分布式系统研讨会(nds的11),17-33,2011页。视图:<一个href="https://scholar.google.com/scholar_lookup?title=Soundcomber:%20a%20stealthy%20and%20context-aware%20sound%20Trojan%20for%20smartphones&author=R. Schlegel&author=K. Zhang&author=X. Zhou et al." target="_blank">谷歌学术搜索
  6. f .赵w·史、y Gan和罗x, z Peng”定位和跟踪方案基于大数据的目标团伙的wi - fi的地点,”集群计算,3卷,1 - 12,2018页。视图:<一个href="https://doi.org/10.1007/s10586-018-1737-7">出版商的网站|谷歌学术搜索
  7. w·施问:x罗,f .赵问:程,甘y, z Peng“确定一个微信用户拍摄地基于报道和实际距离之间的关系,“国际期刊的分布式传感器网络,4卷,不。14日,2018年。视图:<一个href="https://doi.org/10.1177/1550147718774462">出版商的网站|谷歌学术搜索
  8. 罗w . y . Liu x y, y . m .刘et al。”定位算法基于信号强度的室内无线接入点的相对关系和地区部门,“电脑,材料和连续,55卷,不。1,第93 - 71页,2018。视图:<一个href="https://scholar.google.com/scholar_lookup?title=Localization%20algorithm%20of%20indoor%20Wi-Fi%20access%20points%20based%20on%20signal%20strength%20relative%20relationship%20and%20region%20division&author=W. Y. Liu&author=X. Y. Luo&author=Y. M. Liu et al.&publication_year=2018" target="_blank">谷歌学术搜索
  9. 美国医生,s . Rasthofer c . Fritz et al .,“Flowdroid:精确的背景下,流、字段object-sensitive和lifecycle-aware污点分析为Android应用程序,”ACM SIGPLAN通知卷,49号6,259 - 269年,2014页。视图:<一个href="https://doi.org/10.1145/2666356.2594299">出版商的网站|谷歌学术搜索
  10. w . Enck、m . Ongtang和p•麦克丹尼尔“轻量级的移动电话应用程序认证”学报》16日ACM关于计算机和通信安全的会议ACM,页235 - 245年,2009年11月。视图:<一个href="https://doi.org/10.1145/1653662.1653691">出版商的网站|谷歌学术搜索
  11. m . Nauman s汗,x张“顶点:扩展Android许可模型和执行用户定义运行时限制,”第五届ACM学报》研讨会信息,计算机和通信安全(ASIACCS 10),第332 - 328页,北京,中国,2010年4月。视图:<一个href="https://doi.org/10.1145/1755688.1755732">出版商的网站|谷歌学术搜索
  12. a p, e·哈,s . Egelman a·哈尼e .下巴,和d·瓦格纳,“Android权限:用户的关注、理解和行为”学报》8日适用的隐私与安全研讨会”(汤12)美国,华盛顿特区,2012年7月。视图:<一个href="https://doi.org/10.1145/2335356.2335360">出版商的网站|谷歌学术搜索
  13. k . w . y . Au y . f .周z,黄和d .撒谎,“PScout:分析Android规范许可,”诉讼的ACM计算机和通信安全会议(CCS的12)ACM,页217 - 228年,2012年10月。视图:<一个href="https://doi.org/10.1145/2382196.2382222">出版商的网站|谷歌学术搜索
  14. 大肠的下巴,a . p .觉得k .格林伍德·d·瓦格纳,“分析在Android应用程序之间的通信,”学报》第九届国际会议在移动系统中,应用程序和服务(MobiSys ' 11)2011年7月,页239 - 252。视图:<一个href="https://scholar.google.com/scholar_lookup?title=Analyzing%20inter-application%20communication%20in%20Android&author=E. Chin&author=A. P. Felt&author=K. Greenwood&author=&author=D. Wagner" target="_blank">谷歌学术搜索
  15. l·c·p·p·f . Chan k .回族和s . m .姚”DroidChecker:分析泄漏,android应用程序的能力”第五届ACM研讨会论文集在无线和移动网络安全和隐私(WiSec 12)2012年4月,页125 - 136。视图:<一个href="https://scholar.google.com/scholar_lookup?title=DroidChecker:%20analyzing%20android%20applications%20for%20capability%20leak&author=P. P. F. Chan&author=L. C. K. Hui&author=&author=S. M. Yiu" target="_blank">谷歌学术搜索
  16. l . Lu z, z, w·李和g .江”Chex:静态审查Android应用程序组件劫持漏洞,”诉讼的ACM计算机和通信安全会议(CCS的12)2012年10月,页229 - 240。视图:<一个href="https://doi.org/10.1145/2382196.2382223">出版商的网站|谷歌学术搜索
  17. h .阿訇,a . Sadeghi j·加西亚,s .马列”的秘密:成分分析的Android inter-app泄漏许可,”IEEE软件工程第41卷。。9日,第886 - 866页,2015年。视图:<一个href="https://doi.org/10.1109/TSE.2015.2419611">出版商的网站|谷歌学术搜索
  18. 罗x y y, y、x y, z包,和y张”,选择丰富的基于决策粗糙集模型隐写式密码解密功能α阳性的地区减少。”IEEE电路和系统视频技术, 2018年。视图:<一个href="https://doi.org/10.1109/TCSVT.2018.2799243">出版商的网站|谷歌学术搜索
  19. y, c .秦w·m·张f . Liu和x罗,”一类的容错性能鲁棒图像隐写术,”信号处理卷,146年,第111 - 99页,2018年。视图:<一个href="https://doi.org/10.1016/j.sigpro.2018.01.011">出版商的网站|谷歌学术搜索
  20. 罗x y、x f .歌,李x y . et al .,“隐写式密码解密syndrome-trellis-codes基于参数识别的雨果隐写术,”多媒体工具和应用程序,卷75,不。21日,第13583 - 13557页,2016年。视图:<一个href="https://doi.org/10.1007/s11042-015-2759-2">出版商的网站|谷歌学术搜索
  21. 诉,“VirusTotal-free在线病毒”,恶意软件和URL扫描仪,15卷,不。2、226 - 241年,2012页。视图:<一个href="https://scholar.google.com/scholar_lookup?title=VirusTotal-free%20online%20virus&author=V. Total&publication_year=2012" target="_blank">谷歌学术搜索
  22. Androguard, 2013,<一个target="_blank" href="https://github.com/androguard/androguard">https://github.com/androguard/androguard
  23. c . Marforio h . Ritzdorf a Francillon, s . Capkun”分析勾结的应用程序之间的通信在现代智能手机”诉讼程序的28日计算机安全应用年会(ACSAC 12),页51-60,纽约,纽约,美国,2012年12月。视图:<一个href="https://doi.org/10.1145/2420950.2420958">出版商的网站|谷歌学术搜索
  24. e . Miluzzo m . Jadliwala s Balakrishnan et al .,“Tapprints:手指水龙头有指纹,”《国际会议在移动系统中,应用程序和服务,第336 - 323页,2012年。视图:<一个href="https://scholar.google.com/scholar_lookup?title=Tapprints:%20your%20finger%20taps%20have%20fingerprints&author=E. Miluzzo&author=M. Jadliwala&author=S. Balakrishnan et al." target="_blank">谷歌学术搜索
  25. a . Maiti m . Jadliwala j . et al。”边信道使用smartwatches推理攻击移动键盘,“<一个target="_blank" href="https://arxiv.org/abs/1710.03656">https://arxiv.org/abs/1710.03656视图:<一个href="https://scholar.google.com/scholar_lookup?title=Side-channel%20inference%20attacks%20on%20mobile%20keypads%20using%20smartwatches&author=A. Maiti&author=M. Jadliwala&author=J. He et al." target="_blank">谷歌学术搜索
  26. s . Bugiel l .大卫a . Dmitrienko处,a . Sadeghi和b . Shastry“实用和轻量级域隔离在Android上,”《第一届ACM车间在智能手机和移动设备的安全和隐私,51页,芝加哥,生病,美国,2011年10月。视图:<一个href="https://doi.org/10.1145/2046614.2046624">出版商的网站|谷歌学术搜索
  27. r . a . Kemmerer“共享资源矩阵方法:一个方法来识别存储和时机频道,“ACM交易计算机系统,1卷,不。3、256 - 277年,1983页。视图:<一个href="https://doi.org/10.1145/357369.357374">出版商的网站|谷歌学术搜索
  28. t代表、美国霍维兹和m .这款“精确的通过图可达性过程间数据流分析,”22 ACM SIGPLAN-SIGACT学报》研讨会上编程语言的原则1995年1月,49 - 61页。。视图:<一个href="https://scholar.google.com/scholar_lookup?title=Precise%20interprocedural%20dataflow%20analysis%20via%20graph%20reachability&author=T. Reps&author=S. Horwitz&author=&author=M. Sagiv" target="_blank">谷歌学术搜索

版权©2018 Ziru彭等。这是一个开放的分布式下文章<一个rel="license" href="http://creativecommons.org/licenses/by/4.0/">知识共享归属许可,它允许无限制的使用、分配和复制在任何媒介,提供最初的工作是正确引用。


更多相关文章

PDF 下载引用 引用
下载其他格式更多的
订单打印副本订单
的观点540年
下载460年
引用

相关文章