利用应用更新提出了一种新的攻击方式:COUPLE,恶意软件能通过这种方式泄露Android应用的隐私数据。
具体方式:为了逃掉恶意软件检测系统的检测,不同版本的恶意软件包含有不同的权限和逻辑,比如手机数据和传播数据。
Android采用的传统的安全机制(基于权限)对这种攻击方式已起不了检测作用。因此,研究人员建议检测系统根据不同应用所拥有的权限及安全策略,严格限制它们组件之间的通信(inter-component communication)。
为了克服基于权限的检测机制的不足,研究人员提出了信息流追踪方法(information flow tracking),静态的信息流追踪就是分析程序源码,人为发现可能存在的信息泄露路径;动态的信息流追踪方法就是在监控下的环境中运行应用,追踪真实的数据流。尽管都有缺陷 (e.g., implicit flow, native code, and emulation awareness),但在检测信息泄露方面,它们已经是最先进的方法。
但在检测COUPLE攻击方面,现存的检测方法依然无法起到作用,因为现在的检测方法只是检测单个应用或系统,没有检测方法:
1、考虑到应用更新前后权限发生变化时的前后联系
2、同时分析多个不同版本的应用代码去发现被分离的数据流
3、在应用更新时,继续在监控的环境中运行程序
相关工作(prior study of existing threadts as well as security enhancements related ):
- Threats:
应用级别权限提升攻击(application-level privilege escalation):confused deputy(困惑的权限代理) and collusion attack(共谋攻击)
要实施confused deputy ,恶意应用首先需要发现开放接口的能被利用应用;要实施collusion attack,应用之间需要创建一个能够将它们各自的权限联合起来的渠道。
通过系统范围更新进行攻击(attack through system-wide updates):
pileup 是一个利用Android平台更新的一个安全漏洞。通过pileup,恶意应用可以请求使用在新版本应用但并未在旧版本中定义的一些安全检测严格的权限,也叫做休眠权限。当用户在使用该旧版本应用的手机上安装这样的新版本应用时,Android 系统是允许安装的,因为系统不能区分权限(休眠权限)。当新版本安装上后,恶意应用可以联合已经被给予的权限进行一些敏感操作。
动态代码加载(dynamic code loding):
动态代码加载是恶意软件常用的用来规避恶意检测系统检测的著名手段。但与couple攻击不同的是,这种方式不能改变应用使用的权限或通过Google play保存一些代码逻辑,因此需要再安装时候申请所有危险权限(对于安全系统来说),很容易被安全发现。
- security enhancements:
permission-based security enhancements:
安全研究员已经提出多种方式扩展Android的基于权限的安全机制:
Kirin [19] modi- fies the Android application installer to restrict application installation according to userdefined security rules. Instead of preventing installation。
Apex [41] allows users to selectively grant permissions when installing applicationsApex [41] allows users to selectively grant permissions when installing applications。
Saint [43] allows application developers to define security policies to access the public interfaces of their applications。
CrePE [15] extends the Android permission model to be aware of the context of a device, such as location and time.
Dr. Android and Mr. Hide [31] provides fine-grained permissions using an inline reference monitor。
system-level security enhancement:
DroidBarrier provides a security model for ensuring strong authentication for application processes. Although the security model can identify processes spawned without going through Zygote, it cannot prevent COUPLE because the forked process only conveys collected data to the next version of the application without directly accessing the boundary of the protected application.
FireDroid implements a policy-based system call interposition mechanism. However, this mechanism lacks information about different versions of applications thus cannot properly prevent COUPLE.. FireDroid implements a policy-based system call interposition mechanism. However, this mechanism lacks information about different versions of applications thus cannot properly prevent COUPLE.
information-flow tracking:
信息流追踪的方法还是无法满足一些情况。静态的信息里追踪理论上能够找出代码中所有的数据泄露点,但实际情况是,往往不能够得到应用完整的源码;动态的信息流追踪只能跟踪程序执行的数据流,且恶意程序可以检测动态分析是否在运行,可以伪装成正常的应用。In addition, some researchers refine information-flow tracking by using user intention [57], permission-use events [59], or user interface workflow [39]. Lastly, most state-of-the-art dynamic tracking systems [21, 9] provides interfaces to inject code to track or monitor applications and processes without any system modification.
advanced malware detection:
Feature-based malware detection scheme [47, 44] uses main characteristics of real-world malware to provide fast and reliable detection and classi- fication.
More advanced works employs Hidden Markov model to effectively detect and classify malware [38, 11].
Some researches focus on intents as a feature to distinguish malicious applications form benign ones [30, 22].
Lastly, a work provides native code level malware detection [1].
攻击背景:
1、process management and fork()
Android 系统在启动一个应用时,会首先首先联系activitymanager询问是否需要需要建立一个新的进程启动该应用,如果没有进程在执行该应用,系统调用zygote()建立一个新进程(包含虚拟机实例和预加载的类);activitymanager然后在创建的进程上加载主线程,主线程启动应用组件,并通过将自己注册到activitymanager上来管理它们的生命周期,通过binder RPC(remote procedure call)与service通信。一个进程需要向activitymanager注册以管理它的生命周期,但通过fork()调用产生的进程,并没有注册在activitymanager上,故它也不受Android系统的管理。Moreover, the forked process is alive even after the Android system updates or replaces the application, whereas other legitimate processes of the application terminate. To abort the forked process, a user must use an adb shell to send a kill command or reboot the device.
2、binder/intent and fork()
A forked process has an important limitation: it cannot use binder or intent. A process should have binder helper threads to use binder or intent. However, a forked process cannot have them, because the fork() system call only duplicates the current thread of the process that initiates it. Furthermore, to send an intent, an application needs to use a binder. Consequently, a forked process demands other methods to interact with other applications, such as using the command-line tool amA forked process has an important limitation: it cannot use binder or intent.4 A process should have binder helper threads to use binder or intent. However, a forked process cannot have them, because the fork() system call only duplicates the current thread of the process that initiates it. Furthermore, to send an intent, an application needs to use a binder. Consequently, a forked process demands other methods to interact with other applications, such as using the command-line tool am.
3、auto-update and permission group
google play 默认提供“auto-update”更新已安装应用,但由于在权限检查方面很容易受到攻击,因为用户不知道新版本应用使用的权限。Google又提出在应用更新时检查新版本应用申请的权限是否与旧版本相同,若不相同向用户展示新申请的权限提示用户,让用户自己抉择是否安装。但更新一次提示一次可能也会让用户的体验不好,所以Google后来又提出permission group,通过归类类似的应用简化Android权限机制。作为替代,不再向用户展示具体的权限信息,而是展示响应的权限组的信息。例如如果应用申请了readSMS的权限,那么展示该应用申请了group SMS to SMS or MMS or both.但Google划分组的方式与Manifest.permission\_group划分的方式不同,例如,Manifest.permission_group将READ_CALL_LOG和READ_CONTACTS划分为一组SOCIAL_INFO,但是google将前者划分到phone group ,将后者划分到Contacts group。当系统检查到新版本应用新申请的权限所属组已包含在旧版本中,就会自动更新而不会提示用户。因此当一个应用首先申请READ_SMS,在新版本中申请WRITE_SMS,新版本应用就会被自动安装。防止这种危险的好的方法就是阻止那些具有危险权限如CALLPHONE,WRITE_SMS权限的应用自动安装。
具体按照old version of malicious application 和 new version of malicious application之间的通信方式, COUPLE攻击可分为三种:
1、直接式(direct):更新过后的恶意应用直接与旧版本应用通过fork()系统调用产生的另一个Linux process 进程通信,旧版本应用将收集到的敏感数据存储在内存中。此衍生出的process不在受Android activityManager 管理,因此即使在应用升级更新后,它依然能够存活在手机进程中。
发现和触发新版本:
通过检查应用内部文件/data/app-lib/<package name>-*,在应用更新时,*会在1,2之间变换。通过am 发送 intent 启动新版本应用。
2、间接式(indirect):旧版本恶意应用将收集到的敏感信息存储在它的私有资源(存储在应用内部的file 或DB)下,Android系统为避免造成应用更新升级后的损坏,一般会保留这些文件,因此更新过后的恶意应用可以通过这种方式同旧版本通信获取数据。
3、同时式(conCurrent):上述两种方式都是顺序的,即先获取然后传递,因此不能获取到一些即时信息比如:一次性密码,定位信息等;但concurrent attack能够做到在收集敏感数据的同时将它们传播出去。这种策略利用了在使用Android系统的socket时的TOCTTOU (time of check to time of use)问题,即Android 系统只在创建socket的时候,检查应用是否有Internet权限,而在使用socket进行远程连接或传输数据的时候不再进行权限检查。Linux系统仍会在这些相应步骤做权限检查。