Android應(yīng)用第三方代碼安全增強方法研究.pdf

1、以Android為代表的現(xiàn)代移動操作系統(tǒng)在為移動應(yīng)用提供穩(wěn)定、高效運行環(huán)境的同時，存儲、管理著相對于個人計算機更多的用戶隱私數(shù)據(jù)。為獲取更優(yōu)質(zhì)的服務(wù)，用戶通常不吝嗇于向應(yīng)用付出隱私數(shù)據(jù)，作為數(shù)據(jù)使用方的應(yīng)用也能夠充分利用這些數(shù)據(jù)以提供更適合的服務(wù)，這就在用戶獲取服務(wù)與付出隱私之間形成一種平衡。Android生態(tài)的開放性導(dǎo)致應(yīng)用內(nèi)普遍存在第三方代碼，這種第三方代碼框架在提高開發(fā)者效率的同時為用戶帶來了一定的安全風(fēng)險——可能打破服務(wù)與用戶隱

2、私之間的平衡。
　　產(chǎn)生上述問題的原因在于應(yīng)用本身與第三方代碼隸屬于不同的開發(fā)單位，應(yīng)屬于兩個不同的訪問控制主體，而系統(tǒng)在進行訪問控制評估的過程中并沒有對兩者進行區(qū)分，導(dǎo)致第三方代碼可以利用應(yīng)用的權(quán)限讀取用戶隱私數(shù)據(jù)。在研究該問題危害和原因的基礎(chǔ)上提出一種全新的系統(tǒng)安全增強方案——TPCDroid，其目的是在兼容原有應(yīng)用結(jié)構(gòu)與原有第三方代碼框架的條件下實施針對第三方代碼隱私訪問請求的動態(tài)評估。TPCDroid結(jié)合系統(tǒng)實現(xiàn)利用異常棧

3、信息細化主體粒度，可在運行時判定請求是否來自于應(yīng)用本身，進一步將已知的第三方代碼庫包名作為策略存儲于系統(tǒng)訪問控制評估引擎中，并依此進行訪問控制評估。
　　TPCDroid設(shè)計并實現(xiàn)一種針對Android應(yīng)用第三方代碼的安全增強方案，基于Android4.0.1實現(xiàn)原型系統(tǒng)，并進行了相關(guān)實驗。實驗結(jié)果進一步表明，TPCDroid方案兼容原有應(yīng)用結(jié)構(gòu)與原有第三方代碼框架，可以有效實施針對第三方代碼隱私訪問請求的動態(tài)評估，保護用戶隱私。