钓鱼Android应用钓鱼劫持风险的检测与防范

Computer Science and Application计算机科学与应用,2015, 5(11), 421-427 Published Online November 2015 inHans. http://www.ha nspub.o rg/jo urnal/csahtt p://dx.do i.o rg/10.12677/c s a.2015.511053

Detection and Prevention of the Phishing Risk of AndroidAp p lic atio n

Zhenpeng Huang,Shaozhang Niu,Wen Zhang

Beijing University of Posts and Telecommunications,Beijing Received:Nov.6th,2015;accepted:Nov.20th,2015;published:Nov.27th,2015 Copyright?2015 by authors andHans Publishers Inc. This work is licensed under theCreative Commons Attribution International License (CCBY).http://creativecommons.org/licenses/by/4.0/

1

Abstract

Android is the most popular mobile device’ s intelligentoperating system.With the rapid development of mobiledevices,mobile applications are becoming more and moreimportant in people’ s life.However,due to the developers’inadequate consideration or attention for mobile devicesecurity,a lot of applications have the security vulnerabilityproblems.Using fishing hijacking vulnerabilities can stealthe user’ s important information in the case that users areunaware,which has caused a huge threat to the user’ sprivacy and property security. In this paper, through thestudy of activity,we design and implement a phishingdetection system of Android application.Using the system todetect the 500 common applications from the MM shoppingmarket, the results show that the phishing hijackingvulnerabilities of Android application exist widely.At last,the paper gives the feasible preventive suggestions for therisk of the fishing.

Keywo rds

Android,Fishing Hijacking,Security

2

Android应用钓鱼劫持风险的检测与防范

黄振鹏牛少彰张文

北京邮电大学北京Email: huangzhenpeng@gmail.com,szniu@bupt.e du.cn,14311648@qq.com

文章引用:黄振鹏,牛少彰,张文.Android应用钓鱼劫持风险的检测与防范[J].计算机科学与应用, 2015, 5(11):

421427.http://dx.do i.o rg/10.12677/csa.2015.511053

3

黄振鹏等

收稿日期 2015年11月6日录用日期 2015年11月20日发布日期 2015年11月27日

摘

要

Android是当前最流行的移动设备上的智能操作系统。随着移动设备的蓬勃发展移动端应用在人们生活中也越来越重要。但是由于开发者考虑不足或者对移动端的安全的不够重视许多的移动应用存在安全漏洞。利用钓鱼劫持漏洞可以在用户未察觉的情况下窃取用户的重要信息这对用户的信息安全和财产安全造成了巨大的威胁。本文通过对Android Activity组件进行研究设计并实现了对Android应用的钓鱼劫持漏洞检测系统。 利用该系统对从MM商场下载的500个常见应用进行检测 结果表明钓鱼劫持漏洞在Android应用中广泛存在。本文最后给出了针对钓鱼劫持风险可行的防范建议。

关键词

4

Android钓鱼劫持安全

1.引言

Android系统是当前最为流行的移动端操作系统。根据Google官方数据当前Andro id设备日激活量达到150万部 Android设备的总计出货量在2014年已经超过15亿部见图1。Google Play的Android应用下载量也已突破500亿次可以说Android应用已经深入人们生活的方方面面。随着移动应用的普及对于移动应用的攻击也越来越常见。 当前对于钓鱼劫持大多数开发者和研究者都不是足够重视相关研究也不多。但是随着移动应用在人们生活中的应用越来普遍Android应用涉及的个人信息越来越多也越来也重要 Android应用的钓鱼劫持所带来的安全威胁也越来越大所以对Android应用的钓鱼劫持漏洞的研究有重要意义[1]。本篇论文致力于研究Andro id应用中钓鱼劫持漏洞对导致钓鱼劫持漏洞的原因进行分析并对钓鱼劫持漏洞的存在情况进行抽样检测最后为应用开发者提供一套可行的钓鱼劫持防范方案。

2.Activity及其生命周期

Activity是Android应用的基本组件之一是应用和用户进行交互的接口通常以覆盖整个屏幕的窗

5

Figure 1. Statistics and forecast of global Androidequipment shipments图 1.全球Android设备出货量的统计和预测

422

6

黄振鹏等

口的形式展示给用户[2] 。我们平常对应用进行的操作都是在Activity上进行的比如拨号、翻看照片、 发送Email、收发短信等。大多数应用都由多个Activity组成它们之间是松耦合关系[3] 。一般一个应用拥有一个主Activity就是该应用启动后展示给用户的第一个Activity然后由这个Activity 自动或由用户选择启动其他的Activity,通过一个个的Activity应用完成于用户的交互。 每个Activity的生命周期都有4个状态分别是活动状态、暂停状态、停止状态、重启状态见图2。在活动状态下Activity对用户完全可见并且可与用户进行交互[4] 。 Android利用任务栈的形式对运行的Activity组件进行管理。 当前运行的Activity位于栈顶位置在新的Activity启动时新的Activity将被放在栈顶新的Activity进入活动状态。而原运行的 Activity将 在栈中处于其下的位置 此时原Activity将进入停止状态。任务栈遵循先进先出的原则栈中的Activity组件的顺序是固定的不能被重新排序只能被压栈和弹栈。使用Back键退出当前运行的Activity时 该Activity将被从栈顶位置弹出位于栈顶之下的Activity将处于栈顶重新处于运行状态。

7

3.钓鱼劫持原理

应用可以通过Activity管理器获取当前的任务栈信息取出栈顶元素就可获知当前运行的Activity信息[5] 。钓鱼应用可以利用这一点监控当前栈顶的Activity信息从而判断哪个Activity将被展示。 若登录界面是一个独立的Activity 恶意应用通过判断栈顶元素的方式获知应用的登录界面将何时被展示从而及时弹出伪造的登录界面替换掉原有的Activity。且由于手机屏幕的展示空间有限系统不会主动显示当前实际运行的是那个应用用户无法察觉当前展示的登录界面是伪造的界面[6]。

Figure 2.The lifecycle of activity图2.Activity的生命周期

423

8

黄振鹏等

当用户输入了帐号密码等信息后钓鱼应用就可以通过网络数据或发送短信等形式将获取的数据发送至指定服务器或号码。一些钓鱼应用的伪造界面做的比较逼真很多用户在账号密码等信息被窃取了都未能察觉从而给用户的个人隐私和财产安全带来了极大的危害。

4.Android应用的钓鱼劫持风险检测

4.1.钓鱼攻击检测系统的设计

恶意应用为了完成钓鱼攻击需要多个条件分别是被测应用需要有敏感信息录入界面恶意应用可以获知该页面何时被调用 并且需要钓鱼攻击时用户难以发现[7]。 因此 对于钓鱼劫持漏洞的检测 需要检测一下内容 1)有无需要输入敏感信息的界面钓鱼程序的攻击目标一般是能有价值的信息 比如用户的账号、密码、手机号码、银行卡号等个人敏感信息本研究的重点也是关注用户敏感信息的保护所以首要关注需要用户输入敏感信息的界面。 2)该界面的运行是否可被其他应用侦测到钓鱼程序在进行钓鱼攻击前需要判断钓鱼界面的弹出时机若是钓鱼程序无法判断需要用户输入敏感数据的界面的弹出时刻则钓鱼程序无法确定何时攻击或选择错误的时刻进行钓鱼攻击从而

9