Системы выявления несанкционированного доступа к критическим ресурсам современных мобильных операционных систем

ВВЕДЕНИЕ 3
1. Мобильные операционные системы (МОС) 5
1.1 Мобильные приложения 6
1.2 Особенности МОС Android 10
2. Архитектура и структура приложений для МОС Android 15
2.1 Системные разрешения приложения 16
2.2 Компоненты мобильных приложений МОС Android 18
2.3 Разграничение доступа между приложениями и МОС 19
3. Угрозы безопасности пользователя 22
4. Динамический анализ приложений 24
4.1 Средство динамического бинарного инструментирования Frida 25
5. Реализация приложения 27
5.1 Инструкция по эксплуатации 34
ЗАКЛЮЧЕНИЕ 38
СПИСОК ЛИТЕРАТУРЫ 39
ПРИЛОЖЕНИЕ 1 41
ПРИЛОЖЕНИЕ 2 53

1.1 Мобильные приложения
Мобильное приложение - это программное обеспечение, специально разработанное под конкретную МОС (iOS, Android, Windows Phone и т. д.) и предназначено для использования на смартфонах, планшетах, «умных» часах и других мобильных устройствах, поддерживающих ту или иную МОС.
Мобильные приложения пишутся на языках программирования высокого уровня (например, Java), а затем компилируются в исполняемый код той или иной МОС. Такая унификация называется кросс-платформенностью.
Для повышения быстродействия некоторых операций часть кода приложения может быть реализована не на языке программирования высокого уровня, а в виде предкомпилированных библиотек машинного кода – англ.
«native code» (далее – «нативный код»). Таким образом, в состав приложения могут входить как откомпилированный Java-код, так и нативные библиотеки.
...

1.2 Особенности МОС Android
МОС Android для смартфонов, планшетов, приставок, нетбуков и других устройств является собственностью компании Google и признана самой популярной в мире. Первая версия ОС появилась в 2008 году на смартфоне HTC и с тех пор активно обновляется.
22 октября 2008 года Google объявила об открытии онлайн-магазина приложений для МОС Android – Android Market, впоследствии переименованного в Google Play. Количество приложений для MOC Android в данном магазине превышает 1,43 млн.
...

2. Архитектура и структура приложений для МОС Android
Мобильное приложение для МОС Android представляет собой файл формата APK. Файлы данного формата являются архивами формата Zip, содержимое архива не шифруется.
Файлы формата APK содержат в себе следующие элементы:
• META-INF/ – содержит контрольные суммы файлов пакета и цифровой сертификат приложения;
• AndroidManifest.xml – файл с описанием основных компонентов приложения, требуемых разрешений, требуемая версия МОС Android и необходимое разрешение экрана;
• classes.dex – компилированный байт-код приложения, который понимает виртуальная машина Dalvik;
• resources.arsc – файл, который содержит скомпилированные ресурсы (например, двоичные xml-файлы) текстовые данные приложения;
• lib/ – папка, содержащая нативные Linux-библиотеки, которые были скомпилированы под определенную архитектуру;
• res/ – папка с ресурсами, которые приложение использует в своей работе, которые не содержатся в resources.arsc.
...

2.1 Системные разрешения приложения
Все приложения в МОС Android по умолчанию работают изолировано в песочнице, и для того, чтобы осуществить взаимодействие с некоторыми внешними сервисами, им необходимо получить разрешение. Разрешения – это действия, которые система разрешает выполнять приложению.
Существует две категории разрешений: «Обычные» и «Опасные». Разрешения группы «Обычные» выдаются приложениям без обязательного согласия пользователя. Например, в нее входят такие возможности как доступ в интернет, подключение по Bluetooth, создание ярлыков и так далее.
Для получения одного из «опасных» разрешений, приложение обязательно должно спросить владельца устройства, согласен ли он его выдать. В данную категорию входит девять групп разрешений, которые связаны с безопасностью данных пользователя. В свою очередь, каждая из групп содержит несколько разрешений, которые может запрашивать приложение.
...

2.2 Компоненты мобильных приложений МОС Android
В основе Android-приложений лежат компоненты. Каждый компонент представляет собой отдельную точку входа в приложение, некоторые из которых зависят друг от друга. Но пользователь может войти не через каждую из них. Все компоненты являются независимыми блоками приложения и вместе определяют общее поведение приложения.
Существует четыре типа компонент приложения (activity, service, content provider, broadcast receiver), и каждый из них предназначен для определенной цели, имеет собственный жизненный цикл, способ создания и уничтожения. [9]
Activity (активность) представляет собой один экран с пользовательским интерфейсом. Например, в приложении для работы с электронной почтой одна активность будет в систему экраном входа в систему, вторая может служить для отображения входящих сообщений, третья – для создания нового сообщения, а четвертая – для просмотра сообщения.
...

2.3 Разграничение доступа между приложениями и МОС
В основе МОС Android лежит ядро Linux, которое выполняет все низкоуровневые функции взаимодействия с оборудованием, соблюдение прав доступа, слежение за корректным выполнением процессов. Это значит, что ни
одно приложение МОС Android не может получить доступ к данным другого
приложения, минуя специально для этого предназначенный интерфейс.
При установке приложения в МОС Android оно получает свой собственный UID (специально созданный для него пользователь) и собственный каталог внутри /data. Таким образом действует разграничение прав доступа, позволяя приложению изменять собственные данные, но запрещая доступ к данным других приложений (пользователей). Этот механизм называется «песочницей». Так работают все приложения, включая предустановленные на аппарат.
...


4. Динамический анализ приложений
Динамический анализ заключается в запуске приложения с неким набором конкретных значений входных данных и наблюдение за его поведением. В целях лучшего покрытия кода существует необходимость использования различных наборов входных данных при анализе приложения, что, в свою очередь, может потребовать перезапуска приложения для каждого набора.
Для динамического анализа приложение запускается на реальном устройстве или эмуляторе. Немаловажным аспектом для динамического анализа является возможность отладки приложения. Приложение может запускаться под отладчиком при исполнении его на устройстве, либо отладочный функционал может содержаться в эмуляторе.
В процессе динамического анализа часто применяется бинарное инструментирование, то есть модификация программы с целью ее трассировки, перехвата вызова функций (hooking), профилирования и изменения ее поведения.
...

4.1 Средство динамического бинарного инструментирования Frida
В процессе динамического анализа приложений активно используются различные средства бинарного инструментирования. Одним из подобных и популярных на данный момент средств является ПО Frida. Средство Frida предоставляет возможности по трассировке приложения, перехвату вызовов функций и модификации памяти процесса. Средство Frida поддерживает МОС Android и МОС iOS.
Функционирование Frida осуществляется за счет встраивания интерпретатора JavaScript в исследуемый процесс. Исполняемый код JavaScript получает доступ к памяти процесса. Поддерживается интерактивное взаимодействие со встроенным интерпретатором прямо в процессе выполнения приложения через удаленное подключение. Для приложений на языках Java и Objective-C, архитектура которых базируется на событийно- ориентированной логике, доступно взаимодействие с графическим интерфейсом приложения в процессе его исполнения.
...

5. Реализация приложения
Реализованная при написании данной работы система представляет собой средство отслеживания взаимодействий Android-приложения с мобильной операционной системой Android. Анализируя поведение приложения пользователь может сделать вывод о санкционированости или несанкционированости какого-либо действия, совершаемого приложением. Автоматическое определение вредоносности действия является сложной задачей и выходит за рамки данной работы, т.к. многие действия по отдельности могут не нести опасности, но в совокупности приводить к угрозам безопасности пользователя. Например, некоторое приложение может запросить список контактов, который будет использоваться для инициализации генератора случайных чисел. В данном случае это приложение не совершает никаких вредных взаимодействий с системой. Также приложение может отправлять статистику использования приложения, что тоже не является опасным.
...

5.1 Инструкция по эксплуатации
В данном разделе представлена инструкция по использованию системы на примере ее аппробации на тестовом приложении. Разработанная система представляет собой консольное приложение, которое взаимодействует с Frida- server через android debug bridge (adb). Система тестировалась на смартфоне Motorola Nexus 6 с операционной системой LinageOS 16.0 (Android 8.1).
Чтобы начать исследовать приложение, нужно запустить средство бинарной инструментации (сервер) непосредственно в телефоне.
Для запуска системы необходимо выполнить файл start.py с помощью интерпретатора Python3 (в демонстрации использовалась версия 3.7). Перед пользователем появится приглашение для ввода команд.
...

ЗАКЛЮЧЕНИЕ
В ходе написания выпускной квалификационной работы была разработана система выявления несанкционированного доступа к критическим ресурсам операционной системы Android. Используя данное средство и зная некоторое описание приложения или его нормальное поведение, специалист может определить, являются ли действия исследуемого приложения несанкционированными и сделать вывод о его вредоносности.
Разработанная на языке Python3 система представляет собой консольное приложение с простым и удобным интерфейсом. Для реализации перехватов взаимодействия приложения с МОС Android использовалось средство бинарной инструментации Frida, которое позволяет исполнять JavaScript код внутри приложения. Перехваты функций реализовывались в JS-скриптах, которые можно загружать в приложение по мере необходимости. При переходе приложения в режим «монитора», пользователь сможет отслеживать взаимодействие приложения с МОС Android.
...

1. AV-Comparatives research [Электронный ресурс]. -2019. -URL: https://www.av-comparatives.org/tests/android-test-2019-250-apps/ (дата обращения 17.05.19).
2. Various Google Play ‘Beauty Camera’ Apps Send Users Pornographic Content, Redirect Them to Phishing Websites and Collect Their Pictures [Электронный ресурс]. -2019. -URL: https://blog.trendmicro.com/trendlabs- security-intelligence/various-google-play-beauty-camera-apps-sends-users- pornographic-content-redirects-them-to-phishing-websites-and-collects-their- pictures/ (дата обращения 20.05.2019).
3. Самые опасные мобильные угрозы [Электронный ресурс]. -2018. URL: http://nerohelp.info/3452-samye-opasnye-mobilnye-ugrozy.html (дата обращения 21.05.2019).
4. 2018 H.T.P.Y.A.O.A.A.S.I. How to Publish Your App on Apple’s App Store in 2018 [Электронный ресурс]. -2018. -URL: https://medium.com/@the_manifest/how-to-publish-your-app-on-apples-app-store- in-2018-f76f22a5c33a (дата обращения 22.05.2019).
5. Google представила систему Bouncer для проверки приложений на вирусы [Электронный ресурс]. -2018. -URL: https://securelist.ru/dejstvitel-no-li- google-bouncer-izbavit-android-market-ot-vre/2549/ (дата обращения 22.05.2019).
6. Mobile Operating System Market Share Worldwide [Электронный ресурс]. -2019. -URL: http://gs.statcounter.com/os-market- share/mobile/worldwide/#monthly-200901-201901 (дата обращения 01.06.2019).
7. Как работает Android. [Электронный ресурс]. -2017. -URL: https://habr.com/ru/company/solarsecurity/blog/334796/ - (дата обращения 02.05.2019).
8. Jonathan Levin. Android Internals:Power User's View [Текст], 2015. -
250 с

9. Dominic Chell, Tyrone Erasmus, Shaun Colley, Ollie Whitehouse. Ollie Whitehouse. The Mobile Application Hacker's Handbook [Текст], 2015. -816 с.
10. Android Application Security, часть 3. Основы приложений Android [Электронный ресурс]. -2015. -URL: https://defcon.ru/mobile-security/1837/ (дата обращения 28.05.2019).
11. Joshua J. Drake, Pau Oliva Fora, Zach Lanier, Collin Mulliner, Stephen
A. Ridley, Georg Wicherski. Android Hacker's Handbook [Текст], 2014. -576 с.
12. Frida documentation. [Электронный ресурс]. -URL: https://www.frida.re/docs/home/ (дата обращения 06.06.2019).
13. Анисимов В.В. Отчет по преддипломной практике [Текст], 2019 -
11 с.
14. Анисимов В.В. Отчет по эксплуатационной практике [Текст], 2019
- 14 с.
15. Android documentation. [Электронный ресурс]. -URL: https://developer.android.com/ (дата обращения 07.06.2019).