基于用户态沙箱的移动应用第三方库隔离

发布时间：2022-01-27 11:34

　　随着Android设备的流行,Android平台上出现了大量的免费应用。为了降低开发成本,从广告系统获取收益,免费应用的开发者经常使用已有的第三方库来实现应用的功能。然而,最近几年的研究表明,移动应用中的第三方库在方便了开发者的同时,也带来了巨大的安全隐患。一方面,由于第三方库代码不开源,且在运行过程中可以动态加载代码,它们的行为很难衡量;另一方面,目前的Android权限模型不能对第三方库和宿主应用的权限分开进行细粒度的管理管理。所以,恶意的第三方库可以滥用宿主应用的权限,在用户和开发者不知情的情况下,窃取用户的隐私数据。为此,本文设计并实现了一种基于用户态沙箱的移动应用第三方库隔离方案。这种方案能够隔离第三方库及其动态加载的代码,让它们运行在一个用户态的沙箱中,所有与用户隐私数据相关的操作都需要在开发者的控制下进行,第三方库将不能再随意访问用户和宿主应用的隐私数据。这种方案既不需要修改已有的Android框架层源代码,也不需要ROOT权限,因此,它比以往的系统级解决方案更加容易部署和使用。基于用户态沙箱的移动应用第三方库隔离方案主要包含两个组成部分,分别是第三方库改写模块和动态加载... 

【文章来源】：西安电子科技大学陕西省211工程院校教育部直属院校

【文章页数】：80 页

【学位级别】：硕士

【文章目录】：
摘要
ABSTRACT
缩略语对照表
第一章 绪论
    1.1 研究背景
    1.2 国内外研究现状
        1.2.1 移动应用的隐私安全
        1.2.2 移动应用第三方库的隐私安全
        1.2.3 移动应用第三方库权限控制
    1.3 论文主要工作
    1.4 章节安排
第二章 相关背景知识及第三方库现状研究
    2.1 Android权限模型
    2.2 Android第三方库介绍
    2.3 第三库现状研究
        2.3.1 恶意第三方库
        2.3.2 第三方库的静态代码分析
        2.3.3 第三方广告库的所需权限统计
    2.4 本章小结
第三章 系统设计
    3.1 威胁模型
    3.2 总体设计
    3.3 第三方库改写模块
        3.3.1 功能需求分析
        3.3.2 隐私敏感行为定义
        3.3.3 代码改写方案选择
        3.3.4 第三方库字节码改写模块的设计
        3.3.5 自定义接口函数
    3.4 动态加载代码改写模块
        3.4.1 功能需求分析
        3.4.2 文件上传下载模块设计
        3.4.3 代码改写方案选择
        3.4.4 动态加载代码改写模块设计
    3.5 本章小结
第四章 系统详细设计与实现
    4.1 第三方库改写模块
        4.1.1 JAR遍历和打包
        4.1.2 字节码改写
    4.2 动态加载代码改写模块
        4.2.1 服务器部署
        4.2.2 Smali代码改写
    4.3 自定义接口函数
        4.3.1 自定义接口函数实现
        4.3.2 系统支持的API
    4.4 本章小结
第五章 系统测试
    5.1 实体第三方库测试
        5.1.1 国际广告库测试
        5.1.2 国内第三方库测试
        5.1.3 动态加载代码改写测试
    5.2 模拟第三方库测试
        5.2.1 第三方库改写模块测试
        5.2.2 动态加载代码改写模块测试
    5.3 性能测试
    5.4 本章小结
第六章 总结与展望
    6.1 工作总结
    6.2 讨论和工作展望
参考文献
致谢
作者简介



本文编号：3612409