基于權(quán)限組合的Android竊取隱私惡意應(yīng)用檢測方法

黃梅根　曾云科

(重慶郵電大學計算機科學與技術(shù)學院　重慶　400065)

?

基于權(quán)限組合的Android竊取隱私惡意應(yīng)用檢測方法

黃梅根曾云科

(重慶郵電大學計算機科學與技術(shù)學院重慶400065)

在分析Android系統(tǒng)總共165個權(quán)限的基礎(chǔ)上，提煉出30個理論上可以獲取Android系統(tǒng)隱私資源的惡意權(quán)限組合。提出一種針對應(yīng)用類別的基于惡意權(quán)限組合的惡意值、待測應(yīng)用惡意權(quán)值、惡意閾值的竊取隱私惡意應(yīng)用檢測方法。通過實驗驗證了該方法的正確性和準確率，并在Android系統(tǒng)中得以實現(xiàn)。

Android系統(tǒng)惡意權(quán)限組合惡意應(yīng)用檢測應(yīng)用類別

0　引　言

Android OS自從發(fā)布以后憑借其開放性吸引了大批研發(fā)人員的關(guān)注和大量智能終端廠商的參與，很快便取得了智能終端市場的絕對優(yōu)勢地位。據(jù)調(diào)研公司Kantar Worldpanel ComTech統(tǒng)計數(shù)據(jù)顯示，2015年Android操作系統(tǒng)在中國智能手機市場的市場份額是70.9%，遠遠超過其他智能手機操作系統(tǒng)[1]。但也正是由于其開放性，Android系統(tǒng)上的惡意應(yīng)用也隨著Android系統(tǒng)的發(fā)展而迅速發(fā)展起來了。

如今的手機已經(jīng)不像傳統(tǒng)的手機只被用來打電話或發(fā)短信，它現(xiàn)在已經(jīng)滲入了人們生活各個方面，諸如交友、購物、娛樂、資訊等。據(jù)Android官網(wǎng)統(tǒng)計，每天至少有一百萬臺基于Android系統(tǒng)的設(shè)備被激活[2]。Android系統(tǒng)的快速普及也給了惡意應(yīng)用更大的滋生動力，以獲取人們生活各方面的隱私信息。據(jù)網(wǎng)秦的“云安全”監(jiān)測平臺統(tǒng)計，2014 年第一季度查殺到手機惡意軟件共計 41 199款，被感染的智能手機共計1784 萬部，其中竊取用戶隱私的惡意行為占大部分，隱私安全問題不容忽視[3]。又據(jù)360互聯(lián)網(wǎng)安全中心統(tǒng)計，2014全年360互聯(lián)網(wǎng)安全中心共截獲Android平臺新增惡意應(yīng)用326.0萬個，平均每天截獲新增惡意應(yīng)用近8932個[4]。Android 移動終端存在很大的安全隱患。

本文的主要研究如下：首先從隱私信息入手，提出一系列威脅用戶隱私的惡意權(quán)限組合，其中任意一個惡意權(quán)限組合都能達到竊取用戶隱私的目的。然后以GooglePlay對所有Android應(yīng)用的分類為基礎(chǔ)，對每個分類下的大量正常應(yīng)用的權(quán)限進行統(tǒng)計分析，以確認某些特定分類確實需要獲取終端的某些隱私信息。為了避免因為這種情況造成的誤報，本文計算出每個類別對每個惡意權(quán)限組合的惡意值。最后把惡意值作為初始參數(shù)，通過惡意值計算出待檢測應(yīng)用的惡意權(quán)值，從而判斷該應(yīng)用是否是竊取隱私的惡意應(yīng)用。本文設(shè)計了多組實驗評估本文提出方法的有效性和準確性。

1　相關(guān)研究

1.1Android權(quán)限機制

Google公司為Android系統(tǒng)設(shè)計了一系列涉及到安全操作和隱私信息的權(quán)限標簽。應(yīng)用中如果有需要執(zhí)行某些安全相關(guān)操作或者訪問隱私數(shù)據(jù)的情況，開發(fā)者就需要在其配置文件AndroidMainfest.xml[5]中聲明相應(yīng)權(quán)限。Android系統(tǒng)中的權(quán)限分為普通、危險、簽名、簽名或系統(tǒng)四種級別[6]。普通和危險級別的權(quán)限在應(yīng)用安裝時會被提示在屏幕上，以通知用戶是否授予相應(yīng)權(quán)限；而簽名或系統(tǒng)級別權(quán)限，只有當申請該權(quán)限的應(yīng)用具有與系統(tǒng)相同的簽名或該應(yīng)用是系統(tǒng)應(yīng)用時才能被授權(quán)。應(yīng)用有了相應(yīng)的權(quán)限后就可以進行相應(yīng)的操作或訪問相應(yīng)的隱私數(shù)據(jù)。例如：應(yīng)用如果申請CALL_PHONE這個權(quán)限，那么它就可以在無需用戶確認的情況下?lián)艽螂娫?，惡意?yīng)用可能會利用這個權(quán)限來實施消耗用戶的話費或監(jiān)聽用戶談話內(nèi)容等惡意操作，侵犯用戶隱私。Android官網(wǎng)列出了Android系統(tǒng)自帶的165個權(quán)限[7]。

1.2國內(nèi)外研究現(xiàn)狀

目前，Android惡意應(yīng)用檢測技術(shù)分為動態(tài)檢測技術(shù)和靜態(tài)檢測技術(shù)。Enck等人的輕量級應(yīng)用檢測工具Kirin提出了一組危險權(quán)限組合[8]，如表1所示。文獻[9]對Android的隱私信息風險點進行了分析，并通過編寫竊取隱私的惡意代碼驗證各個風險點確實存在。文獻[10]曾針對Android隱私數(shù)據(jù)提出了TaintDroid模型，其對隱私數(shù)據(jù)做著色跟蹤以判斷應(yīng)用是否竊取用戶隱私。文獻[11]提出了Saint機制，Saint可以控制應(yīng)用安裝時權(quán)限的分配，程序運行時根據(jù)自定義策略保護應(yīng)用的對外接口。文獻[12]提出了APEX，通過修改包管理器讓用戶可以在運行應(yīng)用時授予或撤銷應(yīng)用申請的某些權(quán)限。文獻[13]從Android所有權(quán)限中提取出相關(guān)度小、使用頻繁的68個權(quán)限并計算每個權(quán)限的先驗概率，再通過改進的貝葉斯算法計算后驗概率以計算應(yīng)用的惡意概率，以此判斷應(yīng)用是否是惡意應(yīng)用。文獻[14]根據(jù)GooglePlay對Android應(yīng)用的分類分別統(tǒng)計每一類應(yīng)用中每個權(quán)限出現(xiàn)的概率，通過每個權(quán)限的概率計算未知應(yīng)用的惡意值以判斷應(yīng)用是否惡意。對大量數(shù)據(jù)運用數(shù)據(jù)挖掘技術(shù)可以挖掘出很多有用的信息[15]，文獻[16，17]利用數(shù)據(jù)挖掘技術(shù)挖掘出惡意應(yīng)用的特征，以此來檢測未知惡意應(yīng)用。

表1　Kirin 安全策略

在以權(quán)限判斷惡意應(yīng)用的研究中，文獻[8,16]總結(jié)惡意權(quán)限組合以判斷應(yīng)用是否是惡意應(yīng)用。但某些惡意權(quán)限組合確實是某些類別應(yīng)用所必需的，例如FINE_LOCATION+ INTERNET這個組合可以被用來跟蹤用戶地理位置，天氣預(yù)報類應(yīng)用的確需要這個組合來判斷用戶的位置以顯示本地天氣預(yù)報。文獻[14]通過分別計算每個應(yīng)用類別中每一個權(quán)限出現(xiàn)的概率，以此為基礎(chǔ)分析待測應(yīng)用是否是惡意應(yīng)用。由于同一類別的Android應(yīng)用申請單個權(quán)限的差異性也很大，因此這種方法的精確性會受到該原因的影響。本文把上述兩種研究方法結(jié)合起來，首先通過分析提出30個能竊取用戶隱私的惡意權(quán)限組合，然后通過實驗統(tǒng)計和計算得出每個惡意權(quán)限組合在每一類應(yīng)用中的惡意值，最后通過惡意值計算出待檢測應(yīng)用的惡意權(quán)值，以惡意權(quán)值判斷待測應(yīng)用是否是竊取用戶隱私的惡意應(yīng)用。相比于文獻[8,16]，本文的方法在惡意權(quán)限組合的基礎(chǔ)上加入了應(yīng)用類別的概念，把應(yīng)用類別對惡意權(quán)限組合的影響納入考慮范圍，從而可以降低誤報率；相比于文獻[14]僅通過計算單個權(quán)限在每個類別中出現(xiàn)的概率的方法，本文則提出一系列竊取用戶隱私的惡意權(quán)限組合，通過計算各惡意權(quán)限組合相對于應(yīng)用類別的惡意值來判斷應(yīng)用的惡意性，以惡意權(quán)限組合和類別來判斷應(yīng)用的惡意性，其對惡意應(yīng)用的針對性更強。

2　竊取隱私惡意應(yīng)用的檢測方法

2.1惡意權(quán)限組合

本文以竊取Android系統(tǒng)隱私數(shù)據(jù)為切入點。Android系統(tǒng)隱私數(shù)據(jù)可以劃分為四類：通話、短信、地理位置信息、其他個人隱私信息。通過參考Kirin安全規(guī)則[8]并分析在Android源代碼中對應(yīng)于官網(wǎng)165個權(quán)限[7]每個權(quán)限的詳細解釋，本文提出如表2所示的一系列惡意權(quán)限組合。

表2　惡意權(quán)限組合

如果其中任意一個權(quán)限組合被應(yīng)用申請且被用戶授予權(quán)限，那么該應(yīng)用就有獲取用戶相應(yīng)的隱私數(shù)據(jù)并發(fā)送給惡意應(yīng)用指定接收方的能力。如表2中第1條惡意權(quán)限組合，READ_PHONE_STATE權(quán)限允許應(yīng)用實時監(jiān)聽手機通話狀態(tài)；表3是Android系統(tǒng)定義的手機通話模塊的三種狀態(tài)。

表3　通話模塊的狀態(tài)

那么竊取隱私的惡意應(yīng)用則可以根據(jù)監(jiān)聽到通話模塊的狀態(tài)由CALL_STATE_RINGING變?yōu)镃ALL_STATE_OFFHOOK而確定用戶正在通話，從而再利用RECORD_AUDIO權(quán)限啟動錄音功能記錄用戶通話內(nèi)容；監(jiān)聽到通話模塊狀態(tài)由CALL_STATE_OFFHOOK變?yōu)镃ALL_STATE_IDEL而判斷用戶通話完畢掛機，從而中止錄音；最后再利用INTERNET權(quán)限把錄音上傳到指定服務(wù)器并刪除本地錄音。至此，惡意應(yīng)用就利用惡意權(quán)限組合1完成了竊取用戶通話內(nèi)容并上傳的惡意操作。

2.2具體檢測方法

但并不是所有申請了表2中權(quán)限組合的應(yīng)用都是惡意應(yīng)用，如一個天氣預(yù)報APP就需要獲取ACCESS_FINE_LOCATION+INTERNET或ACCESS_COARSE_LOCAION+INTERNET這些惡意權(quán)限組合，它們可以給用戶自動提供本地天氣預(yù)報；如果一味按照以上惡意權(quán)限組合規(guī)則去判斷一個應(yīng)用是否是惡意應(yīng)用，則會造成很多誤報。

針對類似情況，本文提出一種在不同應(yīng)用類別情景下基于惡意權(quán)限組合的竊取Android隱私惡意應(yīng)用檢測方法。該方法的設(shè)計思想為：首先根據(jù)GooglePlay對Android應(yīng)用的分類(如表4所示)，從每個類別中各取30個非惡意應(yīng)用作為實驗樣本，統(tǒng)計30個惡意權(quán)限組合在每個類別實驗樣本中出現(xiàn)的概率，并通過概率計算出各個惡意權(quán)限組合對于各類別的惡意值。例如天氣類應(yīng)用中惡意權(quán)限組合16、17的惡意值計算出來應(yīng)該很小，而在音樂與音頻類應(yīng)用中其惡意值應(yīng)該很大。然后利用惡意值計算待檢測應(yīng)用的惡意權(quán)值。如果應(yīng)用的惡意權(quán)值小于或等于預(yù)設(shè)的閾值，那么就認為該應(yīng)用不是竊取用戶隱私的惡意應(yīng)用，反之則是竊取隱私的惡意應(yīng)用。下面給出詳細介紹。

設(shè)應(yīng)用類別集合C={c1,c2,…,c26}，ci代表表4中相應(yīng)的應(yīng)用類別，設(shè)惡意權(quán)限組合集合M={m1,m2,…,m30},mj代表表2中相應(yīng)的惡意權(quán)限組合。設(shè)T為惡意閾值。

表4　GooglePlay對應(yīng)用的分類

定義1概率P(ci,mj)：在ci類應(yīng)用樣本中第mj條惡意權(quán)限組合出現(xiàn)的概率。

(1)

其中TS(ci)：類別ci中實驗樣本的總數(shù)；PT(ci,mj):類ci樣本中第mj條惡意權(quán)限組合在實驗樣本中出現(xiàn)的次數(shù)。

定義2惡意值B(ci,mj)：對類ci，第mj條惡意權(quán)限組合的惡意值。

(2)

以0.9為底的對數(shù)函數(shù)在0到1區(qū)間內(nèi)的較大斜率單調(diào)遞減性質(zhì)可以放大各惡意權(quán)限組合的惡意值之間的差異性。P(ci,mj)等于0則惡意值B(ci,mj)趨向于無窮大，表征類ci應(yīng)用申請第mj條惡意權(quán)限組合是不合理的。

定義3惡意權(quán)值T(a)：應(yīng)用a的惡意權(quán)值；

(3)

本文檢測方法的步驟：

Step1構(gòu)建非惡意樣本庫。

GooglePlay是Android應(yīng)用的官方市場，它對上線的應(yīng)用有嚴格的審核機制。本文根據(jù)GooglePlay對應(yīng)用的26個分類，從其中下載評分高、下載用戶多的應(yīng)用，并通過殺毒軟件過濾，分別采集每類樣本各30個，共780個，把它們作為非惡意應(yīng)用實驗樣本。GooglePlay應(yīng)用分為26類，如表4所示(由于個性化與動態(tài)壁紙內(nèi)容相同故歸為一類)。

Step2根據(jù)式(1)、式(2)計算出P(ci,mj)、B(ci,mj)。

Android SDK(soft development kit)中的資產(chǎn)打包工具AAPT(Android asset packaging tool)可以提取應(yīng)用AndroidManifest.xml中申請的權(quán)限，編寫Java程序自動執(zhí)行APTT工具，對Step1構(gòu)建的非惡意樣本庫中的應(yīng)用進行解壓，以應(yīng)用類別為單位逐一提取每個樣本應(yīng)用的權(quán)限并以二維數(shù)組的形式保存，二維數(shù)組的行存儲的是一個應(yīng)用申請的所有權(quán)限。將二維數(shù)組的每一行與表2對比，統(tǒng)計該類別中每個惡意權(quán)限組合出現(xiàn)的次數(shù)，即式(1)中的PT(ci,mj)。圖1、圖2分別是娛樂、天氣兩個類別的非惡意樣本通過統(tǒng)計得出的PT(ci,mj)統(tǒng)計圖。根據(jù)PT(ci,mj)計算式(1)的概率P(ci,mj)和式(2)中的惡意值B(ci,mj)，由于不同類別中不同惡意權(quán)限組合的B(ci,mj)各不相同，限于篇幅不予列出。

圖1　娛樂類應(yīng)用權(quán)限組合分布圖

圖2　天氣類應(yīng)用權(quán)限組合分布圖

Step3由B(ci,mj)根據(jù)式(3)計算任意一個應(yīng)用a的惡意權(quán)值T(a)。

由Step2得到B(ci,mj)后就可以通過式(3)檢測任意一個類別中任意一個應(yīng)用的惡意性了。執(zhí)行過程如圖3所示。執(zhí)行Java程序啟動aapt.exe提取其AndroidManifest.xml中聲明的權(quán)限，并在程序中把應(yīng)用a的權(quán)限與表3中的惡意權(quán)限組合對比，得到應(yīng)用a中出現(xiàn)的惡意權(quán)限組合的集合N(a)，通過式(3)計算應(yīng)用a的惡意權(quán)值T(a)。如果T(a)大于惡意閾值T，則判斷a為威脅用戶隱私的惡意應(yīng)用，若T(a)小于或等于T則判斷a是正常應(yīng)用。T的取值很關(guān)鍵，如果該值過大，會造成檢測的準確率很低，T太小會造成正常應(yīng)用的誤報率很高。通過給閾值T取不同的值，反復(fù)實驗對比分析，取經(jīng)驗值T=0.5時檢測的準確率較高、誤報率較低，綜合表現(xiàn)最佳。

圖3　惡意應(yīng)該檢測流程圖

3　實驗與結(jié)果分析

實驗在內(nèi)存為4 GB、處理器為Intel(R) Core(TM) 2.6 GHz的機器上完成，用Java語言實現(xiàn)了如圖3所示檢測流程。為了衡量實驗的效果，先定義真陽性TP(True Positive)，即正常應(yīng)用被檢測為正常的數(shù)量；假陽性FP(Fail Positive)，即正常應(yīng)用被檢測為惡意的數(shù)量；真陰性TN(True Negative)，即惡意應(yīng)用被檢測為惡意的數(shù)量；假陰性FN(Fail Negative)，即惡意應(yīng)用被檢測為正常的數(shù)量；定義FPR=FP/(TP+FP)，即正常應(yīng)用的誤報率；TNR=TN/(TN+FN)，即惡意應(yīng)用被檢測為惡意應(yīng)用的檢出率；ACC=(TP+TN)/( TP+FP+TN+FN)，即檢測的總體準確率。

VirusShare[18]是一個龐大的病毒庫，其收集了被各大殺毒中心認定為病毒的病毒樣本，其中也包含Android系統(tǒng)上竊取用戶隱私的惡意應(yīng)用。本文從其中下載竊取用戶隱私的惡意應(yīng)用500個，從其中隨機抽取300個作為實驗數(shù)據(jù)。從初始樣本中取150個正常應(yīng)用，再另外從GooglePlay中下載150個正常應(yīng)用。以正常應(yīng)用和竊取用戶隱私的惡意應(yīng)用各50個為一組，共6組作為實驗數(shù)據(jù)。統(tǒng)計實驗結(jié)果如表5所示。

表5　實驗結(jié)果

由表5可以計算出本文方法的總體準確率ACC為82.83%，惡意應(yīng)用樣本的檢出率為74.67%，正常應(yīng)用的誤報率為9%。用以上6組數(shù)據(jù)作為樣本，用文獻[8]的方法進行檢測，得出總體準確率ACC為62.15%，惡意應(yīng)用樣本的檢出率為32.29%，正常應(yīng)用的誤報率為8%。本文方法雖然誤報率略高于文獻[8]，但總體檢測準確率和惡意應(yīng)用檢出率均高出文獻[8]很多。同時，本文與文獻[19]同屬于基于權(quán)限檢測惡意應(yīng)用的靜態(tài)檢測方法，本文的平均準確率略高于文獻[19]的總體平均準確率ACC的80.634%。可見本文檢測方法雖然誤報率略高一點，但是其準確率和惡意應(yīng)用檢出率都較高，相比之下綜合表現(xiàn)更佳。作為一個輕量級檢測方法，用來初步判斷Android應(yīng)用是否有竊取隱私信息的惡意傾向還是有效的。

4　實　現(xiàn)

實現(xiàn)是在一臺內(nèi)存為4 GB、處理器為Intel(R) Core(TM) 3.2GHz、操作系統(tǒng)為Ubuntu12.04的機器上，先下載并編譯Android4.0.3源代碼；然后修改Android系統(tǒng)安裝應(yīng)用的入口代碼PackageInstaller：在用戶安裝應(yīng)用時對安裝應(yīng)用申請的權(quán)限進行檢測，如果檢測到待安裝應(yīng)用存在惡意權(quán)限組合，則要求用戶選擇應(yīng)用類別以進一步檢測，如圖4所示；最后根據(jù)用戶選擇的應(yīng)用類別計算出待安裝應(yīng)用的惡意權(quán)值T(a)，如果T(a)大于閾值T則提示該應(yīng)用的何風險，并讓用戶選擇是否繼續(xù)安裝。

圖4　提示用戶選擇應(yīng)用類別

5　結(jié)　語

本文通過參考Kirin檢測工具的安全策略，并分析Android系統(tǒng)的所有權(quán)限，從隱私信息入手提出了一系列竊取用戶隱私信息的Android惡意權(quán)限組合；由于某些惡意組合出現(xiàn)在某些特定類別應(yīng)用中是合理的，所以又通過大量實驗計算出每個類別分別對每個惡意權(quán)限組合的惡意值；利用惡意值可以計算出任意待檢測應(yīng)用的惡意權(quán)值，把惡意權(quán)值與本文提出的閾值T比較，從而判斷該應(yīng)用是否是竊取隱私的惡意應(yīng)用。實驗結(jié)果證明本文提出的方法的檢測準確率高。最后通過編譯并修改Android系統(tǒng)源代碼，把本文的方法添加到應(yīng)用安裝入口PackageInstaller中，增加了Android系統(tǒng)的安全性。下一步將擴大樣本的數(shù)量等，進一步完善本文的檢測方法。

[1] Smartphone OS sales market share[EB/OL]．(2015-3-7) http://www.kantarworldpanel.com/global/smartphone-os-market-share/.

[2] Android,the world’s most popular mobile platform[EB/OL]．(2015-4-22) http://developer.android.com/about/index.html.[3] 2014年第一季度網(wǎng)秦全球手機安全報告[EB/OL]．(2014-5-28) http://s1.nq.com/file/cnnq/download/2014Q1.pdf．

[4] 360互聯(lián)網(wǎng)安全中心2014年手機安全報告[EB/OL]．(2015-3-20) http://zt.#/1101061855.php?dtid=1101061451&did=1101205565．

[5] The Android manifest.xml file [EB/OL]．(2015-4-3) https://developer.android.com/samples/BluetoothLeGatt/AndroidManifest.html．

[6] 蔣紹林，王金雙，張濤，等．Android安全研究綜述[J]．計算機應(yīng)用與軟件，2012，29(10)：205-210．

[7] Mainfest.Permission[EB/OL]．(2015-4-22) http://developer.and roid．com/reference/android/Manifest.permission.html．

[8] Enck W，Ongtang M，Patrick McDaniel．On Lightweight Mobile Phone Application Certification[C]//Proceedings of the 16th ACM Conference on Computer and Communication-s,2009：235-245．

[9] 張嘉賓．Android應(yīng)用的安全性研究[D]．北京：北京郵電大學,2013．

[10] Enck W，Gilbert P，Byunggon C，et al．TaintDroid:An information flow tracking system for real-time privacy monitoring on smartphones[C]//Proceeding of the 9th USENIX Symposium on Operating Systems Design and Implementation (OSDI 10)，2010:393-408.

[11] Ongtang M，McLaughlin S，Enck W，et al．Semantically rich application-centric security in Android [C]//Annual Computer Security Applications Conference，2009:304-309.

[12] Nauman M，Khan S，Zhang X．Apex:Extending Android permission model and enforcement with defined runtime constraints [C]//ACM Conference on Computer and Communication Security，2010:328-332.

[13] 張銳，楊吉云．基于權(quán)限相關(guān)性的Android惡意軟件檢測[J]．計算機應(yīng)用，2014，34(5):1322-1325．

[14] 張葉慧，彭新光，蔡志標．基于類別以及權(quán)限的Android惡意應(yīng)用檢測[J]．計算機工程與設(shè)計，2014，35(5)：1568-1571．

[15] 李海峰，章寧，朱建明，等．時間敏感數(shù)據(jù)流上的頻繁項集挖掘算法[J]．計算機學報，2012，35(11)：2283-2293．

[16] 楊歡，張玉清，胡予濮，等．基于權(quán)限頻繁模式挖掘算法的 Android 惡意應(yīng)用檢測方法[J]．通信學報，2013，34(S1)：106-115．

[17] 楊歡，張玉清，胡予濮，等．基于多類特征的Android應(yīng)用惡意行為檢測系統(tǒng)[J].計算機學報,2014，37(1)：15-27．

[18] Virusshare.com-Because share is caring [EB/QL].(2015-4-3) http://virusshare.com/support．

[19] Sanz B，Santos I，Laorden C，et al．Permission usage to detect Malware in android [C]//International Joint Conference CISIS’ 12-ICEUTE’ 12-SOCO’ 12 Special Sessions，2013:289-298．

DETECTION METHOD FOR ANDROID MALWARE OF PRIVACY STEALING BASED ON PERMISSIONS COMBINATION

Huang MeigenZeng Yunke

(College of Computer Science and Technology,Chongqing University of Posts and Telecommunications,Chongqing 400065,China)

On the basis of analysing 165 permissions of Android system,we extracted 30 malicious permissions combinations that can theoretically acquire privacy resources of Android system.Aiming at the application category we proposed a detection method for the malwares stealing privacies,which is based on malicious value of malicious permissions combination,malicious weight of application under test,and malicious threshold.The correctness and accuracy of this method have been verified through the experiment.The method has also been implemented in Android operating system.

Android operating systemMalicious permissions combinationMalware detectionApplication category

2015-05-21。重慶市自然科學基金項目(cstc2012jjA4014)；重慶市教委科學技術(shù)研究項目(KJ130518)。黃梅根，高工，主研領(lǐng)域：網(wǎng)絡(luò)通信。曾云科，碩士生。

TP309

A

10.3969/j.issn.1000-386x.2016.09.074