Android操作系统安全

作者：苗甦

Android在迅猛发展的同时，其安全问题一直没有引起足够的重视，但在2010年6月研究人员发布Android平台的KernelRootkit以来，Android平台的安全问题引来了越来越多的关注，而同时，Android平台的恶意软件也开始流行起来。^[3]

根据以上的Android系统架构分析，可以发现在三个层面可能存在恶意软件。分别是处于最高位置的应用层（Applications），函数库层（Libraries）之上，还有Android的Linux内核中。根据编程语言的不同，也可以叫做Java层，NativeC层，Linux Kernel层^[4]。

Java层安全

毋庸置疑，Java层安全的恶意软件或安全软件，像普通的应用程序一样，使用Java语言开发，使用Google提供的AndroidSDK，

在恶意软件方面，无非是注册一些系统事件进行相应，比如收到短信，收到邮件等等，再就是在用户不知情的情况下侵犯手机安全，比如偷偷发短信，窃取用户位置信息，窃取用户通话等等。但是同其他Android应用程序的开发一样，这些恶意软件开发时，要为使用这些恶意功能申请权限（比如发短信权限android.permission.SEND_SMS，收短信权限android.permission.RECEIVE_SMS等等），用户在安装时对这些权限一目了然，很容易引起用户的怀疑。

而Java层的安全软件功能更是匮乏，要知道，无论是哪一个平台的安全软件，要保证用户安全，起码要拥有对其他进程的绝对控制权限，比如结束进程，开启进程，获取进程行为等等。而Android SDK并没有提供这么强大的功能，到Android SDK 2.2版本时，通过SDK提供的API，甚至无法去强制结束一个第三方软件的进程。而目前的Java层面的安全软件，只是简单的对已安装的软件进行静态扫描，搜索有没有使用可疑的权限，或者是清理一些软件的自启动行为，主动防御、行为分析等概念在Java层上几乎不存在。总而言之Java层面的安全软件被完全束缚于SDK中，而Java语言不能直接访问内存，相对于自由的C语言来说，Java语言本身就不适合开发安全软件。

Native C层安全

虽然Android平台的软件要用Java开发，但是也并非全部如此。Android底层必定是一个Linux ^[11]，在Linux内核之上又有大量的标准C函数库，在理论上，是可以编译出可以直接依靠这些函数库运行的C语言程序的。事实上，在Android系统自身中已经存在很多这样的程序，在Android的超级终端中，我们可以像在Linux的超级终端中一样调用一些常用的命令，比如ls，ps，cd，free，等等，这样的命令在Android中有几十个。其实这些命令都存在于“/system/bin”或“/system/xbin”下，而且都是C语言编写的程序。

早在Android NDK发布以前，研究人员就已经可以利用Android的源码中的资源（.h文件等）和Linux下的编译工具（gcc，交叉编译器等）编译C语言程序，并且可以像执行这些命令一样执行这些程序，我们可以称之为Native C。

AndroidNDK的发布，使得Native C程序的开发更加方便。AndroidNDK于

2009年7月发布第一个版本（Release1），目前已经发布到第五个版本（Release5）。

Android NDK使得普通的应用程序（.apk）中可以使用库文件（.so），这些库文件用C语言编写，并且在Java语言的代码中，可以通过JNI调用C语言代码。在这些C语言代码中，可以调用一些运行时函数（printf，memcpy等等），以及一些Linux中存在的函数（ptrace，waite等等），甚至是一些Android的核心API。再加之C语言对内存有绝对的控制权限，使得一些安全技术可以在这里大展拳脚，尤其是HOOK技术，这对恶意软件还是安全软件来说，都是一件好事。Android NDK的发布不仅有利于安全编程，对于其他领域的软件，尤其是需要较高效率计算，不适宜在较高层的Java语言编写的软件，比如拥有自己核心的浏览器（火狐，Opera等）和大型游戏，NativeC都给他们带来的好消息。

在2011年三月，一个叫LBE的团队发布了一款基于主动防御的隐私安全软件，LBE隐私卫士。这是第一款正式发布的Android平台的主动防御安全软件。LBE小组曾经将Android的移植到魅族M8（原来运行Mymobile）上，其核心成员常年致力于ARM平台Linux的研究，有很扎实的Linux功底。这款LBE隐私卫士就是用Android NDK开发的，其中用到了APIHOOK技术。

关于HOOK技术：HOOK技术无论对于安全软件还是恶意软件都是十分关键的一项技术，其本质就是劫持函数调用（在Windows中，HOOK也可以理解为窗口消息劫持），不管是Windows 还是Linux平添，HOOK在安全软件中的应用都十分广泛。

NativeC层面的程序虽然是C语言，但是依然处于Android用户态，即Linux的用户态。因此NativeC层上只能对某一进程（当然也可以是所有进程）进行API HOOK。不管是Windows还是Linux，其用户态的每个进程都拥有独立的进程空间，要对其进行API HOOK必须进入其进程空间才能修改这个进程的代码，即必须有能力修改目标进程的内存。对于这一方面Windows和Linux采用了不同的方法。Windows没有API可以修改某一进程的内存，因此一般采用Dll注入（或称远程线程注入）的方法。而Linux则常用ptrace与plt实现API HOOK。

在Windows中，APIHOOK的一般流程为：

① OpenProcess，打开目标进程。

② 获取LoadLibrary的函数地址，该函数地址一般在每个进程空间内都是相同的。

③ VirtualAllocEx，在打开的进程中申请内存。

④ WriteProcessMemory，在申请的内存中写入要注入的Dll路径字符串（此处也可以直接写入需要的代码，然后CreateRemoteThread执行来进行HOOK，此方法更加隐蔽，但更加复杂困难）。

⑤ CreateRemoteThread，启动远程线程，入口地址为LoadLibrary的函数地址，参数为要注入的Dll路径字符串（也就是远程申请的内存地址）。

⑥ 注入的Dll中代码会在自身被加载时开始运行。

⑦ 找到要HOOK的API所在的函数库基址。

⑧ 找到要HOOK的API再其函数库中的导出表所在位置。

⑨ 修改导出表，指向自己的函数入口地址。

⑩ 在自己的函数中调用原API。

当然在注入成功后也可以直接修改API的开头几个字节，jmp到自己的函数，然后再jmp回去，这种方法称为InLineHOOK，InLine HOOK更不容易被检测到，但是稳定性，通用性都较差，而且操作更加复杂。

在Linux中，APIHOOK进入目标进程空间时使用了Linux中的ptrace函数^[9]。ptrace函数原本是用于调试程序用的，功能十分强大，不仅可以绑定某一进程（PTRACE_ATTACH），而且可以任意修改目标进程的内存空间（PTRACE_PEEKDATA，读内存。PTRACE_POKEDATA，写内存），甚至是寄存器（PTRACE_SETREGS，PTRACE_GETREGS）。其一般过程为：

① PTRACE_ATTACH，绑定目标进程。

② PTRACE_GETREGS，获取目标进程寄存器状态，并保存。

③ PTRACE_PEEKDATA与PTRACE_POKEDATA配合，保存原代码，写入要注入的代码到当前运行位置。

④ PTRACE_SETREGS，恢复寄存器状态，并继续执行，这是注入的代码开始在目标进程内执行，注入代码完成HOOK，过程与Windows下相似。

⑤ 在HOOK完成后，注入的代码执行int3被ptrace捕获，目标进程再次暂停执行。

⑥ PTRACE_GETREGS，再次保存寄存器。

⑦ PTRACE_PEEKDATA与PTRACE_POKEDATA配合还原代码。

⑧ PTRACE_SETREGS，恢复寄存器，目标进程继续执行。

⑨ PTRACE_DETACH，撤销绑定目标进程。

Linux下还可以LD_PRELOAD来注入代码^[7]从而进行HOOK。

在前面提到的Native C级安全软件LBE隐私卫士出现后我对其实现方法进行了研究，发现了类似的方法。LBE隐私卫士中有两个用NativeC编写的函数库，分别为libloader.so和libservice.so。其中libloader.so负责将libservice.so注入到系统进程，libservice.so在注入后负责HOOK相关的API，从而实现对这些API的监控功能。在libloader.so的导出函数中可以看到以下三个函数：

其中inject_phonemgr，inject_server，inject_svcmgr三个函数分别负责将libservice.so注入到phonemgr，server，svcmgr三个系统进程中，在加载了LBE隐私卫士的Android手机中，在终端使用 cat /proc/<pid>/map（其中<pid>为三个系统进程的pid）可以在输出中看到，三个系统进程都加载了 libservice.so。这一点证实了我的推断。

而在libservice.so的函数导出表中，又可以看到以下函数：

目前只能通过函数名大体推断这些函数的具体功能，可能是通过这几个函数hook监控网络，发短信，打电话，位置服务等等功能。

通过与LBE隐私卫士的开发团队的交流，我了解到在其使用的注入技术，ptrace似乎并不起主要作用，而由于商业机密等原因，其团队并不方便透露其具体实现细节，LBE团队毕竟是Linux方面的佼佼者，我刚刚接触Linux安全，ARM汇编代码逆向能力更是有限，目前依然不能完全了解LBE的实现细节，也只能在简单分析的基础上一些猜测。

Linux Kernel 层安全

2010年8月2日，Spider Labs的安全专家在DefCon安全会议上发布了一个内核级别的Android Rootkit工具，这是Android推出以来公布的第一款Rootkit，这次演讲引起的巨大的影响，该Rootkit的源码也被收录在本次会议的CD中，此后到2011年初，Android市场上开始出现Rootkit级的恶意软件，而此时正式推出的安全软件才刚刚达到Native C的级别。其实AndroidRootkit的研究并不比Native C级别的难，SpiderLabs的安全专家曾经列出一个公式：Android == Linux == 20 year old Open Source OS。在Android的Linux内核层更是如此。大量的Linux内核安全专家，以及现有的Linux Rootkit的研究成果使AndroidRootkit的出现提前了很多。

要加载内核级Rootkit，首先要将代码放进Linux内核，在这个问题上，可以将代码编译为一个“可加载内核模块”（Loadable Kernel Module，LKM），Linux内核可以动态的加载这些LKM，它与整个Linux内核拥有同样多的权限，并通过触发器激发这些代码，只要这些代码运行起来，也就意味着有能力经劫持Linux内核，即劫持关键的Linux系统调用^[10]，例如进程操作，文件操作，网络操作等等，就可以任意对手机进行操作，完成任何功能，比如窃取短信，悄悄打电话，GPS定位，等等，所有这些行为都不会被用户察觉，这些Rootkit可以不被内核外的任何安全软件察觉，甚至不被内核级安全软件所擦察觉，对用户的隐私，甚至财产造成极大的威胁。

LKM加载进Linux内核后就要对系统调用进行HOOK，劫持这些调用，这这其中有以下几个难点：如何获得系统调用表（sys_call_table）的位置^[5]，如何在Android的源码下进行编译，如何调试这些代码。

Android采用Linux 2.6版本的内核，而2.5及更高版本的Linux内核已经不再导出sys_call_table了，这就意味着extern void *system_call_table[]；并不能得到系统调用表。但是依然可以在System.map中找到sys_call_table，而且这个地址是静态的：^[12]

图1.4 获取sys_call_table的地址

要调试Android下的Linux内核并不是一件简单的事情，为了得到sys_call_table每个具体函数名及函数地址，可以用sys_write，sys_read，sys_open，sys_close等函数输出。^[12]

在这些工作完成后，就可以根据Android的源码以及这些分析结果，编写LKM，通过内核级HOOK劫持系统调用，内核级HOOK相对用户态APIHOOK更加简单，因为内核中并没有进程内存空间等概念，对所有内存有直接的访问权限，在内核级HOOK时依然可以通过修改sys_call_table或Inline HOOK两种方式，两种方式各有优缺点。

完成编写并编译后可以通过Linux下的命令工具集Busybox中的insmod来加载内核模块：

图1.5 加载LKM

该工具集中的lsmod可以列举出已经加载的内核模块，但是Rootkit中可以通过劫持相关系统调用，使自身不被lsmod列举出来，从而达到完全的隐身。^[12]

由于在root权限等方面所遇到的问题，目前Android Linux Kernel级的安全软件尚属空白。