《表2 隔离实验测试结果:安全隔离的安卓应用虚拟化框架设计与实现》
其中“×”表示可以突破安全隔离,“√”表示无法突破隔离,“”表示现有隔离措施可以被绕过
表2是隔离测试的实验结果.在文件隔离测试中,只有Secure AppV能够对目标应用之间文件进行隔离.由于不同应用运行在不同UID之下,由内核目录访问控制实现的隔离无法被绕过.对于平行空间,攻击应用使用绝对路径和相对路径均无法对其他应用私有目录下文件进行访问.我们对其进行人工分析后发现,平行空间对应用访问的文件路径进行了判断,当路径前缀指向其他应用私有目录时,框架会禁止文件访问的操作.我们通过在攻击应用自身目录下,创建所要访问应用私有文件的软链接[19],使用此链接绕过文件路径访问的限制.在权限隔离测试中,仅有SecureAppV对攻击应用权限进行隔离.在其他框架内,攻击应用在未申请权限INTERNET情况下,通过继承框架权限成功进行了网络访问操作;在服务隔离测试中,除了框架SecureAppV,攻击应用通过访问服务AccountManager Service得到框架内Twitter应用注册的账户信息.
图表编号 | XD0096855800 严禁用于非法目的 |
---|---|
绘制时间 | 2019.09.01 |
作者 | 侯俊行、杨哲慜、杨珉 |
绘制单位 | 复旦大学软件学院、复旦大学软件学院、复旦大学软件学院 |
更多格式 | 高清、无水印(增值服务) |