文献综述(或调研报告):
在移动互联网时代,随着智能终端的普及,蓬勃发展的移动智能手机设备行业也吸引了大量的应用开发者,每天都有成千上万的新型Android移动应用涌入人们的视野。目前,Android系统己经占据了整个移动市场份额的86.8%[1]。随着移动应用市场的飞速发展,Android应用程序又可以使用逆向工程工具,这引起了抄袭者和恶意软件编写者的注意,导致应用重打包问题成为了目前Android平台面临的最主要的威胁之一。这严重威胁了应用市场健康的生态系统,因为重打包的应用不仅损害了开发者的利益,而且还是恶意软件分发的来源,这对用户的隐私和安全造成了威胁。
重打包应用指的是通过对市场上发布的正版应用进行反编译,然后进行内容的篡改,最后打包成新应用并重签名的盗版应用[2]。攻击者通常通过插入恶意软件,修改原始应用,重打包和释放它们以用于非法目的来利用Android应用的流行度,为此攻击者保留了类似的软件行为以混淆用户。
在以前的工作中,移动应用程序克隆检测主要关注基于代码的分析,它缺乏对代码混淆和加固技术的抵抗力,而且由于需要处理数十亿个操作码以进行跨市场克隆检测,它们的效率也值得怀疑[3]。虽然国内外的学者对于重打包应用的研究己经取得了很大进展,但越来越多的攻击者正在使用了代码加固技术对重打包应用的源码文件进行了加密及隐藏处理,以规避基于静态代码分析的重打包检测方法。此外,通过结合Web技术和本机元素构建的混合移动应用程序正成为攻击者的首选。混合应用程序的结构与本机应用程序的结构有很大不同,这会给重打包检测带来巨大挑战[4]。
最近大致有以下工作。龙彦君针对目前重打包应用检测方法存在的不足,提出了一种抗加固的轻量级的应用胎记构建方法。该方法通过对应用布局文件的简单静态分析,提取应用的用户界面特征,按照特征矩阵的结构构造出一种全新的Android应用胎记,并基于上述方法实现了一个原型系统LMDroid[1]。周倩婷针对目前检测重打包技术存在的问题,提出了一种改进的重打包检测技术—基于可视化内容相似度计算的重打包检测技术,并根据检测算法实现了原型系统 ATdroid[2]。Soh C等人提出了一种基于对运行时收集的用户界面(UI)信息的分析来检测Android应用程序克隆的新技术[3]。S. Yue等人提出了一种基于从app的运行时UI跟踪中提取的app UI区域的方法并基于该方法实现了一个名为RegionDroid的工具[4]。他的团队之后又提出了从UI构建的布局组图(LGG)来模拟这些UI行为,并使用LGG作为Android应用程序的胎记进行识别的方法并基于LGG实现了动态重新包装检测工具RepDroid[5]。Malisa L等人提出了一种使用动态代码分析从移动应用中提取用户界面,并分析提取的截图以检测冒充的新方法[6]。汪润等人设计了一种基于 UI 抽象表示的散列快速相似性检测方法,识别 UI 相似的可疑重打包应用;然后,使用程序依赖图作为应用特征表示,实现细粒度、精准的代码克隆检测,并基于所提方法实现了一种原型系统——SPRD(scalable and precise repacking detection)[7]。Zhang F等人提出了ViewDroid,一种基于用户界面的移动应用程序重打包检测方法[8]。Gadyatskaya O等人评估并改进了基于资源的重打包检测来比较apks中包含的文件集的方法[9]。Lin M等人提出了一种有效且简单的可扩展检测方法,该方法基于静态UI功能并且包括粗粒度和细粒度两个阶段的检测[10]。
从上述作者的工作中我们可能得出以下结论。Android应用程序是用户交互密集型和事件占主导地位的,用户和应用程序之间的交互是通过用户界面或视图执行的,人们通常通过执行并观察它们的运行时用户界面(UI)跟踪来直观地判断两个应用程序是否是重打包应用对。通过利用Android应用程序的多个入口点功能,可以轻松收集UI信息,而无需生成相关输入并执行整个应用程序。但根据应用视觉相似性判断重打包的技术工具依赖于过于严格的阈值。基于资源文件特征的检测方法能够有效处理加固的Android应用,但这类方法由于时间复杂度较高以及鲁棒性问题,不能适用于大规模的重打包应用检测。应用胎记的构建完全独立于应用的源代码文件,因此能够有效抵御主流的代码加固技术的影响。
综上所述,过去针对Android移动应用重打包和冒充的主流检测手段是基于代码的检测,这种检测不仅效率低下,而且随着现在代码混淆和加固技术的出现也变得十分无力。之后的研究基本上都是基于可视化内容,用户界面相似度或是构建应用胎记的方法检测,该类方式由于独立于代码,且切中重打包应用的弱点,即攻击者的视觉自由度有限,所以有很高的准确度。但由于在大规模市场里需要一定的效率,所以常添加其他优化步骤。
参考文献
