现代的智能手机操作系统(OS),已经制定了一个更加强调安全和保护隐私。其中一个系统使用,以保护用户的机制是许可制度,即要求开发商申报敏感资源的应用程序将使用什么,有用户申请同意时,他们安装应用程序和运行时限制了应用程序所请求的资源。由于这些权限系统变得越来越普遍,问题已经上涨对他们的设计和实施。在本文中,我们试图回答开始有些这些问题进行了Android智能手机操作系统的许可制度的分析。由于Android的许可系统的文档是不完整的,因为我们希望能够分析的Android多个版本,我们开发PScout,即提取使用静态分析了Android操作系统源代码的权限规范的工具。 PScout克服一些挑战,如可扩展性,由于Android的340万行的代码库,占许可实施跨越由于Android的使用IPC的流程和抽象Android的不同权限检查机制成一个单一的原始进行分析。我们使用PScout分析4 Android版本的跨越2.2版本升级到最近发布的Android 4.0。我们的主要发现是,尽管Android有超过75个的权限,没有在权限规范小冗余。然而,如果应用程序可以被限制为仅使用记录的API,那么非系统权限的约22%实际上是不必要的。最后,我们发现,使最小特权安全细粒度权限和维护权限规范的稳定作为Android操作系统的发展之间存在权衡。
参考文献
