19、DeMAndApp：检测恶意安卓应用

DeMAndApp：检测恶意安卓应用

1. 引言

在当今数据驱动的物联网环境中，保障用户数据隐私至关重要。安卓系统已成为实现物联网系统的最流行应用平台之一。安卓应用为了正常运行，通常会请求访问各种用户数据的权限。然而，许多应用获取的权限超出了实际所需，这些过度权限往往被恶意应用利用，访问本应属于用户的隐私信息。

目前，安卓操作系统通过应用权限机制来保护用户敏感信息。但实际上，存在大量过度权限应用，它们有从安卓设备执行数据盗窃操作的潜在风险。谷歌一直在不断更新安卓操作系统以检测恶意应用，例如警告开发者提供有效的隐私政策，不满足要求的应用将被限制可见性或从应用商店移除，近期还封禁了136个恶意应用。但恶意应用数量仍在不断增加。

许多研究人员试图设计系统，通过分析应用初始化时请求的权限来准确识别恶意应用，但这些系统在识别过度权限应用方面效果不佳，且使用困难。用户在安装应用时，往往因缺乏相关知识或没时间阅读条款，轻易授予应用权限。为解决这一问题，我们开发了一种工具，可测试应用并准确识别其是过度权限应用还是良性应用。

2. 相关工作

物联网恶意应用的识别和分类主要分为手动分类和自动分类。手动分类易出错，自动识别则通过分析应用的清单文件和部分代码来判断应用是否过度权限。识别恶意应用主要有三种分析方法：静态分析、动态分析和混合分析。
- 静态分析 ：对物联网应用的APK文件进行源代码审查。研究人员使用APK工具、dex2jar等逆向工程工具。其优点是无需在物联网设备上安装应用即可测试其行为。例如，Burguera等人解码安卓应用代码提取静态特征，进行特征过滤和融合以创建复合特征进行分类；Arzt等人、E