Secure Software Installation on Smartphones 笔记

最新推荐文章于 2022-01-03 21:07:12 发布
原创 最新推荐文章于 2022-01-03 21:07:12 发布 · 1.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android #手机 #商城 #ios #blackberry #symbian

本文探討了Android、iOS與Symbian等主流智能手機平臺的應用安裝安全問題,包括進程隔離、代碼簽名、系統更新及應用商店模式等關鍵技術。並對比了不同操作系統的安裝模式,如封閉花園(Walled Garden)、監護人(Guardian)和用戶自主(End-user Control)模式。

最近读了一个论文 Secure Software Installation on Smartphones ,最初的时候从网络上下载的文章,后来再次查找的时候发现不能免费下载了,可以购买:(。文章链接为:http://www.computer.org/portal/web/csdl/doi/10.1109/MSP.2010.202。

 

下面是做的笔记。

 

论文讨论的是android 、苹果公司的IOS、Symbian等主流的智能手机的软件安装相关安全问题。

 

1.智能手机上软件安装安全的问题涉及以下方面:

a: 进程和文件系统的隔离。

IOS和Symbian提供系统级别的隔离机制。IOS的情况我看了一些资料,简而言之,IOS强制应用运行在“沙箱”SandBox环境下,对应用能够访问的文件系统目录、网络资源、硬件资源等系统资源进行限制,详细见http://developer.apple.com/library/ios/#documentation/iPhone/Conceptual/iPhoneOSProgrammingGuide/RuntimeEnvironment/RuntimeEnvironment.html#//apple_ref/doc/uid/TP40007072-CH2-SW3。至于Blackberry和Android, 通过JAVA虚拟机能够提供进程隔离(JAVA VM以及 Dalvik),但Android上应该说还不足够,因为开发人员可以创建本地运行的非虚拟机上运行的应用。

 

b:应用/代码签名

 

应用/代码签名的技术应用在每一种主流智能手机平台上,对Android来说,应用必须自签名,亦即是,开发者产生key,并对应用进行签名,此过程不需要Google干预。android的这种签名流程有两种用法,第一种用法用在应用软件的后续更新流程中开发者对原版本软件的签名进行验证,注意android的这种使用方法不能用在应用软件的初始安装中;第二种用法是在应用间的进程间通信场合(IPC),开发者可以限制具有相同的私有签名的进程才能彼此访问。对IOS来说,应用未经过苹果公司签名的不能在设备上运行,该限制固化在操作系统级别,该签名由设备上的审批进程(vetting process)来进行检验(个人字面理解,vetting process对应IOS安全架构的哪一个部分尚未清楚)。

 

c:ROM,Firmware的更新和恢复。

与桌面系统相比,智能手机设备的操作系统以及固件(firmware)通常烧入只读的内存(ROM)中,ROM中的数据不能被用户空间的进程所修改,因此更加安全。当设备提供商需要对操作系统进行升级的时候,需要对ROM进行写入,此时多数设备提供商提供一个PC 上运行的软件以及一个USB的接口连线,将PC上的系统镜像拷贝烧入设备。这里比较特殊的是Android, 提供了通过空口(over the air)更新ROM的数据的功能。OTA是通过移动通信(GSM?CDMA)的空中接口对设备的数据和应用进行远程管理的技术(网上资料上指对SIM卡的数据进行管理,此处是否android对ROM的数据进行了更新?)。

 

d:KILL SWITCH

kill switch技术是一种远程对移动设备上的应用进行废除和卸载的技术。该技术通常与平台的应用商店进行紧密结合,能够阻止恶意软件在设备中的使用,但是也带来人们对设备运营商或者运营商过渡控制设备,侵犯用户隐私的担心。文章提到IOS和Android的应用商店平台具有配套使用该技术。

 

2.智能手机上的软件安装模式分类。

文章将智能手机上的软件安装模式分成三类:第一种叫做Walled Garden Model ,第二种叫做Guardian model ,第三种叫做End-user control model。

 

Walled Garden model是一种设备提供商或者其他角色例如运营商对终端设备上的软件安装进行完全的控制的模式。这种模式的主要使用者是传统的旧有的手机,同时,苹果的IOS被文章认定为主要使用该模式。在该模式下,用户设备上能安装的第三方的软件必须经过苹果的认可,通过苹果的审批,非法安装在用户终端上的程序软件商店平台可以通过Kill Switch的技术进行卸载。

 

Guardian model下面,应用安全的决策代理给专业的第三方Guardian,例如,代理给操作系统的提供商(此时,非常接近于Walled Garden model),电信运营商。Guardian负责主要的安全决策,不需要用户进行介入。文章提到BlackBerry 使用了该模式。

 

End-user control model中,用户了解各种来源的软件的安全风险,负责所有软件安装的安全决策。这要求用户具有比较专业的背景知识,才能回答“请问您是否允许XX应用读取电话状态?”之类比较专业的问题。Android被认为主要采用End-user control model ,依赖用户来决定设备上的应用能否安装以及访问系统资源。市场上的一些电信运营商将Android移植和按照自身的需要客户化成成某种品牌的设备操作系统,此时,其软件安装模式通常被修改成Guardian model , 此处Guardian就是运营商本身。当然,Google使用kill switch技术控制设备的时候,Android具有了一定程度上的Walled Garden model的属性。

 

3.智能手机上的应用安装模式和应用商城

目前主流的智能手机操作系统提供商都建设相关的智能手机应用商城。智能手机应用商城主要用以智能手机应用的审批、销售/发布。

在Walled Garden model模式下,应用商城是操作系统提供商控制应用能否进入设备的一个控制点,在这种模式下软件的审批、测试需要花费巨大的成本。

在End-user control model下,应用商城仅仅用于应用软件的发布。操作系统提供商基本不干涉最终用户与应用开发者之间的交互。软件是否值得购买/下载更加依赖与大众评分和推荐。

在Guardian model下,应用商城的主要角色是软件发布的平台,软件被允许下载,但是能否安装控制在智能手机设备的配置中。各种应用软件可以从非应用商城的途径(例如,某个网站)直接下载,而应用商城的软件则是经过测试的,比较有价值和保障的应用来源。

 

 

DBUS-GLIB:从DBUS文本消息到函数调用背后的机制
shallon 的笔记
05-18 4865
之前曾经详细看过在DBUS GLIB BINDING中本地消息(Signal)如何映射到DBUS消息(Signal),最近再次研究DBUS 的GLIB,发现尚遗漏了DBus消息如何映射成本地方法调用的重要一环。此处补上。为了比较通透了解文本消息到函数调用的动态类型绑定实现过程,下载了DBUS、DBUS-GLIB、以及以Embed EDS的为研究入口。由于不同的版本代码可能有差异,下面着重说
arch linux安装_安装Arch Linux如何使我的旧笔记本电脑重获新生
07-12 1921
arch linux安装by Jonathan Baldie 乔纳森·巴尔迪(Jonathan Baldie) 安装Arch Linux如何使我的旧笔记本电脑重获新生 (How installing Arch Linux brought my old laptop back to life) Got an old computer that is too slow to run Windows...
计算机系统概论基本知识
David_Hzy的博客
01-03 3712
目录 chapter0 chapter1 binary system chapter2 chapter3 chapter4 chapter5 chapter6 chapter7 chapter8 chapter0 A representation of an algorithm is called a program The process of developing a program, encoding it in machine-compatible form, and .
ipad发布会ipad_ipad十周年,从办公室的角度
weixin_26741235的博客
09-03 505
ipad发布会ipadThere have been a number of interesting and thoughtful retrospectives on the 10th anniversary of the iPad’s announcement. Steven Sinofsky used a Twitter thread (gathered into this post) to ...
增加客流量的方法_7种成熟的方法来增加网站流量
culin0274的博客
08-13 1446
增加客流量的方法According to retail analyst, GlobalData, over 50% of UK consumers now shop online, with spending predicted to grow 30% by 2024. Indeed, by 2021, Statista forecasts 93% of internet users in the...
UMTSkeeper: keep your UMTS/GPRS/GSM connection alive automatically
weixin_30851409的博客
08-22 2468
UMTSkeeper: keep your UMTS/GPRS/GSM connection alive automaticallybyElias from MintakaThis page is about UMTSkeeper version 2 (Python version). If you need information about version 1.xx (BASH versio...
绝地救生error_30种面向前端开发人员的救生工具
culh2177的博客
09-03 1421
绝地救生errorAs the functionalities of web apps keep getting ever more sophisticated and complex, web developers need flexible tools to keep up with rising user expectations. The good news is, the web dev...
我改回iPhone的13个理由
weixin_26644651的博客
08-17 1502
First things first. I am not an Apple fanboy. I’ve been using smartphones for almost a decade now and I’ve owned exactly 1 Symbian, 4 Androids and 2 iPhones. I had always wanted to buy an iPhone ever ...
计算机英语(31-60)
qq_41880352的博客
08-02 7007
每日更新:https://blog.youkuaiyun.com/qq_41880352/article/details/94288895 目录 31、Ajax 32、Alert Box 33、Algorithm 34、Alpha Software 35、ALU 36、Analog 37、Android 38、Animated GIF 39、ANSI 40、Antivirus 4...
Collaborative Augmented Reality on Smartphones
10-18
在本文“Collaborative Augmented Reality on Smartphones via Life-long City-scale Maps”中,作者们提出了一个创新的计算机视觉系统,旨在实现智能手机上的共享增强现实体验。这一系统着重解决了城市规模SLAM...
Deployment of Deep Learning Models on Smartphones as Real-Time APP
02-23
Guidelines and Benchmarks for Deployment of Deep Learning Models on Smartphones as Real-Time Apps 是深度學習方面如何部署需要即時得到影音網頁等資料的智慧手機部署手冊.
Performance Analysis of Motion-Sensor Behavior for User Authentication on Smartphones
02-06
### 智能手机运动传感器行为在用户认证中的性能分析 #### 概述 随着智能手机逐渐成为个人计算平台,用于访问和存储私人信息,对于安全可靠的认证机制的需求日益增加。本研究探讨了利用智能手机上的运动传感器行为...
Energy-aware Cost-effective Cooperative Mobile Streaming on Smartphones over Hybrid Wireless Networks
02-22
4. Smartphones(智能手机):智能手机在移动流媒体中是主要的接收和播放设备。它们通常配备有多种无线网络接口,如蜂窝网络接口和WiFi接口。 5. Hybrid Wireless Networks(混合无线网络):混合无线网络由不同的...
初探GStreamer
热门推荐
shallon 的笔记
05-31 1万+
    近日准备把linux手机平台上的各大软件模块都浮光掠影蜻蜓点水的学习一遍,今天看到了多媒体处理模块,不得不去学习一下GStreamer。      GStreamer,江湖上人称“PIPELINE式的多媒体处理框架”,在该媒体处理框架将多媒体数据流处理划分成各种能够自由组合重用的节点,然后将 节点组合成串行处理的媒体处理链。看看下面的命令:
Gtk+/Cairo/Glitz扯开漫谈
shallon 的笔记
10-28 5482
Gtk+/Cairo/Glitz扯开漫谈Cairo是一个矢量图形及图像合成的类库,从GTK+ 2.8开始,GTK+大量的图形绘制功能用的就是Cairo。GTK+的官方文档说:GDK does not wrap the Cairo API, instead it allows to create Cairocontexts which can be used to draw
ubuntu/fedora+hw em660的连接对调日志
shallon 的笔记
06-30 3890
华为EM660 3G模块:CDMA 1x/EVDO模块,EM660与PC linux之间通过USB转换卡(好像某些专业人士叫 USB Dongle,本人比较土,不是很确认)连接。 EM660及其usb转换卡上并无声卡及MIC插孔,故只能测试拨号的ATCommand,不能真正从EM660听到或采集声音。   dmesg......[ 6296.331428] USB Ma
当WebKit碰上Clutter
shallon 的笔记
05-21 3123
当WebKit碰上Clutter,是不是“金风玉露一相逢,便胜却人间无数呢”?目前多种移动设备上的浏览器(例如苹果的Safari)或者基于浏览器的应用引擎(例如,Nokia的WRT)都是以WebKit为内核的实现,这种以Web的技术和语法实现的移动设备上桌面应用正准备以较低的开发门槛为主要优势,记得网页上一个说法:”有多少网页开发人员就有多少WRT的开发人员“。Clutter是一个开源
3G Modem在Linux上的激活测试
shallon 的笔记
04-29 2672
3G Modem在Linux上的激活(笔记) 注明:下面的记录只是为了弄清楚ZeroCD (TM)的 3G Modem在Linux下的挂载过程首先讲讲所谓的 “ZeroCD (TM)”功能,“ZeroCD (TM)”功能一段英文解释为:Several new USB devices have their proprietary Windows drivers onboard, especi
generate a English speech on the topic of modern technology
04-25
Sure, I can generate an English speech on the topic of modern technology for you. Here it is: Good afternoon, ladies and gentlemen. The topic for my speech today is modern technology. Technology has transformed our lives in many ways, and it is difficult to imagine a world without it. One of the most significant technological advancements has been the internet. The internet has enabled us to communicate with anyone, anywhere in the world, and has made the world a smaller place. It has also revolutionized industries such as e-commerce, social media, and online education. Another technological advancement that has changed the way we live our lives is smartphones. These pocket-sized devices have become an indispensable part of our daily routine, allowing us to stay connected on the go, take photos and videos, and access information at our fingertips. Artificial intelligence and machine learning have also transformed the way we live and work. Self-driving cars, virtual assistants, and chatbots are just some of the ways in which AI is making our lives easier and more efficient. However, with every new technological development, there are also concerns about privacy, security, and the impact on jobs. It is important that we continue to investigate these issues and ensure that technology is used ethically. In conclusion, modern technology has had a tremendous impact on our lives, and it will continue to do so in the future. It is up to us to embrace these advancements while also being mindful of their potential effects. Thank you.
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值