G.O.S.S.I.P 阅读推荐 2024-07-01 治Plugin App如烹小鲜

预览

2024年下半年的第一篇论文推荐，我们要介绍的是来自宝岛台湾省的一篇Codaspy 2024研究论文_Risky Cohabitation: Understanding and Addressing Over-privilege Risks of Commodity Application Virtualization Platforms in Android_

关于Android app virtualization这个技术，我们在国内对它的研究，肯定比世界其他地方的人要多得多。这个技术最初就是在一些什么多开啊、黑产啊这种领域得到了应用。即使是在学术界，在5年前也已经有相关的论文讨论。下面这张示意图展示的是它的相关技术概念。通俗一点解释，app virtualization实际上就是把普通的app变成一个host app的插件（就把它叫做plugin app好了），在host app自己启动以后，再去加载各种plugin app（至于加载的技术细节就不再赘述了），让本来是运行在独立的sandbox里面的不同app全部变成了这个host app的“傀儡”。

这种运行方式很明显有个问题，本来Android是把不同的app分开管理，给不同的app授予不同的权限，现在你把所有的app都用一个host app来加载运行，为了让各个plugin app都能拿到不同的权限，很明显这个host app得要申请基本上所有的权限（形成一个权限的超集）。更加糟糕的是，由于在这个新的运行模型里面，所有plugin app都运行在host app这一个UID的group里面，实际上它们是共享权限的（准确地说，应该是底层的system service没法区分来自host app的请求究竟是从哪个plugin app发出的）。

本文的作者希望通过一些技术手段，来解决plugin app存在的一类恶意行为——明明没有申请权限，但是利用host app的权限，也实现了相关的资源访问。下图是这种行为的示意，特定的plugin app利用了host app或者其他的plugin app已经申请到手的权限，在不申请某个特定权限的情况下，也可以访问相关的资源。这里感觉作者是很宽容的，要换成Apple那种风格就一刀切了，凭什么允许这种app virtualization这个技术存在？

作者首先通过设计了一个叫做PermLabel的系统来分析到底什么样的plugin app会干坏事，其实它这个技术也不复杂，就是一边用一个事件触发器去测试app，一边去监控权限的调用，然后分析是否存在上面提到的那种偷偷使用未声明权限的情况：

作者在开发完PermLabel之后用它来测试了630个可以当作plugin app运行的app（分布：189个来自Google Play，88个来自Huawei市场，119个来自360市场，50个来自腾讯应用宝，184个来自豌豆荚），另外还从AndroZoo里面找了196个malware样本。测试的结果如下表所示，不过这里有点疑问的是，这些app本来肯定不会是按照plugin app的运行方式来设计的，那么它们要使用权限肯定都会去正常请求，作者的这个测试结果是不是想要表达，某些app即使在权限请求被拒以后，还会尝试去使用资源（如果刚好遇到在host app这种环境下就赚到？）

本文比较有意思的地方是作者除了进行分析，还开发了一个增强的权限分配模型系统PermSep，专门用来对app virtualization环境下的app权限进行细粒度管控，它基于LSPosed这个比较新的instrumentation框架，对运行时的plugin app进行了全面的hook，这样就知道了特定的权限请求是来自哪里，然后可以实施更为细粒度的管控。

在使用了PermSep之后，传统的权限请求和检查流程就变成了下面这样：

读完这篇论文，其实感觉到作者的思路和技术都不算特别惊世骇俗，但是在现在动不动就搞个大新闻挖个大漏洞的风气下，我们还是能感觉到宝岛研究人员的这种小确幸风格，也希望我们社区的审稿人少一点戾气，多一点人文关怀都能多多支持没那么惊天动地的研究。

论文：https://dl.acm.org/doi/pdf/10.1145/3626232.3653274
Repo：https://github.com/csienslab/overprivilege-app-virtualization