雷锋网讯息,6 月 28 日,安天释出了一份《VirtualAPP技术应用及安全分析报告》。
VirtualApp(简称:VA)是一款执行于Android系统的沙盒引擎框架产品,可以理解为轻量级的“Android虚拟机器器”。VA具有免安装、多开、内外隔离及对于目标App完全控制的能力。VA从表现形式上属于动态载入,但是从技术本质上来说是通过增加VAMS对启动Intent进行修改,拦截和代理Android系统讯息,并且通过自定义的ClassLoader载入和构造未在VA的AndroidManifest.xml中宣告的元件,以达到对目标App的控制效果。
在应用执行时通过动态载入讯息代理技术,作为一项在Android系统上已经可以成熟使用的手段,除了在VA虚拟引擎框架中,目前也广泛应用在热更新、应用加壳和应用动态保护等功能中。正常使用VA虚拟引擎技术一般是为了实现轻量级版本快速迭代、功能更新、bug修复和特定安全防护,但是恶意和流氓应用使用该技术一般是为了逃避安全检测,延长生命周期,获取更大的利益。
无论是动态载入的外挂化技术,还是基于VA的虚拟化引擎技术,从安全属性上而言,都在一定程度上挑战了Android系统的安全要求,Google和苹果对上架应用都有对应的规定——禁止使用动态载入功能。虽然如此,仍然有大量开发者对VA技术有需求,例如Android平台上的双开应用,以及Windows平台上的Hook机制和多款成熟虚拟机器器软件,都被用来满足开发者的应用开发需求。安天认为,这种技术本身也是具有两面性的,需要客观看待。
VA技术目前也有用于正常用途的,比如部分游戏爱好者拥有多个账号,部分白领由于工作原因需要对于个人社交软件和工作使用者社交软件进行隔离,这一类的需求一直很旺盛。
但是VA实际上也会给执行在VA中的App带来不可忽视的安全风险,即App的执行环境完全被VA控制,安卓的沙盒隔离机制被突破,并导致不必要的攻击入口和风险面暴露。
VA技术动态载入可以在执行时动态载入,并解释和执行包含在JAR或APK档案内的DEX档案。外部动态载入DEX档案的安全风险源于:Anroid4.1之前的系统版本容许Android应用动态载入储存在外部目录中的DEX档案,同时这些档案也可以被其他应用任意读写,所以不能够保护应用免遭恶意程式码的注入;所载入的DEX档案易被恶意应用替换或者注入程式码,如果没有对外部所载入的DEX档案做完整性校验,应用将会被恶意程式码注入,那么攻击者编写的任意恶意程式码将会被自动执行,从而进一步实施欺诈、获取账号密码或其他恶意行为。
点选《VirtualAPP技术应用及安全分析报告》,可获得报告全文。
