基于机器学习的Android混合应用代码注入攻击漏洞检测.pdf

1、信息安全研究第9 卷第10 期2 0 2 3年10 月Journalot lnformationSecurity ResearchVol.9No.10Oct.2023DOl:10.12379/j.issn.2096-1057.2023.10.02基于机器学习的为Android混合应用代码注入攻击漏洞检测王旭阳秦玉海任思远（中国刑事警察学院公安信息技术与情报学院沈阳110 8 54）()Machine Learning-based Code Injection Attack Vulnerability Detection forAndroid Hybrid ApplicationsWang Xu

2、yang,Qin Yuhai,and Ren Siyuan(Criminal Investigation Police University of China,Shenyang 110854)Abstract The Android hybrid application has good cross platform portability,but the HTML andJavaScript code in the Web-View component it uses can call data through internal or externalchannels to access r

3、elated resources,resulting in a code injection attack vulnerability.To solve thisproblem,a machine-learning-based code injection attack vulnerability detection method for Androidhybrid applications was proposed.Firstly,decompiled the Android hybrid application andfragmented its code;Then,extracted s

4、ensitive permissions and APIs that can trigger maliciouscode in the data for mixed application applications with Android,and combined them to generatefeature vectors;Finally,various machine learning models are constructed for training andclassification prediction.From the experimental results,the Ra

5、ndom forest model has the highestrecognition accuracy,and can improve the accuracy of vulnerability detection for Android hybridapplication code injection attacks.Key words machine learning;Android hybrid applications;code injection attack;API;vulnerabilitydetection摘要Android混合应用具有良好的跨平台移植性，但其使用的WebV

6、iew组件中的HTML和JavaScript代码能够通过内部或外部通道调用数据来访问相关资源，从而产生代码注入攻击漏洞.针对这个问题，提出一种基于机器学习的Android混合应用代码注入攻击漏洞检测方法.首先，通过反编译Android混合应用，将其进行代码分片；然后，提取出与Android混合应用申请的敏感权限和能够触发数据中恶意代码的API，组合起来生成特征向量；最后，构建多种机器学习模型进行训练和分类预测.实验结果表明，随机森林模型的识别准确率较高，能够提高Android混合应用代码注入攻击漏洞检测的准确性。关键词机器学习；Android混合应用；代码注入攻击；API；漏洞检测中图法分类号

7、号TP181;N915.08收稿日期：2 0 2 3-0 7-0 3通信作者：秦玉海（138 40 392 57 8 16 ）引用格式：王旭阳，秦玉海，任思远.基于机器学习的Android混合应用代码注人攻击漏洞检测.信息安全研究，2 0 2 3，9（10)：940-946940漏洞挖掘与威胁检测专题.Issue on Vulnerability Mining and Threat DetectionAndroid是一款开源操作系统，目前全球Android用户数已达2 0 亿 1，基于Android系统的应用层出不穷,其中就包括一种基于标准 Web技术的Android混合应用.Android混

8、合应用是原生应用和Web应用的结合体.与原生应用相比，Android混合应用兼容多个平台，能够有效提高用户的使用体验.但是Android混合应用中的第三方插件框架和Web网页进行数据通信时，可能存在代码注人攻击漏洞，从而导致用户隐私数据泄露、账号密码被盗取等安全问题.本文创新性地引人机器学习技术对Android混合应用代码注人攻击漏洞进行检测 2 。1Android混合应用架构1.1Android混合应用概念Android 混合应用是近年来流行的一种新型Android应用，它是以Web应用为基础，用原生的Android应用容器对网站进行打包，从而生成的一种混合型应用.1.2Android混合应

9、用架构Android混合应用框架能够让应用程序开发者使用标准Web技术完成软件的用户界面和业务逻辑功能,同时也能够像本地APP一样,灵活地调用设备资源和系统进行交互.Android混合应用的架构主要有2 部分：第1部分是由HTML,CSS和Java-Script等标准Web技术组成的WebView组件，主要作用是使用WebKit引擎将数据和内容呈现在Web页面上，并且能够使用JavsScript引擎处理JS代码；第2 部分是由Android本地代码实现的软件架构，主要作用是实现相机、短信、联系人等系统功能.WebView内部的JavaScript可以通过中间插件调用外部的本地代码来访问相应的系

10、统资源.2Android混合应用代码注入攻击漏洞2.1Android混合应用代码注入攻击基于Web技术的Android混合应用可以跨移动平台开发，但Web技术有一个危险的特性：当Web技术处理包含数据和代码的字符串时，可以识别代码并将其发送到JavaScript引擎执行.这一特性导致的后果是如果这种混合的数据和代码来自不可信的地方，恶意代码就可能会被注人并在受害应用程序中执行.这正是XSS漏洞攻击的产生原理。基于Web技术的Android混合应用继承了这种XSS漏洞，同时在Android混合应用中，数据可以通过二维码、WiFi、文件、通信录等方式传输到应用中,因此基于Web技术的Android

11、混合应用比原生Web应用具有更广泛的攻击途径.在Android混合应用中，注人的代码可以通过框架提供的数据交互通道访问设备本地资源，在受到XSS攻击时设备会面临信息泄露等巨大风险.Android混合应用代码注人攻击流程如图1所示：Contacts,Android混合应用Calender,Call LogWebView内部数据页面展示代码数据外部代码WiFi、蓝牙、MP3、JPEG.谊染JS引擎引擎图1Android混合应用代码注人攻击流程2.2Android混合应用代码注入通道Android混合应用发生代码注人的通道即是其获取数据的交互通道，可分为内部通道和外部通道.网址http:/ 卷第10

12、 期2 0 2 3年10 月Journalot Information Security ResearchVol.9No.10Oct.2023Android混合应用的外部通道是与外界用户或环境进行交互的通道，外部通道主要包括移动设备特有的数据通道、元数据信息通道和ID数据通道.除了与外部交互，Android混合应用还和同设备的其他应用进行交互，与这些内部应用进行交互的通道称为内部通道，内部通道通常由3部分组成，分别是ContentProvider组件、Intent组件和文件系统。这些通道就是恶意代码注人数据从而攻击应用的主要途径.2.3Android混合应用代码注入攻击漏洞Android混合应

13、用可以从外部或内部通道获取混人恶意代码的数据 3，但是这些代码还没有被执行，还不构成Android混合应用代码注入攻击漏洞.在传统的XSS攻击中，由于服务器没有识别出数据中包含的代码片段，所以当这些数据放人Web页面中进行展示时，JavaScript引擎就会执行这些代码 4.同理，在Android混合应用中，当程序要将这些数据放入HTML页面中进行展示时也会触发代码的执行 5.因此，当用户使用不安全的API时就会触发数据中嵌人的恶意代码，导致Android混合应用代码注人攻击漏洞的产生.通过上述分析，Android混合应用代码注人攻击漏洞产生的条件有2 个：第一是应用需要使用通道从外部（如应用

14、程序外部或设备外部）获取数据；第二是来自外部的数据通过不安全的API在CLEAR_APP_USER_DATACHANGE_WIFI_STATEWRITE_EXTERNAL_STORAGEACCESS_WIFI_STATEINTERNETGET_ACCOUNTSWRITE_CONTACTSREAD_CONTACTSREAD_PHONESTATEMODIFY_AUDIO_SETTINGSRECORD_VIDEORECORD_AUDIOCHANGE_NETWORK_STATEACCESS_NETWORK_STATEACCESS_COARSE_LOCATIONACCESS_FINE_LOCATIONF

15、LASHLIGHTCAMERA0图2 Android混合应用申请权限函数统计9421Web页面内显示.3基于机器学习的Android混合应用代码注入攻击漏洞检测方案3.1检测方案原理本文方案综合使用Android混合应用中AndroidManifest.xml文件申请的权限和WebView组件中调用的API作为检测的主要依据6 .AndroidManifest.xml文件是Android应用的入口文件，包含应用程序申请的权限门.当Android混合应用要实现二维码扫描、蓝牙、短信等功能时，就需要在AndroidManifest.xml文件中声明这些对应的权限。与此同时，当在AndroidMan

16、ifest.xml文件中申请这些权限并且得到系统和用户的授权后，混合应用的WebView组件的所有HTML页面和JavaScript代码就具备了这些权限，能够直接调用相关的设备资源，引发代码注人攻击漏洞的出现.因此，Android混合应用是否具备申请权限是检测Android混合应用是否具有代码注人攻击漏洞的重要依据 8.通过静态分析可以获得Android混合应用申请权限的情况，本文研究一共统计了6 0 0 个正常Android混合应用和30 0 个具有代码注人攻击漏洞的Android混合应用.Android混合应用申请权限使用情况如图2 所示：BLUETOOTH F70163838474267

17、0155029578300288276300295291292100150frequency200250300350漏洞挖掘与威胁检测专题.Issue on Vulnerability Mining and Threat Detection从图2 可以发现，Android混合应用都使用了正常的网络访问权限INTERNET和ACCESSNETWORK_STATE，但是其他权限的使用就可能存在由代码注入攻击造成的隐私数据泄露、地理位置暴露、数据丢失等风险.如CAMERA和READ_CONTACTS权限的使用可能造成用户在扫描二维码时被攻击者获取到通信录数据;READPHONE_STATE和 GET

18、_ACCOUNTS权限的使用可能泄露用户的设备IMEI唯一识别码和账户数据等.因此，可以将Android混合应用申请权限信息作为检测Android混合应用代码注人攻击漏洞的一个重要依据 9.仅仅使用Android混合应用使用权限的特征作为判别依据存在较大的缺陷，因为应用在AndroidManifest.xml文件中申请的所有权限并不能证明WebView组件在运行过程中确实调用了相应的功能 10 .因此，还需要提取Android混合应用的HTML和JavaScript代码所调用的API作为检测Android混合应用代码注人攻击漏洞的另一个依据.本文统计分析了HTML和JavaScript 代码所

19、调用的存在代码注人漏洞的API,如图3所示：易注入漏洞的APIWifilnfo.getbarcodeScanner.scanBluetooth.getUuidsNFC.addNdefListenerNFC.addMimeTypeListenercontacts.findDirectoryReader.readEntriesEntry.getMetadataFileEntry.fileMedia.getFormatData图3存在代码注人漏洞的API机器学习在恶意软件分类领域的应用十分广泛，因此，本文将Android混合应用代码注人攻击漏洞检测转换为Android混合应用是否具有注入攻击漏洞检测

20、的二分类问题，引用机器学习算法对Android混合应用进行分类预测，将复杂的检测问题转换为简单的二分类问题，大大提高了检测效率。3.2检测方案流程第1步，通过反编译Android混合应用，得到其中的 AndroidManifest.xml文件、HTML文件和JavaScript的代码文件，然后使用字符串匹配的方法从AndroidManifest.xml文件提取出Android混合应用申请的权限.第2 步，设计一种分片方法，将存在代码注人漏洞的API从HTML文件和JavaScript代码中分离出来，然后再进行处理。第3步，由于机器学习是对特征向量进行操作，因此将上述提取出的字符串形式的数据转换

21、成离散的数值形式，对每个Android混合应用构造1个特征向量进行描述.第4步，本文将选择不同的机器学习算法进行分类预测模型构建、训练以及分类预测的对比实验.检测方案的流程如图4所示：Android混合应用apkAndroidManifest.xml反汇编申请权限特征向量机器学习模型分类图4检测方案流程3.3检测方案实现3.3.1数据预处理首先，使用apktool工具对Android混合应用的apk包进行反编译，得到应用的 smali代码和配置文件.文件结构如图5所示.然后，从AndroidManifest.xml文件中提取具有标签的权限数据，同时从源代网址http:/ 卷第10 期2 0 2

22、 3年10 月Journalot Information Security ResearchVol.9No.10Oct.2023法SMO、朴素贝叶斯NaiveBayes、决策树J48、随assetsfontslibImagesoriginaljquery.mobile.1.1.1resjquery.tinysortsmalijsAndroidManifest.xmljs-smcapktool.ymlOindex.html图5Android混合应用文件结构码文件中分离出程序的HTML文件和JavaScript代码.本文设计了一种从HTML文件和其引用的相关JS文件中将存在代码注入漏洞的API进行

23、提取和分片的算法，步骤为：首先，输人一个HT-ML文件和其引用的相关JS文件，将这个HTML文件中的所有API放到一个集合E中，找到通过通道调用外部数据的API保存在集合C中；其次，分别遍历C中的每个API,找到存在代码注人漏洞的API赋值给fb，同时将这个API写人结果R中；再次，找到每个函数调用的JS中通过通道调用外部数据的API,将这个API放入临时字符串中；接着，查找方法主体或参数里面有没有调用存在代码注人漏洞的API,将这些API依次压人栈中；最后，将存在代码注人漏洞的所有API进行整合输出。3.3.2生成特征向量Android系统共规定了151种权限，所以为其设定了一个151维的二

24、进制特征向量P.依次以这151种权限为目标字符串在AndroidManifest.xml文件提取的权限信息进行特征匹配，如果权限库中的第i个字符串匹配成功，则将P；置为1,否则将P置为0.以同样的方法对API进行特征匹配，设定10维的二进制特征向量F，依次以图4中HTML和JavaScript代码调用的存在代码注人漏洞的API为目标字符串和分片后得到的API进行特征匹配，如果权限库中的第i个字符串匹配成功，则将F，置为1,否则将F，置为0.将权限特征和API特征进行拼接，得到新的组合特征C,C特征就是本文方案最终采用的静态特征向量（16 1维）.3.3.3机器学习分类算法本文选用支持向量机SV

25、M、序列最小优化算9441机森林RandomForest等几种常见的机器学习分类算法进行模型构建、训练以及分类预测实验.下面简单介绍这几种分类算法：支持向量机SVM是一种基于统计学习原理的机器学习算法，可形式化为一个求解凸二次规划的问题.序列最小优化算法SMO是一种对SVM的高效的优化算法，特别针对线性SVM和数据稀疏时性能更优。朴素贝叶斯算法NaiveBayes是基于贝叶斯定理与特征条件独立假设的机器学习算法.决策树算法J48是一种通过信息增益率来选择属性并且能够对不完整的数据进行处理的算法 11。随机森林算法RandomForest通过组合多个弱分类器，最终结果通过投票或取均值，使得整体模

26、型的结果具有较高的精确度和泛化性能.4实验4.1数据集为了验证本文方法的有效性，实验共从互联网收集了来自140 6 个正常的Android混合应用和58 9 个具有代码注人攻击漏洞的Android混合应用，利用人为标注获取对应标签.将数据集的80%作为训练集、2 0%作为测试集.4.2实验环境在实验中，操作系统为Windows1064b，处理器为AMD5500X、显卡为NvidiaGeForceRTX2060数据处理软件选用Pycharm，A n a c o n d a 3等.4.3评价指标为了检测评估基于机器学习的Android混合应用代码注入攻击漏洞分类预测模型的准确率，本文引入混淆矩阵来

27、描述不同分类预测模型在测试数据上的分类效果，混淆矩阵如表1所示，样本按照真实值和预测值可以得到4个一级指标：表1混淆矩阵一级指标总样本预测为真实际为真真阳性实际为假假阳性预测为假假阴性真阴性漏洞挖掘与威胁检测专题.Issue on Vulnerability Mining and Threat DetectionTP（t r u e p o s it iv e）：真阳性，样本预测值为真，真实值也为真.FP（f a ls e p o s it iv e）：假阳性，样本预测值为真，真实值为假.FN（f a l s e n e g a t i v e）：假阴性，样本预测值为假，真实值为真。TN（t

28、r u e n e g a t i v e)：真阴性，样本预测值为假，真实值也为假。本文实验采用TPR（召回率）、FPR（误报率）、Precision（精确率）、Acc（准确率)作为性能评估指标 12 ,公式为TPR=元TP+FNFPTPRFP+TNTPPrecision=TP+FP,TP+TNAcc=7TP+TN+FP+FN.4.4实验结果本文根据Android混合应用的C特征静态分析提取16 1维特征向量对特征进行精简，使用向量机SVM、序列最小优化算法SMO、朴素贝叶斯NaiveBayes、决策树J48、随机森林RandomForest等多种机器学习构建分类预测模型；使用训练集训练模型和

29、测试集测试模型及混淆矩阵中的TPR,FPR,Precision，A c c 这4个指标来评估模型的分类预测结果 13表2 是使用贝叶斯算法、支持向量机、SMO、决策树、随机森林机器学习算法对提取的特征向量进行模型构建和模型训练，再进行预测得到的结果.通过结果可以看出，随机森林分类模型对于Android混合应用的准确率最高，达到98.1%.表2 不同机器学习模型分类预测结果算法TPRSVM0.973Naive Bayes0.969SMO0.976J480.973Random Forest0.9884.5对比分析将本文的实验结果与其他类似研究成果进行对比,对比结果如图6 所示.方法1是Jin等人

30、14提出的静态检测方法，精确率为97.7%；方法2 是李剑等人 15 提出的检测方法，仅采用权限作为唯一特征，精确率达到97%，；方法3是Xiao等人 16 7提出的使用机器学习检测方法，在特征的提取过程中没有对元数据进行处理，而且提取的特征也不够完全，精确率为95.3%；方法4是本文提出的基于随机森林模型的检测方法，检测准确率达到98.1%，单个应用平均检测时间为2.54s.98.598.0TP97.597.096.596.095.595.094.594.093.5方法1图6 准确率检测结果对比通过前面的对比分析，由于本文采用较好的特征选取方法和合适的机器学习模型，所以不仅在准确率上有所提高

31、，在时间性能上也有很大的提升.5 结 语随着互联网技术的发展和移动终端的普及，基于Web技术的Android混合应用越来越受欢迎.但是Android混合应用框架中使用的WebView组件能够通过内部或外部通道调用资源，容易引发代码注入攻击漏洞，从而导致用户隐私数据泄露、账号密码被盗取等安全问题.针对这个问题，本文提出一种基于机器学习的Android混合应用代FPRPrecision0.0380.9730.0410.9690.0290.9760.0350.9730.0230.98198.197.797.0方法2方法3方法4(本文）Acc码注入攻击漏洞检测方案.未来，将继续优化特征0.972提取，

32、选取更多维的特征，进一步提高Android混0.9680.9760.9720.98195.3合应用代码注入攻击漏洞检测的准确率 17 .参考文献1孙才俊，白冰，王伟忠，等.基于指令序列嵌入的安卓恶意应用检测框架.信息安全研究，2 0 2 2，8（8）：7 7 7-7 8 5网址http:/ 卷第10 期2 0 2 3年10 月Journalot linformation Securty ResearchVol.9No.10Oct.20232陈镭，杨章静，黄璞，等.基于机器学习的Android恶意软件检测实验 J.实验技术与管理，2 0 2 0，37（12）：94-973李占魁.基于内存转储分析

33、的代码注入攻击检测方法 D.西安：西安电子科技大学，2 0 2 04马宝强，何俊江，王运鹏，等.对抗机器学习攻击下的SQL注人检测方法 J.网络安全技术与应用，2 0 2 2（4)：38-395杨成刚.基于机器学习的Web应用人侵威胁检测J.通信技术，2 0 2 1，54(4)：96 7-97 56姜鑫.基于机器学习的Android应用漏洞检测技术研究D.北京：北京邮电大学，2 0 197田明会.基于机器学习的安卓恶意应用检测方法研究 D.北京：北京交通大学，2 0 178邵帅，王眉林，陈冬青，等.基于机器学习的Android应用组件暴露漏洞分析 J.北京理工大学学报，2 0 19，39（9）

34、：974-9779张家旺，李燕伟.基于机器学习算法的Android恶意程序检测系统 J.计算机应用研究，2 0 17，34（6）：17 7 4-17 7 710陈文波.基于机器学习的Android应用软件权限管理技术研究 D.北京：北京邮电大学，2 0 1711丘惠军，连耿雄，刘则君.基于组合机器学习算法的Android恶意软件检测LJ.信息技术，2 0 19，43（7）：59-6 412王庆飞，王长波，鲍娟.基于机器学习技术的Android恶意软件检测 J.科技资讯，2 0 2 0，18（2 7：8-1013赵梦雪.基于深度学习的安卓恶意应用检测方法研究 D.北京：北京交通大学，2 0 18

35、14李剑，朱月俊.基于权限的安卓恶意软件检测方法 J.信息安全研究，2 0 17，3（9）：8 17-8 2 215 Jin X,Hu X,Ying K,et al.Code injection attacks onhtml5-based mobile apps:Characterization,detection andmitigation CJ/Proc of the 2014 ACM SIGSAC Conf onComputer and Communications Security.New York:ACM,2014:66-7716Chen Y L,Lee H M,Jeng A B,e

36、t al.DroidCIA:A noveldetection method of code injection attacks on HTML5-based mobile appsEB/OL.2023-07-03.https:/ieeexplore.ieee.org/abstract/document/743548217 Xiao X,Yan R,Ye R,et al.Detection and prevention ofcode injection attacks on HTML5-based apps CJ/Proc ofthe 3rd Int Conf on Advanced Cloud and Big Data.Piscataway,NJ:IEEE,2015:254-261王旭阳硕士研究生.主要研究方向为网络安全执法技术秦玉海一级警监，教授，博士生导师.主要研究方向为网络安全执法。任思远硕士研究生.主要研究方向为网络安全执法技术，946