本发明专利技术涉及一种基于沙箱安装的应用程序安装装置及方法。所述方法至少包括:沙箱模块被安装至每个移动终端;待使用的应用程序被上传至所述沙箱模块内的应用商店,以检测上述应用程序是否存在安全威胁;若所述应用程序不存在安全威胁,则能够被上传至所述应用商店,用户能够在所述应用商店中查看供所述用户使用的应用程序。所述方法能够被应用于所述应用程序安装装置。序安装装置。序安装装置。
An application installation device and method based on sandbox installation
【技术实现步骤摘要】
一种基于沙箱安装的应用程序安装装置及方法
[0001]本专利技术涉及计算机软件安全
,尤其涉及一种基于沙箱安装的应用程序安装装置及方法。
技术介绍
[0002]安装于移动终端(如智能手机)中的应用程序可能进行获取移动终端的信息(如手机内短信、通话记录、通讯录、国际移动终端识别码)的操作,若不对移动终端内的移动程序进行监控,则可能造成个人隐私信息的泄露。例如,移动终端可能在不安全的网络(如公共WiFi热点)中使用,进而容易造成恶意软件感染和数据泄漏;越狱或获取Root权限同样也会给移动终端带来更多安全风险;在移动终端被盗或未经授权的情况下通过移动终端访问公司的网络,进而导致泄漏敏感数据。此外,配备给用户的移动终端被安装过多的应用程序时可能导致用户产生抵触情绪。
[0003]针对如何对应用程序进行监控,现有的技术方案有以下几种:
[0004]一种是通过反编译结合静态扫描的方式:通过反编译应用程序文件,获取反编译代码,扫描并匹配反编译代码中获取手机信息的函数。该技术方案的缺点是容易出现信息误报,而且对加固的应用程序无法进行反编译。
[0005]另一种是在移动终端内插入hook(反射)代码,但是此种方式容易破坏应用程序包的完整性,并可能存在病毒等安全隐患。
[0006]此外,还可以通过移动终端自带的全盘数据加密功能来对应用程序所产生的数据进行全盘加密。但是,该方式容易使得移动终端(比如手机)出现变卡、发热严重等情况。与此同时,在安卓/鸿蒙发布新版之后,上述方法还需要对底层源码进行框架适配。安装在沙箱中的应用若使用了比较偏僻的编译技术也需要进行代码适配。
[0007]例如,公开号为CN110427752A的中国专利文献公开了一种沙箱监控应用程序的方法、移动终端和存储介质。所述方法包括:定义获取移动终端信息行为,并定位所述获取移动终端信息行为在移动终端的源码;所述沙箱系统在应用程序执行获取移动终端信息行为时,生成并输出系统日志。当应用程序调用函数获取移动终端信息时,插入在函数源码中的日志输出函数即可生成一个系统日志以监控应用程序。但是,该专利技术仍存在以下技术不足:该方法不能在应用程序被上传至沙箱系统之前对上述应用程序的安全性进行检测。因此,针对现有技术的不足有必要进行改进。
[0008]此外,一方面由于对本领域技术人员的理解存在差异;另一方面由于申请人做出本专利技术时研究了大量文献和专利,但篇幅所限并未详细罗列所有的细节与内容,然而这绝非本专利技术不具备这些现有技术的特征,相反本专利技术已经具备现有技术的所有特征,而且申请人保留在
技术介绍
中增加相关现有技术之权利。
技术实现思路
[0009]针对现有技术之不足,本专利技术提供了一种基于沙箱安装的应用程序安装方法。所
述方法至少包括:沙箱模块被安装至每个移动终端;待使用的应用程序被上传至所述沙箱模块内的应用商店,以检测上述应用程序是否存在安全威胁;若所述应用程序不存在安全威胁,则能够被上传至所述应用商店,用户能够在所述应用商店中查看供所述用户使用的应用程序。
[0010]通过该配置方式,沙箱模块或者配置有沙箱模块的移动终端作为移动业务的安全管理平台,并在用户开展移动业务时为业务数据提供全方位的防护,例如针对不同种类的移动终端、移动数据和应用程序,沙箱模块能够提供实时的管理/安全防护和统一配置,从而满足用户对移动业务的数据安全的需求。
[0011]不同于常规的移动设备中的应用商店,本沙箱模块被更多地用于监控企业内部的应用程序的安全性。因为各大移动终端(比如手机)厂商所生产的移动终端上的应用商店已具备较为完善的应用程序审核系统,并且通常还具备专职的审核员,另外上述这些应用商店内的应用程序大多是由已经合法运营多年、具备相应资质、具备较高的行业声誉的公司开发的应用程序,因而上述应用程序的安全性方面已经能够得到一个较好的保证。但是,企业类的应用程序多为内部人员开发或者由内部人员寻求外部开发或者从应用开发分享网站下载的应用程序,上述这些应用程序的来源非常繁杂,因而企业类的应用程序中存在大量的非主流的应用程序,且上述非主流的应用程序的原开发者的信息也较为模糊。此外,由于部分企业的特殊性,这些应用商店中的应用程序总是处于快速迭代更新或批量更换之中。与此同时,由于企业的管理成本等原因,上述企业通常没有配置相应的人员对上述这些应用程序进行检查,进而造成上述企业内的移动终端所使用的这些应用程序的安全性不能得到可靠的保证。而本方案中,选择在企业内的用户所使用的移动终端上进行配置,并且沙箱的配置也与用户的属性相关联,所有被导入应用商店的应用程序均首先被自动地导入沙箱,经过沙箱进行基于拆包的自动检测,能够自动地判断出应用程序的安全性,并且安全性被确认的应用程序还能够基于用户的属性被决定是否展现给用户,最终形成一种可变验证的情形,即对于某些应用程序是否安全的至少一条判定标准是基于用户的属性来构筑的。简而言之,一些应用程序对于企业用户A不存在安全问题,因为用户A没有权限使用该应用程序中的可能存在安全问题的某个功能,但是上述应用程序对于企业用户B则存在安全问题。因此实际上,本方案实现了基于安全沙箱的可变验证展示的功能,不同的用户能够基于自身的属性获取不同的应用程序,甚至这些应用程序在不同用户的使用过程中具备不同的安全性。
[0012]根据一个优选实施方式,所述“待使用的应用程序被上传至所述沙箱模块内的应用商店,以检测上述应用程序是否存在安全威胁”的具体步骤为:在所述沙箱模块内设置管理后台,以对沙箱模块内的应用程序进行安全检测;所述用户将需要安装到所述沙箱模块中的应用程序上传到所述管理后台;在所述上传操作完成之后,所述管理后台能够利用自动脚本对apk进行拆包分析,以查看所述应用程序是否存在安全威胁;若所述管理后台未发现所述应用程序存在安全威胁,则将所述应用程序上传至所述应用商店,以供所述用户下载使用;若所述管理后台发现上述应用程序存在安全威胁,则终止所述应用程序的上传操作,并向相关应用程序的开发者发送提示信息。
[0013]根据一个优选实施方式,所述方法还包括:定义获取移动终端信息行为,并定位所述获取移动终端信息行为在原系统中的源码;在所述源码中插入日志输出函数以编译生成
沙箱模块,并将所述沙箱模块安装于移动终端中;在应用程序执行获取移动终端信息行为时,所述沙箱模块生成并输出系统日志。
[0014]根据一个优选实施方式,所述获取移动终端信息行为包括但不限于:删除/查询短信、查询通话记录/通讯录、获取移动设备国际识别码、获取国际移动用户识别码、录音、打开移动终端的摄像头、定位、获取移动终端的管理员用户权限中的至少一种。
[0015]根据一个优选实施方式,所述沙箱模块生成并输出系统日志的步骤包括:根据所述获取移动终端信息行为的UID定位获取所述移动终端信息行为的应用程序。
[0016]根据一个优选实施方式,所述沙箱模块生成并输出系统日志的步骤还包括:根据执行所述获取移动终端信息行为的应用程序的方法调用栈定位所述应用程序执行获取移动终端本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于沙箱安装的应用程序安装方法,其特征在于,至少包括:沙箱模块被安装至每个移动终端;待使用的应用程序被上传至所述沙箱模块内的应用商店,以检测上述应用程序是否存在安全威胁;若所述应用程序不存在安全威胁,则能够被上传至所述应用商店,用户能够在所述应用商店中查看供所述用户使用的应用程序。2.根据权利要求1所述的方法,其特征在于,所述“待使用的应用程序被上传至所述沙箱模块内的应用商店,以检测上述应用程序是否存在安全威胁”的具体步骤为:在所述沙箱模块内设置管理后台,以对沙箱模块内的应用程序进行安全检测;所述用户将需要安装到所述沙箱模块中的应用程序上传到所述管理后台;在所述上传操作完成之后,所述管理后台能够利用自动脚本对apk进行拆包分析,以查看所述应用程序是否存在安全威胁;若所述管理后台未发现所述应用程序存在安全威胁,则将所述应用程序上传至所述应用商店,以供所述用户下载使用;若所述管理后台发现上述应用程序存在安全威胁,则终止所述应用程序的上传操作,并向相关应用程序的开发者发送提示信息。3.根据权利要求2所述的方法,其特征在于,所述方法还包括:定义获取移动终端信息行为,并定位所述获取移动终端信息行为在原系统中的源码;在所述源码中插入日志输出函数以编译生成沙箱模块,并将所述沙箱模块安装于移动终端中;在应用程序执行获取移动终端信息行为时,所述沙箱模块生成并输出系统日志。4.根据权利要求3所述的方法,其特征在于,所述获取移动终端信息行为包括但不限于:删除/查询短信、...
【专利技术属性】
技术研发人员:钟有为,宋斌,窦宗涛,李钰,
申请(专利权)人:联信摩贝软件北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。