Professional Documents
Culture Documents
s , u
|
u
j
puur |, j 1 , 2 , . , n. En d'autres termes, un chemin est une squence acyclique
d'artes reliant les sommets. Nous dfinissons deux proprits du chemin:
une longueur de chemin, qui est dsign comme | L (u
1
, u
n
)| = n 1,
et un ensemble de donnes D(L) transmis par le chemin.
Reprsentation graphique de llvation de privilge
En utilisant toutes les informations et proprits tablies ci-dessus, on peut reprsenter
graphiquement une lvation de privilge. On dfinit des modles d'attaques dlvations de
privilges en spcifiant un ensemble d'autorisations critiques dans le systme. Par exemple,
obtenir des privilges permettant la fois d'accder Internet et l'information de localisation
peut tre dfini comme un modle d'attaque correspondant un traqueur demplacement. On
note les permissions critiques fixes par 2. Dans une attaque de vice , une application non
privilgi A J peut obtenir un ensemble critique de permissions Z en invoquant une
application privilgie B J, s'il existe un chemin de communication L (A, B). Une attaque
dlvation de privilge par les collusions dapplications A , B J peut se produire quand il ya
un lien de communication L (A, B) L (B , A) entre deux applications, et chaque srie de
privilges 3 (A)et 3 (B) ne correspond pas l'ensemble critique de privilges tandis quune
union des deux correspond, cest--dire :
2 3 (B) 2 3 (A) (2 (3 (A) 3 (B)))
Vers lapprivoisement des attaques dlvation de privilges sur Android Universit Laval -H2013
Rdig par Nina TCHALLA Scurit &mthodes formelles
12
IV. Politique de scurit
Pour contrer les diffrents modles dattaques, des profils de scurit sont dfinis pour chaque
modle. Aussi a-t-on les profils DefaultProfile, BasicProfile, AdvancedProfile et StrongProfile qui
correspondent respectivement aux modles ennemis WeakAdversary, BasicAdversary,
AdvancedAdversary et StrongAdversary.
DefaultProfile peut tre, par exemple, activ par dfaut, sous la forme de rgles de politique qui
aident se dfendre contre les attaques de vice connu. En outre, les rgles de politique
pourraient tre dfinies de telle sorte qu'elles n'entranent pas de faux positifs n'affectant pas
ainsi la convivialit. Ce profil peut tre mis jour, par exemple, par Google, sous forme de patchs
de scurit lors de la dcouverte de nouvelles attaques.
Les rgles de politique de scurit sont bases sur un langage inspir de VALIDE. VALIDE est un
langage d'assurance de scurit formel dvelopp pour les topologies d'infrastructure virtuelle. La
langue est trs convenable pour la solution propose car il est capable d'exprimer des oprations
sur les graphes, tels que le flux de l'information dans un modle graphique de la topologie sous-
jacente. Quand mapp sur notre graphique de reprsentation du systme (cf. section 4.3), il est
utilis pour exprimer les tats du systme qui dcrivent les attaques d'escalade de privilges.
VALIDE dcrit les proprits de sommets du graphe, mais est limit exprimer des proprits de
chemin. Pour les besoins du framework, il a t tendu pour spcifier les proprits de chemins,
comme la source de chemin, la destination du chemin, les donnes transmises sur le chemin, etc.
La figure ci-dessous illustre une rgle de politique pour prserver la confidentialit des appels
tlphoniques. Par exemple, nous avons dj expliqu le scnario d'attaque de Soundcomber dans
les types dattaques, qui vise la confidentialit des appels tlphoniques des utilisateurs. Cette
rgle dfinit donc un ensemble dautorisations indsirables qui permettrait des logiciels
malveillants denregistrer les appels ou de transfrer des donnes enregistres vers Internet.
Figure 5. Une rgle de scurit visant dfier les attaques de gestion malveillante dappels
tlphoniques
Vers lapprivoisement des attaques dlvation de privilges sur Android Universit Laval -H2013
Rdig par Nina TCHALLA Scurit &mthodes formelles
13
V. Evaluation de lefficacit et de la performance
Dans cette section, nous allons prsenter dans un premier temps une analyse heuristique
effectue sur les modes de communications des applications sur Android. Nous prsenterons enfin
les rsultats des tests sur l'efficacit et la performance de la solution propose.
Mthodologie des tests
La mthodologie de lvaluation a consist des tests manuels avec un groupe de 25 utilisateurs
de test. La tche des utilisateurs test consistait installer et utiliser fond les applications
fournies, pour dclencher autant que possible des caractristiques cibles des applications.
Communication des applications tierces
Concernant les communications bases sur les systmes de fichiers et les sockets, Les applications
testes non seulement ne partagent pas leurs donnes avec d'autres applications au niveau du
systme de fichiers, mais galement ne communiquent pas les uns avec les autres via les sockets
Unix. Par consquent, un vecteur d'attaque qui utilise des fichiers ou des sockets Unix comme
moyen de communication pourrait tre facilement identifie ce qui rend plus facile la prvention
dune telle une attaque. En outre, du moment o les applications lgitimes sont beaucoup moins
susceptibles de communiquer de cette faon, le taux de communications ni tort devrait tre
faible.
Pour ce qui est des communications bases sur les ICC, lanalyse montre que les applications
fonctionnent habituellement de faon autonome et nont pas dinterdpendances fonctionnelles
avec d'autres applications. Les exceptions sont certaines applications personnalises qui
dmarrent d'autres applications et les applications avec la fonctionnalit "partager" qui reoivent
des donnes partir d'autres applications de partage (par exemple, Facebook, Twitter, etc.). La
solution rpond avec prcision ce modle de communication, car, il met tout dabord en uvre
une politique trs fine dans les composants du systme, et ensuite la communication directe entre
les applications.
Efficacit
Pour valuer lefficacit du framework, lemphase a t mis sur le taux de dtection des attaques
prcises dans la politique du systme (par exemple, le taux de faux ngatifs) et le taux de
communications entre les applications ni tort (par exemple, taux de faux positifs). Une solution
idale fournirait comme rsultat un taux de faux positifs et un taux de faux ngatifs tous les deux
nuls. La solution actuelle applique une sur-approximation des liaisons de communication. Cela
signifie qu'on suppose une relation entre les canaux de communication mme sil nen existe pas,
par exemple, il n'a pas de faux ngatifs, mais tend provoquer des faux positifs.
Taux de dtection d'attaque.
Pour valuer le taux de dtection des attaques dlvation de privilges, des exemples
d'applications qui implmentent les attaques rcurrentes dcrites dans les sections prcdentes
ont t dvelopps et une stratgie systme a t dploye ; elle contient des rgles visant ces
attaques (voir tableau 3 en annexe B).
Vers lapprivoisement des attaques dlvation de privilges sur Android Universit Laval -H2013
Rdig par Nina TCHALLA Scurit &mthodes formelles
14
Le framework propos a dtect avec succs toutes les attaques mentionnes ci-dessus au niveau
des ICC, des sockets, et au niveau du systme de fichiers, y compris tous les scnarios d'attaque de
Soundcomber lance par canaux cachs dans les composants du systme Android.
Taux de communication ni tort
Laction mene lors de cette valuation est la mesure de limpact du framework de scurit sur
lutilisabilit des applications tierces. Pendant cet essai, en plus des rgles de la politique du test
de dtection des attaques, les concepteurs ont dploy des rgles gnriques pour empcher la
fuite d'informations sensibles comme la localisation de l'appareil, contacts, SMS ou via Internet. En
outre, il a t une rgle singulire qui permet aux applications de lancer d'autres applications avec
une intention si et seulement si l'intention ne contient pas de donnes ou de l'information
supplmentaire (voir la rgle 12 de l'Annexe B). Les rsultats des tests n'ont pas montr de faux
positifs. Cest d'une part contre-intuitif, car les rgles de la politique de lAdvancedProfile et le
StrongProfile sont assez gnriques et sont rvlatrices d'un taux lev de faux positifs. D'autre
part, ce rsultat confirme les observations et conclusions sur les modes de communication entre
des applications tierces sur Android.
Performance
La solution propose n'impose qu'une surcharge d'excution ngligeable, pas perceptible par
l'utilisateur. Les tableaux 1 et 2 prsentent les rsultats de lvaluation. En particulier, comme
montre le tableau, la latence de lexcution des appels systme est faible compte tenu du rapport
de mise en cache des dcisions par rapport celle qui ne le sont pas encore. Seule la tte sur les
messages d'intention ne peut pas tre optimise par la mise en cache.
Figure 6. Table 1 : Rsultats du chronomtrage des ICC Table2 : Rsultats du chronomtrage des
composants systme
Sur l'accs en lecture aux fournisseurs de contenu systme, le filtrage des valeurs contradictoires
avec la politique du systme impose un surcot d'environ 48%. Sur l'accs en lecture au
composant SystemServices, la surcharge est simplement l'ordre de 2,4% en moyenne. Cet cart
s'explique par le fait que, sur l'accs en lecture aux fournisseurs de contenus, gnralement
plusieurs paires lecteur-graveur doivent tre vrifis, tandis que l'accs aux services de systme
implique une seule paire de lecture-criture.
Vers lapprivoisement des attaques dlvation de privilges sur Android Universit Laval -H2013
Rdig par Nina TCHALLA Scurit &mthodes formelles
15
Conclusion
Les principaux problmes abords lors de lanalyse de cet article sons les attaques de vice et
les attaques de collusion sur Android. Les auteurs de ce document ont donc propos une solution
qui impliquait la conception et la mise en uvre d'un framework pratique pour la scurit
dAndroid ; ce framework est charg de surveiller les canaux de communication des applications
dans la couche middleware d'Android et dans le noyau Linux sous-jacent ( savoir, IPC, systme de
fichiers, domaine Unix et socket Internet) et de veiller ce qu'ils respectent la politique de scurit
du systme.
Nous pouvons dire, daprs cet article et toutes les analyses qui y ont t menes que la
conception propose rpond avec prcision aux observations, car elle met en uvre une politique
de scurit trs fine dans les composants du systme, qui sont les principaux moyens pour les
applications de partager des donnes. Principalement inspir par QUIRE, les rsultats de
lvaluation de la politique montrent quil est efficace et utilisable. Il peut empcher publi les
attaques dlvations escalade de privilge rcemment publies, y compris les attaques
sophistiques comme Soundcomber lanc par des canaux cachs dans les composants du systme
Android.
Pour lavenir, il est prvu des tests utilisateurs tendues de la politique de scurit en utilisant un
grand nombre d'applications partir de l'Android Market. Enfin, il un projet dintgration de
SELinux dans la politique de scurit est envisag.