ЗАБЕЗПЕЧЕННЯ КОНТРОЛЮ ДОСТУПУ ЗАСТОСУВАНЬ МЕТОДОМ СИСТЕМНОЇ БЕЗПЕКИ НА ОСНОВІ ВБУДОВАНИХ МОДЕЛЕЙ ЗАГРОЗ

Автор:

Казимир Володимир Вікторович, Чернігівський національний технологічний університет (вул. Шевченка, 95, м. Чернігів, 14027, Україна)

Карпачев Ігор Ігорович, Чернігівський національний технологічний університет (вул. Шевченка, 95, м. Чернігів, 14027, Україна)

Мова статті: українська

Анотація:

Актуальність теми дослідження. В сучасних умовах використання додатків на мобільних пристроях постає проблема використання конфіденційних даних користувачів розробниками в неправомірних цілях. Для запобігання виконання небажаних дій додатків, в різних операційних системах існують різні способи контролю за наданням привілеїв окремим додаткам. Їх порівняння дає можливість комбінувати найуспішніші способи контролю за привілеями зі сторони користувача.

Постановка проблеми.

Для найперших операційних систем з притаманною їм архітектурою існувала достатньо примітивна система контролю прав та рівнів доступу. З роками функціональність програм розширювалася і необхідність в розподіленому контролі дозволів зростала. Сучасні системи стали підтримувати різні методи контролю прав та рівнів доступу застосувань. Не зважаючи на це, велика кількість застосувань для сучасних операційних систем підвищує ризик компрометування приватних даних користувачів.

Аналіз останніх досліджень і публікацій. UNIX, VAX/VMS і Multics - три приклади операційних систем розподілу часу. Вони були побудовані з передбаченням загрози зловмисників. UNIX пов'язує біти захисту з кожним файлом, які визначають, які користувачі можуть читати, писати і виконувати даний файл. Коли програма виконується, вона, як правило, може отримати доступ тільки до тих файлів, до яких користувач може отримати доступ. В VAX/VMS користувачі відносяться до одного з семи рівнів привілеїв, і процеси виконуються з рівнями привілеїв, посилаючись на користувачів, якщо інше не вказано системним адміністратором. MULTICS процеси так само працюють від імені користувача. Дійсно, тестування Multics співробітниками ВВС США виявило, що у Multics був потенціал для забезпечення ізоляції користувача достатньо, щоб зберігати секретні файли військових. Сучасні настільні операційні системи (наприклад, Windows, Mac OS X) успадкували модель управління доступом в UNIX. В результаті, ці платформи як і раніше, як правило, надають всі права доступу користувачу до застосувань користувача.

Виділення недосліджених частин загальної проблеми. Основним в постановці не вирішеної загальної проблеми є статична природа перегляду дозволів при початковому встановленні застосування. При подальшому використанні немає гарантії, що застосування буде використовувати доступ до будь-яких ресурсів пристрою з шкідливою метою. Подібний недолік дає підґрунтя для маскування намірів застосування під широкий набір дозволів, як, наприклад, це зроблено в файлі маніфесту в ОС Android.

Постановка завдання. Порівняння та подальше вдосконалення методів контролю доступу застосувань в сучасних операційних системах, обґрунтування можливостей застосування спеціальних методів для вирішення питань, пов’язаних з функціональною безпекою, та формулювання основних принципів безпечного використання застосувань.

Викладення основного матеріалу. Android – операційна система для смартфонів, яка підтримує сторонні застосування. За замовчуванням, Android програми не можуть отримати доступ до важливих призначених для користувача даних або налаштувань пристрою. Якщо застосуванню потрібні такі привілеї, розробник повинен вказати список дозволів, які вимагає застосування. Android інформує користувачів про необхідні дозволи застосуванню під час інсталяції

Висновки відповідно до статті. Якщо не змінити статичний підхід системи дозволів, то користувач залишається відкритим до зовнішніх та внутрішніх атак. Вирішенням проблеми може бути часткове перенесення рішення про рівень шкідливості застосування на віддалений сервер та давати користувачу прийняти кінцеве рішення на основі результатів отриманого аналізу.

Ключові слова:

безпека, безпечні застосування, методи контролю прав доступу, Android, операційні системи, безпечне використання застосувань

Список використаних джерел:

1. Cross-Origin XMLHttpRequest [Electronic resource]. – Access mode: http://code.google-.com/chrome/extensions/xhr.html.

2. Content Security Policy (CSP) [Electronic resource]. – Access mode: http://code.google.com/chrome/extensions/trunk/contentSecurityPolicy.html.

3. Cross-Platform Application Development on Symbian [Electronic resource]. – Access mode: http://www.theseus.fi/bitstream/handle/10024/14566/Thesis_John_Mathew.pdf.

4. Intents and Intent Filters [Electronic resource]. – Access mode: http://developer.android.-com/guide/components/intents-filters.html.

5. Manifest.permission [Electronic resource]. – Access mode: http://developer.-ndroid.com/reference-/android/Manifest.permission.html.

6. Npapi plugins [Electronic resource]. – Access mode: http://code.google.com/chrome/-extensions/npapi.html.

7. Permissions reference [Electronic resource]. – Access mode: https://developers.facebook.-com/docs/authentication/permissions/.

8. SELinux Project Wiki [Electronic resource]. – Access mode: http://selinuxproject.org/page/Main Page.

9.  Fundamentals of Symbian OS [Electronic resource]. – Access mode: http://neo.dmcs.pl/symos/wyklady/01a-Introduction.pdf.

10. Tabs [Electronic resource]. – Access mode: http://code.google.com/chrome/extensions/tabs.html.

11. The Add-on Review Process and You [Electronic resource]. – Access mode: http://blog.mozilla.com/addons/2010/02/15/the-add-on-review-process-and-you.

12. Введение в API-интерфейсы Facebook [Електронний ресурс]. – Режим доступу: http://www.ibm.com/developerworks/ru/library/x-androidfacebookapi/.

13. Analysis and Comparison with Android and iPhone Operating System [Electronic resource]. – Access mode: http://www.eecs.ucf.edu/~dcm/Teaching/COP5611Spring2010/Project/AmberChang-Project.pdf.

14. Trusted computer system evaluation criteria (orange book) [Text] // Department of Defense, Tech. Rep. DOD 5200.28-STD, December 1985. – P. 23–31.

15. Device APIs Requirements: W3C Working Group Note 15 October 2009 [Electronic resource]. – Access mode: http://www.w3.org/TR/2009/NOTE-dap-api-reqs-20091015/.

16. How Consumers Interact with Mobile App Advertising [Electronic resource]. – Access mode: http://www.pontiflex.com/download/harrisinteractive.Pdf.

17. US Smartphone Owners by Age [Electronic resource]. – Access mode:http://www.comscoredatamine.com/2011/06/us-smartphone-owners-by-age.

18. Ackerman, M. Privacy in e-commerce: examining user scenarios and privacy preferences [Text] / M. Ackerman, L. Cranor, J. Reagle // in Proceedings of the ACM Conference on Electronic Commerce. - 1999. – P. 72–86.

19. Obfuscation of Abstract Data-Types [Electronic resource]. – Access mode:http://www.cs.ox.ac.uk/stephen.drape/papers/thesis.pdf.

Завантажити