CN113672933B

CN113672933B - 一种鸿蒙安全漏洞检测方法和系统

Info

Publication number: CN113672933B
Application number: CN202110901617.0A
Authority: CN
Inventors: 吕泽; 吴敬征; 武延军; 芮志清; 郑森文; 罗天悦; 杨牧天
Original assignee: Institute of Software of CAS
Current assignee: Institute of Software of CAS
Priority date: 2021-08-06
Filing date: 2021-08-06
Publication date: 2023-06-20
Anticipated expiration: 2041-08-06
Also published as: CN113672933A

Abstract

本发明公开了一种鸿蒙安全漏洞的检测方法和系统，以鸿蒙系统为分析对象，首先将鸿蒙安全漏洞的判断形式化描述为<Q，∑，ρ，q₀，F>；然后动态探测鸿蒙设备周围的可连接设备列表；根据待测应用的集合情况获取应用集的身份信息集；并以设备信息和应用信息作为参数进行远程应用的尝试调取，根据根据获取的远程调用结果信息判断是否存在安全漏洞；最后使用循环触发漏洞逻辑进行远程尝试DOS攻击，根据获取的远程调用结果信息判断是否存在DoS攻击漏洞。本发明在多数鸿蒙设备中均可以进行安全漏洞的检测、拥有较高的执行效率、较低的误报率和漏报率，能够标识鸿蒙系统中的潜在安全漏洞与潜在的DoS攻击风险，满足对鸿蒙系统的安全性检查的要求。

Description

一种鸿蒙安全漏洞检测方法和系统

技术领域

本发明涉及高安全等级信息系统的漏洞检测分析技术，特别涉及鸿蒙系统的漏洞检测分析方法，提出了一种实用的基于鸿蒙应用的代码层安全漏洞检测方法和系统。

背景技术

鸿蒙系统是一款面向全场景的分布式操作系统，被定义为基于微内核的全场景分布式操作系统。由于其分布式特性和部署覆盖目标包含几乎所有的物联网设备，鸿蒙系统被视为一个“覆盖面非常广泛的具有分布式能力的物联网操作系统”。其同时具备了“手机操作系统”、“分布式操作系统”和“物联网操作系统”三类设备的特点，同时也意味着其需要面对三方面的安全性问题。Wu等人发现了一项能够引发安卓系统内DoS攻击的漏洞(Wu J,Liu S,Ji S,Yang M,Luo T,Wu Y,Wang Y.Exception beyond exception:crashi ngandroid system by trapping in“uncaught exception”.Proceedings-2017 IEEE/ACM39th International Conference on Software Engineering:Software Engineering inPractice Track,ICSE-SEIP 2017,2017:283–292.)，其在一项特殊异常的处理过程发现异常处理系统会强制停止系统关键进程，导致系统关键服务被关闭而意外关机，并导致了潜在的系统级的DoS攻击漏洞，其本质上属于异常处理系统的权限高于系统服务，执行了越权关闭服务行为。

Costa等人报告了物联网设备上的一种漏洞识别方法(Costa L,Barros JP,Tavares M.Vulnerabilities in iot devices for smart homeenvironment.ICISSP 2019-Proceedings of the 5th International Conference onInformation Systems Security and Privacy,2019:615–622.)，通过TCP/IP网络探索进行漏洞识别，并使用其工具发现了两个商用设备中的实际漏洞。其所提供的方法可以快速地用于识别网络攻击中的简单漏洞，但却无法做到识别其他类型的漏洞。

在研究鸿蒙系统的跨设备调用能力源代码时，本发明发现了一种未知类型的代码漏洞，称为安全漏洞(Harmony-OS-Permission-Escape Vulnerability)。此漏洞导致的权限逃逸行为可允许恶意应用任意调用其他跨设备应用并引发更严重的跨设备DoS(拒绝服务)攻击。分析发现，此类权限校验在检查调用者和被调用者的身份关系时，会错误地将调用者的身份信息升级，从而导致出现权限逃逸和越权行为。该类漏洞对鸿蒙系统的安全以及用户的隐私造成了极大的威胁，需要及时进行检测和修复。但目前尚无针对此类漏洞的检测方法。

发明内容

本发明的目的在于针对鸿蒙系统的特性，提供一种能够全面准确测量权限逃逸漏洞(跨设备调用漏洞)的测量方法，称为PEC(Permission-Escape Catcher)，能够实现安全漏洞的及时检测。

本发明的鸿蒙安全漏洞检测方法，以鸿蒙系统跨设备调用模块为分析对象，其技术方案如下：

一种鸿蒙安全漏洞检测方法，以鸿蒙系统为分析对象，包括以下步骤：

1)将安全漏洞检测方法形式化表述为<Q，Σ，ρ，q₀，F>，其中：

Q＝{S₁，S₂}，表示有限的状态集合，其中S₁表示无安全漏洞状态，S_S表示有安全漏洞状态；

O＝{o₁，o₂，……，o_n}，表示鸿蒙设备集合，其中o_n表示某一台鸿蒙设备；

W＝{w₁，w₂，……，w_n}，表示鸿蒙应用集合，其中w_i表示某一个鸿蒙应用；

Σ＝{ω_i|ω_i∈(O×W)}，表示有限的输入集合，其中ω_i属于鸿蒙设备集合O与鸿蒙应用集合W的笛卡尔积；

安全性测试方法ρ:Σ→{0，1}，用于判断ω_i情况下是否存在安全漏洞(HOPE漏洞)，0表示不存在安全漏洞，1表示存在安全漏洞，“→”表示对输入集合Σ中的元素进行处理的过程；

状态转换函数δ:Q×ρ(∑)→Q，其中ρ(∑)表示使用ρ对∑进行测试后所获取的安全性测试结果；

q₀＝S₁，表示初始状态；

F＝{S₁}，表示接受状态集合；

2)动态探测鸿蒙设备周围的可连接设备列表，通过PEC承载的设备o₀获得对于设备o₀可获取的鸿蒙设备集合O；其中PEC表示根据本方法所实现的漏洞检测应用；

3)获取目标鸿蒙应用的应用信息，以鸿蒙应用集合W作为输入获取对应的应用信息集合；

4)以鸿蒙设备集合O中的设备信息(可连接的设备列表，包含每一个可连接设备的ID)和鸿蒙应用集合W中的应用信息(可调用的应用列表，包含每一个可调用应用的包名)作为参数进行远程应用的尝试调取，并获取远程调用结果信息，根据远程调用结果信息判断是否存在安全漏洞；

5)使用循环触发漏洞逻辑进行远程尝试DoS攻击，并获取DoS攻击后的远程调用结果信息，根据DoS攻击后的远程调用结果信息判断是否存在DoS攻击漏洞。

上述步骤1)形式化描述了安全漏洞检测方法<Q,Σ,ρ,q₀,F>(或称安全漏洞判断方法)，该表述指明了安全漏洞判断时不可或缺的基本要素。

上述步骤2)中将PEC的运行负载设备作为设备输入，获取设备的可连接设备列表时使用了鸿蒙系统特有的DeviceManager.getDeviceList方法获取设备列表，然后经过对获取数据的格式化处理获取了周围可连接设备列表。

上述步骤3)中将待输入的鸿蒙应用集合W顺序输入后所获得的应用信息集合与原鸿蒙应用集合W中的元素逐一对应。

上述步骤4)中远程调用并判断是否存在漏洞的步骤是：

4a)获取实验集Σ，Σ表示有限的输入集合，其中ω_i属于鸿蒙设备集合O与鸿蒙应用集合W的笛卡尔积：Σ＝{ω_i|ω_i∈(O×W)}，并将其初始状态q₀置为S₁状态，即无漏洞状态(Q＝{S₁，S₂}为状态集合，其中S₁状态表示无漏洞状态，S₂状态表示有漏洞状态)，进入步骤4b)；

4b)以实验集Σ作为输入集合，获取当前执行参数，进入步骤4c)；

4c)以4b)所获取的参数执行远程调用样例，进入步骤4d)；

4d)收集执行远程调用后的实验结果，得到实验结果数据集，进入步骤4e)；

4e)判断当前的实验集Σ是否全部测试完毕，如果全部完毕则进入步骤4f)，否则转向步骤4b)；

4f)根据获取的实验结果数据集进行依次判断是否发生了安全漏洞，如果发生了安全漏洞则将其状态置为S₂即有漏洞状态，并将实验条件(目标鸿蒙设备o_i与目标鸿蒙应用ω_j的组合)和漏洞触发情况保存至安全漏洞集中，否则不保存：F＝{S₁}为接受状态集合，即无漏洞状态是正常安全态，对其不做处理；当所有的实验结果数据集处理完毕之后结束远程调用判断漏洞步骤。

其中，步骤4f)根据获取的实验结果数据集进行依次判断是否发生了安全漏洞，其判断方法是：根据实验结果数据集，在目标鸿蒙设备o_i与目标鸿蒙应用ω_j组合测试的前提下判断目标鸿蒙设备o_i是否自动启动了目标鸿蒙应用ω_j，如果自动启用则认为在该实验条件下存在漏洞，否则认为在该实验条件下不存在漏洞。本步描述方法即为前文所提到的状态转换函数δ。

上述步骤2)～步骤4)即为安全漏洞判断方法形式化表述中安全性测试方法ρ所包含的全部内容。即步骤2～4)构成所述安全性测试方法ρ。

上述步骤5)中远程尝试DoS攻击并判断是否存在DoS攻击漏洞的步骤如下：

5a)针对一次实验场景参数，判断其是否包含步骤4)所述的安全漏洞，包含则转5b)进行DoS风险判断，否则获取下一实验结果数据并重复5a)；

5b)获取已确定存在安全漏洞的实验条件(目标鸿蒙设备o_i与目标鸿蒙应用ω_j)，并在安全漏洞的PoC中添加循环调取命令，进行DoS攻击风险探测，转入5c)；其中PoC表示Proof of Concept，指能够有效利用HOPE漏洞的攻击样例，此处即前文引发安全漏洞的步骤4a)～4f)；

5c)收集DoS攻击风险探测后的实验数据并保存，即得到实验结果数据集，转入5d)；

5d)判断当前的实验集Σ是否全部测试完毕，如果全部完毕则进入步骤5e)，否则转向步骤5a)；

5e)根据步骤5c)获取的实验结果数据集进行依次判断是否存在DoS攻击风险，并将其DoS攻击风险情况保存至安全漏洞集中，当所有的实验结果数据集处理完毕之后结束分析DoS风险状态步骤。

基于同一发明构思，本发明还提供一种采用上述方法的鸿蒙安全漏洞检测系统，其包括：

动态探测可连接设备模块，用于动态探测鸿蒙设备周围的可连接设备列表，获得鸿蒙设备集合；

应用识别模块，用于以鸿蒙应用集合作为输入获取对应的应用信息集合；

远程调用模块，用于以鸿蒙设备集合中的设备信息和鸿蒙应用集合中的应用信息作为参数进行远程应用的尝试调取，并获取远程调用结果信息；

漏洞探测模块，用于根据远程调用结果信息判断是否存在安全漏洞；

DoS攻击尝试模块，用于使用循环触发漏洞逻辑进行远程尝试DoS攻击，并获取DoS攻击后的远程调用结果信息

DoS攻击确认模块，用于根据DoS攻击后的远程调用结果信息判断是否存在DoS攻击漏洞。

本发明采用了模块化处理方法，将待进行的漏洞分析步骤分为6个模块进行处理：轻量但高效的动态探测鸿蒙设备周围的可连接设备列表的动态探测可连接设备模块M₁、脱离于鸿蒙设备的计算机端的应用识别模块M₂、利用M₁和M₂获取到的设备信息和应用信息进行远程应用尝试调取的远程调用模块M₃、漏洞探测模块M₄、DoS攻击尝试模块M₅和DoS攻击确认模块M₆。在每个模块中进行前一个模块的数据接收、本模块的任务处理并生成本模块的结果数据，使用模块化的操作过程提高了系统的可理解性，并使系统高内聚低耦合，降低了模块间的不必要影响。本发明实现了在鸿蒙系统上的安全漏洞检测方法，弥补了目前在鸿蒙系统中安全漏洞检测方法缺失的问题。

本发明适用于鸿蒙系统的安全漏洞检测，在多数鸿蒙设备中均可以进行安全漏洞的检测、拥有较高的执行效率、较低的误报率和漏报率，能够标识鸿蒙系统中的潜在安全漏洞与潜在的DoS攻击风险，满足对鸿蒙系统的安全性检查的要求。

附图说明

图1是本发明基于鸿蒙系统的安全漏洞检测流程示意图；

图2是对远程应用尝试调取以及漏洞存在性判断的流程图；

图3是对远程应用的DoS风险状态的分析流程图。

具体实施方式

下面结合附图，通过实施例对本发明作进一步的说明，但不以任何方式限制本发明的范围。

本发明基于鸿蒙系统的安全漏洞检测方法的总体流程如图1所示，以一次实际的探测漏洞为例，具体包括：

1)首先使用鸿蒙设备探测周围的可连接设备，此处获取的可连接设备列表为{设备1，设备2}，并将其初始状态q₀置为S₁状态：{设备1：S₁，设备2：S₁}，即此时各设备的状态均处于无漏洞状态(Q＝{S₁，S₂}为状态集合，其中S₁状态表示无漏洞状态，S₂状态表示有漏洞状态)。

2)对目标应用列表{应用1，应用2}进行应用的信息探测，获取对应的应用信息列表{应用信息1，应用信息2}。

3)由目标应用列表和应用信息列表的笛卡尔积生成实验环境集{设备1&应用1，设备1&应用2，设备2&应用1，设备2&应用2}，并将其作为输入，进行如图2所示的远程应用尝试调取以及漏洞存在性判断。生成实验数据并依据状态转换函数δ(即判断目标设备在进行尝试调取后是否发生了目标应用的启动)进行处理后获得了如下数据结果集：{设备1&应用1：存在安全漏洞，设备1&应用2：存在安全漏洞，设备2&应用1：不存在安全漏洞，设备2&应用2：存在安全漏洞}。

4)目标应用列表和应用信息列表的笛卡尔积生成实验环境集{设备1&应用1，设备1&应用2，设备2&应用1，设备2&应用2}，并将其作为输入，进行如图3所示的DoS风险状态分析。

4a)从实验环境集中取出未处理参数：设备1&应用1。

4b)根据数据结果集判断当前环境是否存在安全漏洞(图3中称为HOPE漏洞)：存在，则将漏洞存在状态置为S₂，表示有漏洞状态。

4c)进行DoS攻击实验，循环跨设备调用步骤。并保存数据(是否存在DoS攻击漏洞)至数据集中。

4d)返回4a)进行下一个参数的提取。即进行以下步骤：

4a)从实验环境集中取出未处理参数：设备2&应用1；

4b)根据数据结果集判断当前环境是否存在安全漏洞：不存在。因此维持状态S₁不变，F＝{S₁}为接受状态集合，即无漏洞状态是正常安全态，对其不做处理。返回4a)。

处理完成后获得数据集{设备1&应用1：存在安全漏洞&存在DoS攻击风险，设备1&应用2：存在安全漏洞&DoS存在攻击风险，设备2&应用1：不存在安全漏洞，设备2&应用2：存在安全漏洞&不存在DoS攻击风险}。至此完成了对安全性测试方法ρ的使用流程。

基于同一发明构思，本发明的另一实施例提供一种采用上述方法的鸿蒙安全漏洞检测系统，其包括：

基于同一发明构思，本发明的另一实施例提供一种电子装置(计算机、服务器、智能手机等)，其包括存储器和处理器，所述存储器存储计算机程序，所述计算机程序被配置为由所述处理器执行，所述计算机程序包括用于执行本发明方法中各步骤的指令。

基于同一发明构思，本发明的另一实施例提供一种计算机可读存储介质(如ROM/RAM、磁盘、光盘)，所述计算机可读存储介质存储计算机程序，所述计算机程序被计算机执行时，实现本发明方法的各个步骤。

以上公开的本发明的具体实施例，其目的在于帮助理解本发明的内容并据以实施，本领域的普通技术人员可以理解，在不脱离本发明的精神和范围内，各种替换、变化和修改都是可能的。本发明不应局限于本说明书的实施例所公开的内容，本发明的保护范围以权利要求书界定的范围为准。

Claims

1.一种鸿蒙安全漏洞检测方法，其特征在于，包括以下步骤：

1)将安全漏洞检测方法形式化表述为<Q，∑，ρ，q₀，F>，其中：Q＝{S₁，S₂}，表示有限的状态集合，其中S₁表示无安全漏洞状态，S₂表示有安全漏洞状态；∑＝{ω_i|ω_i∈(O×W)}，表示有限的输入集合，其中ω_i属于鸿蒙设备集合O与鸿蒙应用集合W的笛卡尔积；安全性测试方法ρ：∑→{0，1}，用于判断ω_i情况下是否存在安全漏洞，0表示不存在安全漏洞，1表示存在安全漏洞；状态转换函数6：Q×ρ(∑)→Q，其中ρ(∑)表示使用ρ对∑进行测试后所获取的安全性测试结果；q₀＝S₁，表示初始状态；F＝{S₁}，表示接受状态集合；

2)动态探测鸿蒙设备周围的可连接设备列表，获得鸿蒙设备集合O；

3)以鸿蒙应用集合W作为输入获取对应的应用信息集合；

4)以鸿蒙设备集合O中的设备信息和鸿蒙应用集合W中的应用信息作为参数进行远程应用的尝试调取，并获取远程调用结果信息，根据远程调用结果信息判断是否存在安全漏洞；

2.如权利要求1所述的鸿蒙安全漏洞检测方法，其特征在于，步骤2～4)构成所述安全性测试方法ρ。

3.如权利要求1所述的鸿蒙安全漏洞检测方法，其特征在于，步骤2)使用鸿蒙系统特有的DeviceManager.getDeviceList方法获取设备列表，然后经过对获取的数据进行格式化处理得到鸿蒙设备周围的可连接设备列表。

4.如权利要求1所述的鸿蒙安全漏洞检测方法，其特征在于，步骤3)获得的应用信息集合与鸿蒙应用集合W中的元素逐一对应。

5.如权利要求1所述的鸿蒙安全漏洞检测方法，其特征在于，步骤4)包括：

4a)获取实验集∑，并将其初始状态q₀置为S₁状态，即无漏洞状态，进入步骤4b)；

4b)以实验集∑作为输入集合，获取当前执行参数，进入步骤4c)；

4c)以4b)所获取的参数执行远程调用样例，进入步骤4d)；

4e)判断当前的实验集∑是否全部测试完毕，如果全部完毕则进入步骤4f)，否则转向步骤4b)；

4f)根据获取的实验结果数据集进行依次判断是否发生了安全漏洞，如果发生了安全漏洞则将其状态置为S₂即有漏洞状态，并将实验条件和漏洞触发情况保存至安全漏洞集中，其中实验条件是指目标鸿蒙设备与目标鸿蒙应用的组合；否则不保存，F＝{S₁}为接受状态集合，即无漏洞状态是正常安全态，对其不做处理；当所有的实验结果数据集处理完毕之后结束远程调用判断漏洞步骤。

6.如权利要求5所述的鸿蒙安全漏洞检测方法，其特征在于，步骤4f)根据获取的实验结果数据集判断是否发生了安全漏洞的方法是：根据实验结果数据集，在目标鸿蒙设备与目标鸿蒙应用组合测试的前提下判断目标鸿蒙设备是否自动启动了目标鸿蒙应用，如果自动启用则认为在该实验条件下存在漏洞，否则认为在该实验条件下不存在漏洞。

7.如权利要求1所述的鸿蒙安全漏洞检测方法，其特征在于，步骤5)包括：

5a)针对一次实验场景参数，判断其是否包含步骤4)所述的安全漏洞，包含则进入步骤5b)进行DoS风险判断，否则获取下一实验结果数据并重复步骤5a)；

5b)获取已确定存在安全漏洞的实验条件即目标鸿蒙设备与目标鸿蒙应用，并在安全漏洞的PoC中添加循环调取命令，进行DoS攻击风险探测，转入步骤5c)；

5c)收集DoS攻击风险探测后的实验数据并保存，即得到实验结果数据集，转入步骤5d)；

5d)判断当前的实验集∑是否全部测试完毕，如果全部完毕则进入步骤5e)，否则转向步骤5a)；

8.一种采用权利要求1～7中任一权利要求所述方法的鸿蒙安全漏洞检测系统，其特征在于，包括：

9.一种电子装置，其特征在于，包括存储器和处理器，所述存储器存储计算机程序，所述计算机程序被配置为由所述处理器执行，所述计算机程序包括用于执行权利要求1～7中任一权利要求所述方法的指令。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储计算机程序，所述计算机程序被计算机执行时，实现权利要求1～7中任一权利要求所述的方法。