JP5825595B2 - Api実行制御装置およびプログラム - Google Patents

Api実行制御装置およびプログラム Download PDF

Info

Publication number
JP5825595B2
JP5825595B2 JP2012006235A JP2012006235A JP5825595B2 JP 5825595 B2 JP5825595 B2 JP 5825595B2 JP 2012006235 A JP2012006235 A JP 2012006235A JP 2012006235 A JP2012006235 A JP 2012006235A JP 5825595 B2 JP5825595 B2 JP 5825595B2
Authority
JP
Japan
Prior art keywords
api
execution
information
executed
application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012006235A
Other languages
English (en)
Other versions
JP2013145510A (ja
Inventor
秀明 川端
秀明 川端
竹森 敬祐
敬祐 竹森
歩 窪田
歩 窪田
西垣 正勝
正勝 西垣
晴信 上松
晴信 上松
潤也 可児
潤也 可児
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shizuoka University NUC
KDDI Corp
Original Assignee
Shizuoka University NUC
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shizuoka University NUC, KDDI Corp filed Critical Shizuoka University NUC
Priority to JP2012006235A priority Critical patent/JP5825595B2/ja
Publication of JP2013145510A publication Critical patent/JP2013145510A/ja
Application granted granted Critical
Publication of JP5825595B2 publication Critical patent/JP5825595B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Telephone Function (AREA)
  • Stored Programmes (AREA)

Description

本発明は、アプリケーションによってAPI(Application Program Interface)が実行される状況を解析し、その状況に応じてAPIの実行を制御するAPI実行制御装置に関する。また、本発明は、本API実行制御装置としてコンピュータを機能させるためのプログラムにも関する。
汎用OS(オペレーティングシステム)を用いたオープンプラットフォームを採用する、スマートフォンと呼ばれる携帯情報端末が普及している。また、スマートフォンに搭載される汎用OSとして、端末で管理される情報や機能を利用するための命令や関数の集合であるAPI が豊富に用意されているAndroid(登録商標)が注目を集めている。本明細書では一例として、Android(登録商標) OSを搭載したスマートフォンについて記載する。
スマートフォンは、誰もが自由にアプリケーションを開発して公開でき、公開されたアプリケーションをユーザが自由にインストールできるプラットフォームである。公開されたアプリケーションをスマートフォンに導入することにより、スマートフォンの様々な機能を柔軟かつ容易に拡張することができる。
しかし、アプリケーションの中には、ユーザに気づかれないように、端末内の情報を収集して外部に送信する悪性アプリケーション(マルウェア)が存在する。特に、正規のアプリケーションを装いつつ、こうした不正な振る舞いを行うアプリケーションはトロイの木馬と呼ばれており、ユーザがその脅威に気づくことは困難である。
スマートフォンには、電話やカメラを制御するAPIが設けられており、アプリケーションがAPIを利用して、発呼や、SMS(Short Message Service)通信、写真撮影を行うことができる。これらの行為を悪性アプリケーションが密かに行った場合、勝手な課金やプライバシの漏洩が発生する。
スマートフォンは、ユーザとの結びつきがPC(パーソナルコンピュータ)よりも緊密な機器であり、電話番号、メールアドレス、住所録、メールの送受信履歴、インターネットの閲覧履歴等の個人情報が集積している。また、端末の高機能化と、常に携帯される利用形態とから、従来のPCでは収集されなかった位置情報等の情報も容易に取得可能となり、情報が悪用される脅威に直面する。
Android(登録商標)では、アプリケーションが利用する機能群や情報群はパーミッションとして定義されている。アプリケーションのインストール時に、アプリケーションが使用するパーミッションがユーザに通知され、ユーザによってインストールの可否が判断される。なお、非特許文献1〜3には、アプリケーションのインストール時とインストール後に、アプリケーションが使用するパーミッションをユーザが変更することができるようにAndroid(登録商標)に改良を加えることが記載されている。
M.Nauman, S.Khan, and X.Zhang, "Apex: Extending Android Permission Model and Enforcement with User-defined Runtime Constraints", 5th ACM Symposium on Information, Computer and Communications Security, pp 328-332,2010 M. Ongtang, S. McLaughlin, W. Enck, and P. McDaniel, "Semantically Rich Application-Centric Security in Android", ieee:Annual Computer Security Applications Conference,pp 340-349, 2009 H.Banuri, M.Alam, S.Khan, J.Manzoor, B.Ali, Y.Khan, M.Yaseen, M.N.Tahir, T.Ali and X.Zhaug, "Android Runtime Security Policy Enforcement Framework" The 2010 International Workshop on Smartphone Applications and Services, 2010
アプリケーションのインストール時にユーザが承認したパーミッション、あるいはアプリケーションのインストール後にユーザが変更したパーミッションが不正に利用された場合、ユーザがそのことを把握することができないという課題がある。例えば、SMSクライアントアプリケーションが、外部への情報の送信を許可するパーミッションであるSEND_SMSを宣言することは正しいと考えられる。しかしながら、SMSクライアントアプリケーションが正規の振る舞いをしつつ、バックグラウンドで不正に外部へ情報を送信していた場合、ユーザが情報の送信に気づくことは極めて難しい。このため、ユーザが承認していない行為がアプリケーションによって、いつ、どのように実行されるのかを把握できる仕組みが必要となる。
本発明は、上述した課題に鑑みてなされたものであって、正規のアプリケーションの動作として規定された動作とは異なる不正な動作を防止することができるAPI実行制御装置およびプログラムを提供することを目的とする。
本発明は、上記の課題を解決するためになされたもので、アプリケーションがAPI(Application Program Interface)を実行しようとする動作を検出する検出部と、前記動作が検出された場合に、前記APIを実行するメソッドの情報を取得する情報取得部と、前記メソッドの情報に基づいて、前記APIが実行される状況を解析し、前記APIの実行が、正規のアプリケーションの動作として規定された動作と異なる不正な動作に繋がるか否かを判定する解析部と、前記APIの実行が不正な動作に繋がると判定された場合に、不正な動作が行われないように前記APIの実行を制御する制御部と、を備え、前記アプリケーションは複数のコンポーネントで構成され、前記情報取得部は、前記アプリケーションが起動する端末の外部に情報を送信するAPIを実行しようとする動作が検出された場合に、前記APIを実行するメソッドの情報を取得し、前記解析部は、前記メソッドの情報に基づいて、前記APIが実行される状況を解析し、前記APIが、バックグラウンドで処理を実行するコンポーネントを継承するクラスのメソッドから実行されるか否かを判定し、前記制御部は、前記APIが、バックグラウンドで処理を実行するコンポーネントを継承するクラスのメソッドから実行されると判定された場合に、前記APIの実行を拒否することを特徴とするAPI実行制御装置である。
また、本発明のAPI実行制御装置において、前記解析部は、前記メソッドの情報に基づいて、前記APIの実行に伴って実行されるメソッドの名称を解析し、前記APIの実行に伴って実行されるメソッドの名称と、バックグラウンドで処理を実行するコンポーネントを継承するクラスのメソッドの名称とが一致するか否かを判定し、前記制御部は、前記APIの実行に伴って実行されるメソッドの名称と、バックグラウンドで処理を実行するコンポーネントを継承するクラスのメソッドの名称とが一致すると判定された場合に、前記APIの実行を拒否することを特徴とする。
また、本発明は、アプリケーションがAPI(Application Program Interface)を実行しようとする動作を検出する検出部と、前記動作が検出された場合に、前記APIを実行するメソッドの情報を取得する情報取得部と、前記メソッドの情報に基づいて、前記APIが実行される状況を解析し、前記APIの実行が、正規のアプリケーションの動作として規定された動作と異なる不正な動作に繋がるか否かを判定する解析部と、前記APIの実行が不正な動作に繋がると判定された場合に、不正な動作が行われないように前記APIの実行を制御する制御部と、を備え、前記情報取得部は、アプリケーションが第1のAPIを実行しようとする動作が検出された場合に、前記第1のAPIを実行する第1のメソッドの情報を取得し、正規アプリケーションでは前記第1のAPIが実行された後に実行される第2のAPIを前記アプリケーションが実行しようとする動作が検出された場合に、前記第2のAPIを実行する第2のメソッドの情報を取得し、前記解析部は、前記第1のメソッドおよび前記第2のメソッドの情報に基づいて、前記第1のAPIおよび前記第2のAPIが実行される状況を解析し、前記第1のAPIが実行された後、前記第2のAPIが実行されるか否かを判定し、前記制御部は、前記第1のAPIが実行されることなく前記第2のAPIが実行されると判定された場合に、前記APIの実行を拒否することを特徴とするAPI実行制御装置である
また、本発明のAPI実行制御装置において、前記第1のAPIは、カメラで撮影を行う前にプレビュー画像を表示するAPIであり、前記第2のAPIは、カメラで撮影のシャッターを切るAPIであることを特徴とする。
また、本発明のAPI実行制御装置において、前記第1のAPIは、データベース内の指定された位置から送信先のアドレスを取得するAPIであり、前記第2のAPIは、前記アプリケーションが起動する端末の外部に情報を送信するAPIであり、前記情報取得部はさらに、前記第1のAPIを実行しようとする動作が検出された場合に、前記アプリケーションが指定する前記データベース内の位置を示すデータベース位置情報を取得し、前記解析部はさらに、前記第1のAPIが実行された後、前記第2のAPIが実行されると判定した場合に、前記データベース位置情報に基づいて、正規のアプリケーションが利用するアドレス帳が指定されているか否かを判定し、前記制御部は、前記アドレス帳が指定されていないと判定された場合に、前記APIの実行を拒否することを特徴とする。
また、本発明は、アプリケーションがAPI(Application Program Interface)を実行しようとする動作を検出する検出部と、前記動作が検出された場合に、前記APIを実行するメソッドの情報を取得する情報取得部と、前記メソッドの情報に基づいて、前記APIが実行される状況を解析し、前記APIの実行が、正規のアプリケーションの動作として規定された動作と異なる不正な動作に繋がるか否かを判定する解析部と、前記APIの実行が不正な動作に繋がると判定された場合に、不正な動作が行われないように前記APIの実行を制御する制御部と、前記APIの実行の可否を示す情報を記憶する記憶部と、を備え、前記制御部は、前記APIの実行が不正な動作に繋がると判定された場合に、前記APIの実行を拒否すると共に、前記APIの実行の拒否を示す情報を前記記憶部に格納し、前記動作が再度検出された場合に、前記記憶部に格納されている前記情報が前記APIの実行の拒否を示していれば前記APIの実行を拒否することを特徴とするAPI実行制御装置である
また、本発明は、アプリケーションがAPI(Application Program Interface)を実行しようとする動作を検出する検出部と、前記動作が検出された場合に、前記APIを実行するメソッドの情報を取得する情報取得部と、前記メソッドの情報に基づいて、前記APIが実行される状況を解析し、前記APIの実行が、正規のアプリケーションの動作として規定された動作と異なる不正な動作に繋がるか否かを判定する解析部と、前記APIの実行が不正な動作に繋がると判定された場合に、不正な動作が行われないように前記APIの実行を制御する制御部と、としてコンピュータを機能させるためのプログラムであって、前記アプリケーションは複数のコンポーネントで構成され、前記情報取得部は、前記アプリケーションが起動する端末の外部に情報を送信するAPIを実行しようとする動作が検出された場合に、前記APIを実行するメソッドの情報を取得し、前記解析部は、前記メソッドの情報に基づいて、前記APIが実行される状況を解析し、前記APIが、バックグラウンドで処理を実行するコンポーネントを継承するクラスのメソッドから実行されるか否かを判定し、前記制御部は、前記APIが、バックグラウンドで処理を実行するコンポーネントを継承するクラスのメソッドから実行されると判定された場合に、前記APIの実行を拒否することを特徴とするプログラムである。
また、本発明は、アプリケーションがAPI(Application Program Interface)を実行しようとする動作を検出する検出部と、前記動作が検出された場合に、前記APIを実行するメソッドの情報を取得する情報取得部と、前記メソッドの情報に基づいて、前記APIが実行される状況を解析し、前記APIの実行が、正規のアプリケーションの動作として規定された動作と異なる不正な動作に繋がるか否かを判定する解析部と、前記APIの実行が不正な動作に繋がると判定された場合に、不正な動作が行われないように前記APIの実行を制御する制御部と、としてコンピュータを機能させるためのプログラムであって、前記情報取得部は、アプリケーションが第1のAPIを実行しようとする動作が検出された場合に、前記第1のAPIを実行する第1のメソッドの情報を取得し、正規アプリケーションでは前記第1のAPIが実行された後に実行される第2のAPIを前記アプリケーションが実行しようとする動作が検出された場合に、前記第2のAPIを実行する第2のメソッドの情報を取得し、前記解析部は、前記第1のメソッドおよび前記第2のメソッドの情報に基づいて、前記第1のAPIおよび前記第2のAPIが実行される状況を解析し、前記第1のAPIが実行された後、前記第2のAPIが実行されるか否かを判定し、前記制御部は、前記第1のAPIが実行されることなく前記第2のAPIが実行されると判定された場合に、前記APIの実行を拒否することを特徴とするプログラムである。
また、本発明は、アプリケーションがAPI(Application Program Interface)を実行しようとする動作を検出する検出部と、前記動作が検出された場合に、前記APIを実行するメソッドの情報を取得する情報取得部と、前記メソッドの情報に基づいて、前記APIが実行される状況を解析し、前記APIの実行が、正規のアプリケーションの動作として規定された動作と異なる不正な動作に繋がるか否かを判定する解析部と、前記APIの実行が不正な動作に繋がると判定された場合に、不正な動作が行われないように前記APIの実行を制御する制御部と、前記APIの実行の可否を示す情報を記憶する記憶部と、としてコンピュータを機能させるためのプログラムであって、前記制御部は、前記APIの実行が不正な動作に繋がると判定された場合に、前記APIの実行を拒否すると共に、前記APIの実行の拒否を示す情報を前記記憶部に格納し、前記動作が再度検出された場合に、前記記憶部に格納されている前記情報が前記APIの実行の拒否を示していれば前記APIの実行を拒否することを特徴とするプログラムである。
本発明によれば、APIの実行が、正規のアプリケーションの動作として規定された動作と異なる不正な動作に繋がる場合に、不正な動作が行われないようにAPIの実行を制御することによって、不正な動作を防止することができる。
本発明の一実施形態による端末装置の構成を示すブロック図である。 本発明の一実施形態においてフックの対象となるAPIの一覧を示す参考図である。 本発明の一実施形態における情報取得部の動作の手順を示すフローチャートである。 本発明の一実施形態においてAPIが実行される状況の情報を示す参考図である。 本発明の一実施形態においてAPIを呼び出したメソッドが記述されたソースコードを示す参考図である。 本発明の一実施形態においてAPIを呼び出したメソッドを呼び出したメソッドが記述されたソースコードを示す参考図である。 本発明の一実施形態におけるセキュリティポリシー判定部の動作の手順を示すフローチャートである。 本発明の一実施形態における実行解析・制御部の動作の手順を示すフローチャートである。 本発明の一実施形態における実行解析・制御部の動作の手順を示すフローチャートである。 本発明の一実施形態における実行解析・制御部の動作の手順を示すフローチャートである。
以下、図面を参照し、本発明の実施形態を説明する。本明細書および図面では、便宜上、必要に応じてandroid(登録商標)という文字列を*andrd*という文字列で代用し、Android(登録商標)という文字列を*Andrd*という文字列で代用し、java(登録商標)という文字列を*jv*という文字列で代用し、google(登録商標)という文字列を*ggl*という文字列で代用している。すなわち、*andrd*という文字列はandroid(登録商標)という文字列と等価であり、*Andrd*という文字列はAndroid(登録商標)という文字列と等価であり、*jv*という文字列はjava(登録商標)という文字列と等価であり、*ggl*という文字列はgoogle(登録商標)という文字列と等価である。
図1は、本発明の一実施形態による端末装置の構成を示している。本実施形態の端末装置は、OS にAndroid(登録商標)を実装したスマートフォン等の装置として構成されている。図1に示すように端末装置は、アプリケーション10、API実行部11、情報取得部12、セキュリティポリシー判定部13、実行解析・制御部14、記憶部15、通信部16を有する。API実行部11、情報取得部12、セキュリティポリシー判定部13、実行解析・制御部14は、本発明のAPI実行制御装置の一例であるAPI実行制御部20を構成する。
アプリケーション10は、SMSクライアントアプリケーション等であり、アプリケーションの処理として規定された各種の処理を行う。API実行部11は、アプリケーション10からの要求に応じてAPI11aを実行する。API11aは、OSであるAndroid(登録商標)で用意されているAPI(メソッド)のうち、特に悪性アプリケーション(マルウェア)で利用される機能を実現する特定のAPIである。API実行部11は、アプリケーション10からAPI11aの実行要求を受けたときにAPI11aを実行し、実行結果をアプリケーション10に返す。
図2に示すAPI11aは、複数の異なる時点において同一のAPIである必要はない。例えば、第1のAPIが実行された後、第1のAPIとは異なる第2のAPIが実行される場合についても、図2では第1のAPIと第2のAPIがAPI11aとして示されている。
情報取得部12は、アプリケーション10がAPI11aを呼び出して実行しようとするときに、API11aを実行するメソッドの情報を含む各種情報を取得し、取得した情報をコンテキストデータCDとして、記憶部15内のセキュリティデータSDの記憶領域に格納する。セキュリティデータSDは、セキュリティポリシーSPとコンテキストデータCDで構成される。セキュリティポリシーSPは、API11aの実行を制御するための、API11aの実行の可否等を示す情報を含むデータである。コンテキストデータCDは、情報取得部12が取得した情報を含むデータである。セキュリティデータSDは記憶部15に格納されており、セキュリティポリシー判定部13および実行解析・制御部14によって記憶部15から適宜読み出されて参照される。
セキュリティポリシー判定部13は、実行されるAPI11aに関する情報がセキュリティポリシーSPに登録されているか否かを判定する。セキュリティポリシーSPに情報が登録されている場合、セキュリティポリシー判定部13は、セキュリティポリシーSPに登録されている情報に基づいた情報をAPI実行部11に与える。また、セキュリティポリシーSPに情報が登録されていない場合、セキュリティポリシー判定部13は、実行解析・制御部14に処理を引き渡す。
実行解析・制御部14は、コンテキストデータCDに基づいて、API11aが実行される状況を解析する。また、実行解析・制御部14は、解析の結果に基づいて、API11aの実行が不正な動作に繋がるか否か(API11aの実行により不正な動作が発生する可能性があるか否か)を判定する。API11aの実行が不正な動作に繋がる場合に、実行解析・制御部14は、不正な動作が行われないようにAPI11aの実行を制御する。
記憶部15は、メモリで構成されており、OSのプログラムや、アプリケーションプログラム、端末装置が使用する各種データ等を記憶する。通信部16は外部の通信装置と通信を行う。アプリケーション10は、必要に応じて通信部16を介して通信を行う。
API実行部11、情報取得部12、セキュリティポリシー判定部13、実行解析・制御部14は、Android(登録商標)で提供されているアプリケーションフレームワーク(AplicationFramework)層で動作する。本実施形態のOSのプログラムでは、既存のクラス(TelephonyManagerクラス等)を定義しているコードに対して、API実行部11が実行する処理を規定するコードが追加されている。また、本実施形態のOSのプログラムのコードに対して、情報取得部12、セキュリティポリシー判定部13、実行解析・制御部14の各部が実行する処理を規定するコードが追加されている。
本実施形態のOSのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータ(本実施形態の端末装置)に読み込ませ、実行させることにより、API実行部11、情報取得部12、セキュリティポリシー判定部13、実行解析・制御部14は、各部に対して規定された処理を実行する。
ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
また、上述したプログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように、情報を伝送する機能を有する媒体のことをいう。また、上述したプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能を、コンピュータに既に記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
本実施形態では、アプリケーションフレームワーク層に実装されるAPI実行部11と連携する処理を高速化するために、情報取得部12、セキュリティポリシー判定部13、実行解析・制御部14がアプリケーションフレームワーク層に実装されているが、情報取得部12、セキュリティポリシー判定部13、実行解析・制御部14をアプリケーションとして構成することも可能である。
次に、本実施形態の端末装置の動作を説明する。アプリケーション10がAPI11aを呼び出すと、API実行部11は、API11aが呼び出されたことを検出してAPI11aの実行に介入し(API11aをフックし)、API11aを実行する前に情報取得部12を呼び出す。また、API実行部11は、セキュリティポリシー判定部13または実行解析・制御部14の処理結果を受け取り、その処理結果に応じた処理を実行する。
図2は、フックの対象となるAPIの一覧を示している。本実施形態では、SmsManagerクラス、Cameraクラス、ContentResolverクラスのAPIがフックの対象となる。なお、図2に示すAPIは一例であり、これに限らない。APIはメソッドであるが、本実施形態で注目するメソッドを他のメソッドと区別するため、図2に示すメソッドをAPIと記載している。
SmsManagerクラスのAPIでフックの対象となるのは、SMSによりメッセージを送信するsendTextMessageである。CameraクラスのAPIでフックの対象となるのは、カメラで撮影を行う前にプレビュー画像を表示するsetPreviewDisplay、カメラで撮影のシャッターを切るtakePictureである。ContentResolverクラスのAPIでフックの対象となるのは、メモリ内のデータベースにアクセスして情報を取得するCursorである。
本実施形態では、SmsManagerクラスのsendTextMessageを外部送信APIと記載する。また、本実施形態では、CameraクラスのsetPreviewDisplayをプレビュー表示APIと記載し、CameraクラスのtakePictureをシャッターAPIと記載し、ContentResolverクラスのCursorをデータベース参照APIと記載する。
以下では、API実行制御部20の3種類の動作例を説明する。
<第1の動作例>
第1の動作例では、API実行制御部20は、端末装置の外部に情報を送信する外部送信APIが、アプリケーションのコンポーネントの1つであるServiceを継承するクラスのメソッドから実行されることによりユーザに気づかれずに情報の送信が不正に行われることを防止する。Android(登録商標)上で動作するアプリケーションの構成要素(コンポーネント)として、Activity、Service、BroadcastReceiver、ContentProviderの4つがある。アプリケーションのソースコードにおいて、クラスが継承するコンポーネントが記述されることにより、そのクラスで定義されているメソッドはそのコンポーネントを利用することが可能となる。以下、各コンポーネントについて説明する。
Activityは、ユーザに対して視覚的なインターフェイスを提供し、画面上でユーザと対話を行うコンポーネントである。アプリケーションを起動すると画面が表示される場合、Activityに記述されたプログラムが動作している。
Serviceは、画面を表示する機能を持たずに、バックグラウンドで処理を実行するコンポーネントである。例えば、ユーザが音楽を聞きながらブラウザを起動してインターネットの利用を楽しむ場合、音楽用アプリケーションがServiceを起動することにより、ユーザはインターネットの利用中に音楽を聞くことができる。
BroadcastReceiverは、Android(登録商標)が搭載された端末装置のシステム全体にブロードキャストされるINTENTを受け取るコンポーネントである。例えば、電池残量が減ってきたときに、「残りのバッテリー残量が少ないです」というメッセージを含む画面を表示するアプリケーションでは、電池残量が変化するときに発行されるBroadcastIntentをBroadcastReceiverにより受け取ったアプリケーションがActivityを起動して画面を表示する。
ContentProviderは、アプリケーションが保持するデータを他のコンポーネントでも使用可能にするコンポーネントである。例えば、あるアプリケーションが電話帳のデータを取得したい場合、そのアプリケーションは、電話帳アプリケーションのContentProviderを利用して、電話帳に登録されている情報を取得する。
SMSでは、ユーザが入力した文章を送信することが多いため、アプリケーションはActivityを利用して情報を送信する。一方、悪性アプリケーションは、ユーザに気づかれないように、Serviceを利用してバックグラウンドで情報を送信することが多い。したがって、Serviceを継承するクラスのメソッドから外部送信APIが実行される場合、ユーザに気づかれずに不正な送信先に情報が送信されて個人情報等が漏洩するという不正行為が発生する可能性がある。このような不正行為を防止するため、API実行制御部20は、外部送信APIが実行されるときに呼び出されて、以下で説明する処理を実行する。
アプリケーション10がAPI11aを呼び出したとき、API実行部11から呼び出された情報取得部12は、図3に示す処理を実行する。まず、情報取得部12は、API11aを呼び出したアプリケーション10のパッケージの名称(パッケージ名)を特定するため、ContextクラスのgetPackageNameメソッドを実行し、パッケージ名を取得する(ステップSA100)。Android(登録商標)では、パッケージファイルの形式でアプリケーションが公開されている。パッケージファイルは、例えば拡張子が.apkのファイルであり、命令列を含む実行コード(例えば拡張子が.dex)、アプリケーションが利用する権限が定義されたマニフェストファイル(例えば拡張子が.xml)、アプリケーションが利用する画像ファイル(例えば拡張子が.jpg)等を含む。
続いて、情報取得部12は、API11aがどのような状況で実行されるのかを解析するため、SystemクラスのcurrentMillisメソッドを実行し、API11aが呼び出された時刻を取得すると共に、Throwable クラスのgetStacktraceメソッドを実行し、クラス名、メソッド名、ファイル名、行番号が格納されたStackTraceElementクラスの配列を取得する(ステップSA105)。
ステップSA105で取得される配列に格納されているクラス名は、APIを呼び出したメソッドを定義するクラスの名称である。クラス名は、StackTraceElementクラスのgetClassNameメソッドを実行することで取得される。ステップSA105で取得される配列に格納されているメソッド名は、APIを呼び出したメソッドの名称である。メソッド名は、StackTraceElementクラスのgetMethodNameメソッドを実行することで取得される。ステップSA105で取得される配列に格納されているファイル名は、APIを呼び出したメソッドを実行するコードが記述されたソースファイルの名称である。ファイル名は、StackTraceElementクラスのgetFileNameメソッドを実行することで取得される。ステップSA105で取得される配列に格納されている行番号は、APIを呼び出したメソッドを実行するコードが記述されたソースファイル内の行番号である。行番号は、StackTraceElementクラスのgetLineNumberメソッドを実行することで取得される。
メソッドが呼び出される毎に、そのメソッドの情報はメモリ内のスタック領域(スタックフレーム)にスタックトレースとして保存される。上記のgetClassNameメソッド等の各メソッドによって、スタックトレースからクラス名等の情報が取得される。
続いて、情報取得部12は、ステップSA100,SA105で取得した情報をコンテキストデータCDとして、記憶部15内のセキュリティデータSDの記憶領域に格納する(ステップSA110)。
図4は、ステップSA105で取得した情報のうち、API11aが呼び出された時刻を除く情報の一例を示している。図4では、便宜上、1つのメソッド(API)の情報が4行に分かれて記載されており、各行の先頭には行番号が付与されている。図4の4行単位の情報によって1つの情報群が構成される。1〜4行目の情報で構成される情報群st[0]は、呼び出されたAPI11aの情報を含む。4行目の「getMethodName()=」に続く文字列「SendTextMessage」はAPI11aのメソッド名を示している。
5〜8行目の情報で構成される情報群st[1]は、API11a(SendTextMessage)を呼び出したメソッドの情報を含む。5行目の「getClassName()=」に続く文字列「jp.sample.app.Sample」は、API11aを呼び出したメソッドが定義されているクラスの名称(クラス名)を示している。クラス名は、パッケージ名とクラス単体の名称との組合せとして示されている。例えば、5行目に記載されている「jp.sample.app.Sample」の「jp.sample.app」がパッケージ名であり、「Sample」がクラス単体の名称である。6行目の「getFileName()=」に続く文字列「Sample.*jv*」は、API11aを呼び出したメソッドを実行するコードが記述されたソースファイルの名称(ファイル名)である。7行目の「getLineNumber()=」に続く数字27は、API11aを呼び出したメソッドを実行するコードが記述されたソースファイル内の行番号を示している。8行目の「getMethodName()=」に続く文字列「onCreate」は、API11aを呼び出したメソッドの名称(メソッド名)を示している。
情報群st[1]が示すファイル名に対応するソースファイルは、API11aを呼び出したアプリケーション10のソースファイルである。つまり、情報群st[1]に含まれる情報は、API11aを呼び出したアプリケーション10のソースファイルで記述されているメソッドの情報である。
図5は、API11aを呼び出したメソッドが記述されたソースコードの一例を示している。このソースコードは、情報群st[1]に含まれる「Sample.*jv*」がファイル名であるソースファイルに記載されているコードである。このソースコードにおいて、Sampleクラス(情報群st[1]に含まれる「jp.sample.app.Sample」に対応)で定義されているonCreateメソッド(情報群st[1]に含まれる「onCreate」に対応)内で、情報群st[0]が示すSendTextMessageメソッド(API11a)が呼び出されている。また、SendTextMessageメソッドを呼び出すコードは、情報群st[1]に含まれる行番号に対応する27行目に記載されている。
図4の9〜12行目の情報で構成される情報群st[2]は、情報群st[1]が示すonCreateメソッドを呼び出したメソッドの情報を含む。9行目の「getClassName()=」に続く文字列「*andrd*.app.ActivityThread」は、onCreateメソッドを呼び出したメソッドが定義されているクラスの名称(クラス名)を示している。9行目に記載されている「*andrd*.app.ActivityThread」の「*andrd*.app」がパッケージ名であり、「ActivityThread」がクラス単体の名称である。10行目の「getFileName()=」に続く文字列「ActivityThread.*jv*」は、onCreateメソッドを呼び出したメソッドを実行するコードが記述されたソースファイルの名称(ファイル名)である。11行目の「getLineNumber()=」に続く数字1945は、onCreateメソッドを呼び出したメソッドを実行するコードが記述されたソースファイル内の行番号を示している。12行目の「getMethodName()=」に続く文字列「handleCreateService」は、onCreateメソッドを呼び出したメソッドの名称(メソッド名)を示している。
図6は、onCreateメソッドを呼び出したメソッドが記述されたソースコードの一例を示している。このソースコードは、情報群st[2]に含まれる「ActivityThread.*jv*」がファイル名であるソースファイルに記載されているコードである。このソースコードにおいて、ActivityThreadクラス(情報群st[2]に含まれる「*andrd*.app.ActivityThread」に対応)で定義されているhandleCreateServiceメソッド(情報群st[2]に含まれる「handleCreateService」に対応)内で、情報群st[1]が示すonCreateメソッドが呼び出されている。また、onCreateメソッドを呼び出すコードは、情報群st[2]に含まれる行番号に対応する1945行目に記載されている。
上記のように、情報群st[n+1]の情報は、情報群st[n](nは0以上の整数)が示すメソッド(API)を呼び出したメソッドの情報を含む。図4の情報群st[3]〜st[7]も同様である。なお、図4では、情報群st[7]が示すメソッドを呼び出したメソッド等の情報は省略されている。図4に示す情報と、API11aが呼び出された時刻と、ステップSA100で取得したパッケージ名との組合せがコンテキストデータCDとして保存される。
本実施形態では、アプリケーション10からAPI11aが呼び出される毎に1つのコンテキストデータCDが生成され、保存される。例えば、第1のAPIが呼び出された後、第2のAPIが呼び出される場合、第1のAPIが呼び出されたときに第1のAPIに関するコンテキストデータCDが生成されて保存され、その後、第2のAPIが呼び出されたときに第2のAPIに関するコンテキストデータCDが生成されて保存される。
それぞれのコンテキストデータCDは、コンテキストデータCDに含まれる時刻によって区別される。あるいは、それぞれのコンテキストデータCDにシーケンス番号等のIDを付与し、そのIDによってそれぞれのコンテキストデータCDを区別してもよい。それぞれのコンテキストデータCDは、上記の情報群のうち複数の情報群(例えば情報群st[0],st[1],st[2])の情報を含む。コンテキストデータCDには、それぞれの情報群を識別する識別情報(例えば、st[0]等の文字列)が含まれており、この識別情報によって各情報群が区別される。
ステップSA110に続いて、情報取得部12はセキュリティポリシー判定部13を呼び出す(ステップSA115)。
情報取得部12から呼び出されたセキュリティポリシー判定部13は、図7に示す処理を実行する。まず、セキュリティポリシー判定部13は記憶部15内のセキュリティデータSDの記憶領域からセキュリティポリシーSPを読み出し(ステップSA200)、記憶部15内のセキュリティデータSDの記憶領域からコンテキストデータCDを読み出す(ステップSA205)。このとき読み出されるコンテキストデータCDは、直近(最後)に呼び出されたAPI11aに関するコンテキストデータCDである。コンテキストデータCDに含まれる時刻が最も新しいコンテキストデータCDが、直近に呼び出されたAPI11aに関するコンテキストデータCDである。あるいは、コンテキストデータCD毎にシーケンス番号が付与される場合、そのシーケンス番号から、直近に呼び出されたAPI11aに関するコンテキストデータCDを識別してもよい。
続いて、セキュリティポリシー判定部13は、呼び出されたAPI11aに関する情報がセキュリティポリシーSPに登録されているか否かを判定する(ステップSA210)。セキュリティポリシーSPには、API11aの実行制御情報と、パッケージ名と、コンテキストデータCDに含まれる情報群st[1]のクラス名、メソッド名、行番号とを一組とした情報が登録される。セキュリティポリシーSPには、この一組の情報を登録の単位として複数組登録することが可能である。後述するように、実行解析・制御部14によって、セキュリティポリシーSPに対する情報の登録が行われる。API11aの実行制御情報は、APIの実行の許可、APIの実行の拒否のいずれかを示す情報である。
コンテキストデータCDに含まれる情報(パッケージ名、コンテキストデータCDに含まれる情報群St[1]のクラス名、メソッド名、行番号)が、セキュリティポリシーSPに登録されている一組の情報(パッケージ名、クラス名、メソッド名、行番号)のいずれかと完全に一致した場合、呼び出されたAPI11aに関する情報がセキュリティポリシーSPに登録されている。また、コンテキストデータCDに含まれる情報(パッケージ名、コンテキストデータCDに含まれる情報群St[1]のクラス名、メソッド名、行番号)が、セキュリティポリシーSPに登録されている一組の情報(パッケージ名、クラス名、メソッド名、行番号)のいずれとも一致しなかった場合、呼び出されたAPI11aに関する情報はセキュリティポリシーSPに登録されていない。
呼び出されたAPI11aに関する情報がセキュリティポリシーSPに登録されている場合、セキュリティポリシー判定部13は、呼び出されたAPI11aに関してセキュリティポリシーSPに登録されている実行制御情報がAPIの実行の許可を示しているか否かを判定する(ステップSA215)。実行制御情報がAPIの実行の許可を示している場合、セキュリティポリシー判定部13は、API11aの実行を許可することを示す情報をAPI実行部11に与える(ステップSA220)。API実行部11は、セキュリティポリシー判定部13から与えられた情報に基づいてAPI11aに処理を実行させ、実行結果をアプリケーション10に返す。
また、実行制御情報がAPIの実行の許可を示していない場合、実行制御情報はAPIの実行の拒否を示している。この場合、セキュリティポリシー判定部13は、API11aの実行を拒否することを示す情報をAPI実行部11に与える(ステップSA230)。API実行部11は、セキュリティポリシー判定部13から与えられた情報に基づいてAPI11aの処理を中止し、実行結果をアプリケーション10に返す。このとき、情報の送信は行われない。
ステップSA210において、呼び出されたAPI11aに関する情報がセキュリティポリシーSPに登録されていない場合、セキュリティポリシー判定部13は、実行解析・制御部14を呼び出す(ステップSA225)。
本実施形態のセキュリティポリシーSPでは、メソッド名だけでなく、パッケージ名、クラス名、行番号が実行制御情報と関連付けられている。これによって、どのアプリケーションからAPI11aが呼び出されたのか、どのクラスで定義されているメソッドからAPI11aが呼び出されたのか、ソースファイル中のどの位置で記述されたメソッドからAPI11aが呼び出されたのかといった、API11aが実行される際の詳細な状況に応じて、API11aの実行を制御することができる。
セキュリティポリシー判定部13から呼び出された実行解析・制御部14は、図8に示す処理を実行する。まず、実行解析・制御部14は記憶部16のセキュリティデータSDの記憶領域からコンテキストデータCDを読み出す(ステップSA300)。このとき読み出されるコンテキストデータCDは、直近に呼び出されたAPI11aに関するコンテキストデータCDである。続いて、実行解析・制御部14は、コンテキストデータCDに含まれる情報群st[0]のメソッド名の文字列と、外部送信APIの文字列である「sendTextMessage」とを比較し、呼び出されたAPI11aが外部送信APIであるか否かを判定する(ステップSA305)。
コンテキストデータCDに含まれる情報群st[0]のメソッド名の文字列が「sendTextMessage」でなかった場合、呼び出されたAPI11aは外部送信APIではない。この場合、実行解析・制御部14は、API11aの実行を許可することを示す情報をAPI実行部11に与える(ステップSA325)。API実行部11は、実行解析・制御部14から与えられた情報に基づいてAPI11aに処理を実行させ、実行結果をアプリケーション10に返す。続いて、処理はステップSA320に進む。
また、コンテキストデータCDに含まれる情報群st[0]のメソッド名の文字列が「sendTextMessage」であった場合、呼び出されたAPI11aは外部送信APIである。この場合、実行解析・制御部14は、コンテキストデータCDに含まれる情報群st[2]のメソッド名の文字列と、Serviceで実行されるメソッドの名称の文字列である「handleCreateService」とを比較し、Serviceを継承するクラスのメソッドから外部送信APIが呼び出されたか否かを判定する(ステップSA310)。
前述したように、図4の情報群st[1]には、API11aを呼び出したメソッドの名称(メソッド名)が含まれる。また、図4の情報群St[2]には、情報群St[1]のメソッド名で示されるメソッドを呼び出したメソッドの名称(メソッド名)が含まれる。情報群St[2]に含まれるメソッド名が「handleCreateService」である場合、Serviceを継承するクラスのメソッドであるhandleCreateServiceメソッドによって呼び出されたメソッドによって外部送信APIが呼び出される。
コンテキストデータCDに含まれる情報群st[2]のメソッド名の文字列が「handleCreateService」と一致する場合、Serviceを継承するクラスのメソッドから外部送信APIが呼び出されている。この場合、実行解析・制御部14は、API11aの実行を拒否することを示す情報をAPI実行部11に与える(ステップSA315)。API実行部11は、実行解析・制御部14から与えられた情報に基づいてAPI11aの処理を中止し、実行結果をアプリケーション10に返す。このとき、情報の送信は行われない。続いて、処理はステップSA320に進む。
また、コンテキストデータCDに含まれる情報群st[2]のメソッド名の文字列が「handleCreateService」と一致しない場合、Serviceを継承するクラスのメソッドから外部送信APIが呼び出されていない。この場合、実行解析・制御部14は、API11aの実行を許可することを示す情報をAPI実行部11に与える(ステップSA325)。API実行部11は、実行解析・制御部14から与えられた情報に基づいてAPI11aに処理を実行させ、実行結果をアプリケーション10に返す。続いて、処理はステップSA320に進む。
ステップSA315およびステップSA325に続いて、実行解析・制御部14は、コンテキストデータCDに含まれる情報のうち、パッケージ名と、情報群st[1]のクラス名、メソッド名、行番号と、APIの実行の許可、APIの実行の拒否のいずれかを示す実行制御情報とを、セキュリティポリシーSPとして、記憶部16内のセキュリティデータSDの記憶領域に格納する(ステップSA320)。API11aの実行を許可することを示す情報がAPI実行部11に与えられた場合には、セキュリティポリシーSPに登録される実行制御情報はAPIの実行の許可を示している。また、API11aの実行を拒否することを示す情報がAPI実行部11に与えられた場合には、セキュリティポリシーSPに登録される実行制御情報はAPIの実行の拒否を示している。
上記のように、API実行制御部20は、API11aの実行がバックグラウンドでの情報の送信に繋がる可能性がある場合に、API11aの実行を中止する。これによって、ユーザに気づかれずに情報の送信が不正に行われることを防止することができる。
<第2の動作例>
第2の動作例では、API実行制御部20は、正規のアプリケーションがAPIを実行するシーケンスとは異なるシーケンスでAPIを実行する不正な動作を防止する。通常のカメラアプリケーションでは、カメラで撮影を行う前にプレビュー画像が表示され、ユーザはプレビュー画像を見ながら、撮影のシャッターを切る操作を行う。プレビュー画像が表示されていないにもかかわらず撮影のシャッターが切られた場合、盗撮等の不正行為が発生する可能性がある。このような不正行為を防止するため、API実行制御部20は、カメラで撮影を行う前にプレビュー画像を表示するAPI(プレビュー表示API)、およびカメラで撮影のシャッターを切るAPI(シャッターAPI)が実行されるときに呼び出されて、以下で説明する処理を実行する。
アプリケーション10がAPI11aを呼び出したとき、API実行部11から呼び出された情報取得部12は、図3に示す処理を実行する。図3に示す処理の内容については第1の動作例で説明したので、説明を省略する。情報取得部12から呼び出されたセキュリティポリシー判定部13は、図7に示す処理を実行する。図7に示す処理の内容については第1の動作例で説明したので、説明を省略する。
セキュリティポリシー判定部13から呼び出された実行解析・制御部14は、図9に示す処理を実行する。まず、実行解析・制御部14は記憶部15のセキュリティデータSDの記憶領域からコンテキストデータCDを読み出す(ステップSB300)。このとき読み出されるコンテキストデータCDは、例えば現時点までの一定期間内に呼び出された全てのAPI11aに関するコンテキストデータCDである。例えば、現在時刻を基準にした一定期間内にある時刻の情報が含まれるコンテキストデータCDが読み出される。
続いて、実行解析・制御部14は、直近に呼び出されたAPI11aに関するコンテキストデータCDに含まれる情報群st[0]のメソッド名の文字列と、プレビューAPIの文字列である「setPreviewDisplay」とを比較し、呼び出されたAPI11aがプレビューAPIである否かを判定する(ステップSB305)。
コンテキストデータCDに含まれる情報群st[0]のメソッド名の文字列が「setPreviewDisplay」であった場合、呼び出されたAPI11aはプレビューAPIである。この場合、実行解析・制御部14は、API11aの実行を許可することを示す情報をAPI実行部11に与える(ステップSB310)。API実行部11は、実行解析・制御部14から与えられた情報に基づいてAPI11aに処理を実行させ、実行結果をアプリケーション10に返す。続いて、処理はステップSB315に進む。
また、コンテキストデータCDに含まれる情報群st[0]のメソッド名の文字列が「setPreviewDisplay」でなかった場合、呼び出されたAPI11aはプレビューAPIではない。この場合、実行解析・制御部14は、直近に呼び出されたAPI11aに関するコンテキストデータCDに含まれる情報群st[0]のメソッド名の文字列と、シャッターAPIの文字列である「takePicture」とを比較し、呼び出されたAPI11aがシャッターAPIであるか否かを判定する(ステップSB320)。
コンテキストデータCDに含まれる情報群st[0]のメソッド名の文字列が「takePicture」でなかった場合、呼び出されたAPI11aはシャッターAPIではない。この場合、実行解析・制御部14は、API11aの実行を許可することを示す情報をAPI実行部11に与える(ステップSB310)。API実行部11は、実行解析・制御部14から与えられた情報に基づいてAPI11aに処理を実行させ、実行結果をアプリケーション10に返す。続いて、処理はステップSB315に進む。
また、コンテキストデータCDに含まれる情報群st[0]のメソッド名の文字列が「takePicture」であった場合、呼び出されたAPI11aはシャッターAPIである。この場合、実行解析・制御部14は、ステップSB300で読み出されたコンテキストデータCDのうち直近に呼び出されたAPI11aに関するコンテキストデータCD以外のそれぞれのコンテキストデータCDに含まれる情報群st[0]のメソッド名の文字列と、プレビューAPIの文字列である「setPreviewDisplay」とを比較し、以前にプレビューAPIが呼び出されたか否かを判定する(ステップSB325)。
いずれかのコンテキストデータCDに含まれる情報群st[0]のメソッド名の文字列が「setPreviewDisplay」であった場合、以前にプレビューAPIが呼び出されている。ステップSB320での判定により、シャッターAPIが直近に呼び出されており、ステップSB325での判定により、シャッターAPIが呼び出されるよりも前にプレビューAPIが呼び出されていることが分かる。
プレビューAPIを呼び出した後、シャッターAPIを呼び出す動作は正規の動作であると考えられる。この場合、実行解析・制御部14は、API11aの実行を許可することを示す情報をAPI実行部11に与える(ステップSB310)。API実行部11は、実行解析・制御部14から与えられた情報に基づいてAPI11aに処理を実行させ、実行結果をアプリケーション10に返す。続いて、処理はステップSB315に進む。
また、どのコンテキストデータCDに含まれる情報群st[0]のメソッド名の文字列も「setPreviewDisplay」でなかった場合、以前にプレビューAPIは呼び出されていない。ステップSB320での判定により、シャッターAPIが直近に呼び出されており、ステップSB325での判定により、シャッターAPIが呼び出されるよりも前にプレビューAPIが呼び出されていないことが分かる。
プレビューAPIを呼び出すことなくシャッターAPIを呼び出す動作は不正な動作であると考えられる。この場合、実行解析・制御部14は、API11aの実行を拒否することを示す情報をAPI実行部11に与える(ステップSB330)。API実行部11は、実行解析・制御部14から与えられた情報に基づいてAPI11aの処理を中止し、実行結果をアプリケーション10に返す。このとき、シャッターを切る動作は行われない。
ステップSB310およびステップSB330に続いて、実行解析・制御部14は、コンテキストデータCDに含まれる情報のうち、パッケージ名と、情報群st[1]のクラス名、メソッド名、行番号と、APIの実行の許可、APIの実行の拒否のいずれかを示す実行制御情報とを、セキュリティポリシーSPとして、記憶部16内のセキュリティデータSDの記憶領域に格納する(ステップSB315)。API11aの実行を許可することを示す情報がAPI実行部11に与えられた場合には、セキュリティポリシーSPに登録される実行制御情報はAPIの実行の許可を示している。また、API11aの実行を拒否することを示す情報がAPI実行部11に与えられた場合には、セキュリティポリシーSPに登録される実行制御情報はAPIの実行の拒否を示している。
上記のように、API実行制御部20は、API11aの実行が不正に行われる可能性がある場合に、API11aの実行を中止する。これによって、ユーザに気づかれずに不正な動作が行われることを防止することができる。
<第3の動作例>
第3の動作例では、API実行制御部20は、正規のアプリケーションがAPIを実行するシーケンスとは異なるシーケンスでAPIを実行する不正な動作を防止する。通常のSMSクライアントアプリケーションは、アドレス帳を参照し、アドレス帳から送信先の情報(アドレス)を取得した後、その送信先にメッセージ(メール)を送信する。
端末装置から個人情報を取得し、取得した個人情報を含むメッセージを外部に送信することで情報漏洩を行う悪性アプリケーションがある。悪性アプリケーションの開発者に個人情報を送信するためには、悪性アプリケーションの動作時にメッセージの送信先のアドレスに悪性アプリケーションの開発者の電話番号を設定する必要がある。このため、アドレス帳が参照されていないにもかかわらずメッセージが送信された場合、個人情報等が漏洩するという不正行為が発生する可能性がある。このような不正行為を防止するため、API実行制御部20は、メモリ内のデータベースにアクセスして情報を取得するAPI(データベース参照API)が実行されるとき、および外部送信APIが実行されるときに呼び出されて、以下で説明する処理を実行する。
アプリケーション10がAPI11aを呼び出したとき、API実行部11から呼び出された情報取得部12は、図3に示す処理を実行する。図3に示す処理の内容については第1の動作例で説明したので、説明を省略する。ただし、以下の点が、第1の動作例で説明した情報取得部12の処理と異なる。アプリケーション10は、データベース参照API を呼び出すとき、データベース内のアクセス先(データベース参照APIがアクセスするデータベース内の位置)を示す引数(データベース位置情報)をAPI実行部11に与える。API実行部11は、情報取得部12を呼び出すときにこの引数を情報取得部12に与える。情報取得部12は、この引数を含むコンテキストデータCDを記憶部15内のセキュリティデータSDの記憶領域に格納する。
情報取得部12から呼び出されたセキュリティポリシー判定部13は、図7に示す処理を実行する。図7に示す処理の内容については第1の動作例で説明したので、説明を省略する。
セキュリティポリシー判定部13から呼び出された実行解析・制御部14は、図10に示す処理を実行する。まず、実行解析・制御部14は記憶部15のセキュリティデータSDの記憶領域からコンテキストデータCDを読み出す(ステップSC300)。このとき読み出されるコンテキストデータCDは、例えば現時点までの一定期間内に呼び出された全てのAPI11aに関するコンテキストデータCDである。
続いて、実行解析・制御部14は、直近に呼び出されたAPI11aに関するコンテキストデータCDに含まれる情報群st[0]のメソッド名の文字列と、データベース参照APIの文字列である「Cursor」とを比較し、呼び出されたAPI11aがデータベース参照APIであるか否かを判定する(ステップSC305)。
コンテキストデータCDに含まれる情報群st[0]のメソッド名の文字列が「Cursor」であった場合、呼び出されたAPI11aはデータベース参照APIである。この場合、実行解析・制御部14は、API11aの実行を許可することを示す情報をAPI実行部11に与える(ステップSC310)。API実行部11は、実行解析・制御部14から与えられた情報に基づいてAPI11aに処理を実行させ、実行結果をアプリケーション10に返す。続いて、処理はステップSC315に進む。
また、コンテキストデータCDに含まれる情報群st[0]のメソッド名の文字列が「Cursor」でなかった場合、呼び出されたAPI11aはデータベース参照APIではない。この場合、実行解析・制御部14は、直近に呼び出されたAPI11aに関するコンテキストデータCDに含まれる情報群st[0]のメソッド名の文字列と、外部送信APIの文字列である「sendTextMessage」とを比較し、呼び出されたAPI11aが外部送信APIであるか否かを判定する(ステップSC320)。
コンテキストデータCDに含まれる情報群st[0]のメソッド名の文字列が「sendTextMessage」でなかった場合、呼び出されたAPI11aは外部送信APIではない。この場合、実行解析・制御部14は、API11aの実行を許可することを示す情報をAPI実行部11に与える(ステップSC310)。API実行部11は、実行解析・制御部14から与えられた情報に基づいてAPI11aに処理を実行させ、実行結果をアプリケーション10に返す。続いて、処理はステップSC315に進む。
また、コンテキストデータCDに含まれる情報群st[0]のメソッド名の文字列が「sendTextMessage」であった場合、呼び出されたAPI11aは外部送信APIである。この場合、実行解析・制御部14は、ステップSC300で読み出されたコンテキストデータCDのうち直近に呼び出されたAPI11aに関するコンテキストデータCD以外のそれぞれのコンテキストデータCDに含まれる情報群st[0]のメソッド名の文字列と、データベース参照APIの文字列である「Cursor」とを比較し、以前にデータベース参照APIが呼び出されたか否かを判定する(ステップSC325)。
いずれかのコンテキストデータCDに含まれる情報群st[0]のメソッド名の文字列が「Cursor」であった場合、以前にデータベース参照APIが呼び出されている。ステップSC320での判定により、外部送信APIが直近に呼び出されており、ステップSC325での判定により、外部送信APIが呼び出されるよりも前にデータベース参照APIが呼び出されていることが分かる。
この場合、実行解析・制御部14は、ステップSC300で読み出されたコンテキストデータCDのうちデータベース参照APIに関するコンテキストデータCDに含まれる、データベース内のアクセス先を示す引数の文字列と、正規のアプリケーションがアドレスの参照に利用するアドレス帳を示す文字列である「com.*andrd*.contacts」とを比較し、データベース参照APIのアクセス先としてアドレス帳が指定されたか否か(データベース参照APIのアクセス先がアドレス帳であるか否か)を判定する(ステップSC330)。
データベース内のアクセス先を示す引数の文字列が「com.*andrd*.contacts」であった場合、データベース参照APIのアクセス先としてアドレス帳が指定されている。アドレス帳にアクセスするデータベース参照APIを呼び出した後、外部送信APIを呼び出す動作は正規の動作であると考えられる。この場合、実行解析・制御部14は、API11aの実行を許可することを示す情報をAPI実行部11に与える(ステップSC310)。API実行部11は、実行解析・制御部14から与えられた情報に基づいてAPI11aに処理を実行させ、実行結果をアプリケーション10に返す。続いて、処理はステップSC315に進む。
データベース内のアクセス先を示す引数の文字列が「com.*andrd*.contacts」でなかった場合、データベース参照APIのアクセス先としてアドレス帳が指定されていない。アドレス帳にアクセスすることなく外部送信APIを呼び出す動作は不正な動作であると考えられる。この場合、実行解析・制御部14は、API11aの実行を拒否することを示す情報をAPI実行部11に与える(ステップSC335)。API実行部11は、実行解析・制御部14から与えられた情報に基づいてAPI11aの処理を中止し、実行結果をアプリケーション10に返す。このとき、情報の送信は行われない。
また、ステップSC325において、どのコンテキストデータCDに含まれる情報群st[0]のメソッド名の文字列も「Cursor」でなかった場合、以前にデータベース参照APIは呼び出されていない。ステップSC320での判定により、外部送信APIが直近に呼び出されており、ステップSC325での判定により、外部送信APIが呼び出されるよりも前にデータベース参照APIが呼び出されていないことが分かる。
データベース参照APIを呼び出すことなく外部送信APIを呼び出す動作は不正な動作であると考えられる。この場合、実行解析・制御部14は、API11aの実行を拒否することを示す情報をAPI実行部11に与える(ステップSC335)。API実行部11は、実行解析・制御部14から与えられた情報に基づいてAPI11aの処理を中止し、実行結果をアプリケーション10に返す。このとき、情報の送信は行われない。
ステップSC310およびステップSC335に続いて、実行解析・制御部14は、コンテキストデータCDに含まれる情報のうち、パッケージ名と、情報群st[1]のクラス名、メソッド名、行番号と、APIの実行の許可、APIの実行の拒否のいずれかを示す実行制御情報とを、セキュリティポリシーSPとして、記憶部16内のセキュリティデータSDの記憶領域に格納する(ステップSC315)。API11aの実行を許可することを示す情報がAPI実行部11に与えられた場合には、セキュリティポリシーSPに登録される実行制御情報はAPIの実行の許可を示している。また、API11aの実行を拒否することを示す情報がAPI実行部11に与えられた場合には、セキュリティポリシーSPに登録される実行制御情報はAPIの実行の拒否を示している。
上記のように、API実行制御部20は、API11aの実行が不正に行われる可能性がある場合に、API11aの実行を中止する。これによって、ユーザに気づかれずに不正な動作が行われることを防止することができる。
上述したように、第1〜第3の動作例では、バックグラウンドで情報が送信される場合や、プレビューAPIが実行されることなくシャッターAPIが実行される場合、アドレス帳にアクセスするデータベース参照APIが実行されずに外部送信APIが実行される場合に、不正な動作が行われないようにAPIの実行を制御することによって、ユーザに気づかれずに不正な動作が行われることを防止することができる。
また、実行解析・制御部14がAPI11aの実行状況を解析して得られた、APIの実行の許可またはAPIの実行の拒否を示す実行制御情報をセキュリティポリシーSPとして登録しておき、次にAPI11aが実行されようとしているときに、セキュリティポリシーSPに登録された情報に基づいてAPI11aの実行を制御することによって、処理を高速化することができる。
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成は上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。
10・・・アプリケーション、11・・・API実行部、12・・・情報取得部、13・・・セキュリティポリシー判定部(制御部)、14・・・実行解析・制御部(解析部、制御部)、15・・・記憶部、16・・・通信部、20・・・API実行制御部

Claims (9)

  1. アプリケーションがAPI(Application Program Interface)を実行しようとする動作を検出する検出部と、
    前記動作が検出された場合に、前記APIを実行するメソッドの情報を取得する情報取得部と、
    前記メソッドの情報に基づいて、前記APIが実行される状況を解析し、前記APIの実行が、正規のアプリケーションの動作として規定された動作と異なる不正な動作に繋がるか否かを判定する解析部と、
    前記APIの実行が不正な動作に繋がると判定された場合に、不正な動作が行われないように前記APIの実行を制御する制御部と、
    を備え、
    前記アプリケーションは複数のコンポーネントで構成され、
    前記情報取得部は、前記アプリケーションが起動する端末の外部に情報を送信するAPIを実行しようとする動作が検出された場合に、前記APIを実行するメソッドの情報を取得し、
    前記解析部は、前記メソッドの情報に基づいて、前記APIが実行される状況を解析し、前記APIが、バックグラウンドで処理を実行するコンポーネントを継承するクラスのメソッドから実行されるか否かを判定し、
    前記制御部は、前記APIが、バックグラウンドで処理を実行するコンポーネントを継承するクラスのメソッドから実行されると判定された場合に、前記APIの実行を拒否する
    ことを特徴とするAPI実行制御装置。
  2. 前記解析部は、前記メソッドの情報に基づいて、前記APIの実行に伴って実行されるメソッドの名称を解析し、前記APIの実行に伴って実行されるメソッドの名称と、バックグラウンドで処理を実行するコンポーネントを継承するクラスのメソッドの名称とが一致するか否かを判定し、
    前記制御部は、前記APIの実行に伴って実行されるメソッドの名称と、バックグラウンドで処理を実行するコンポーネントを継承するクラスのメソッドの名称とが一致すると判定された場合に、前記APIの実行を拒否する
    ことを特徴とする請求項に記載のAPI実行制御装置。
  3. アプリケーションがAPI(Application Program Interface)を実行しようとする動作を検出する検出部と、
    前記動作が検出された場合に、前記APIを実行するメソッドの情報を取得する情報取得部と、
    前記メソッドの情報に基づいて、前記APIが実行される状況を解析し、前記APIの実行が、正規のアプリケーションの動作として規定された動作と異なる不正な動作に繋がるか否かを判定する解析部と、
    前記APIの実行が不正な動作に繋がると判定された場合に、不正な動作が行われないように前記APIの実行を制御する制御部と、
    を備え、
    前記情報取得部は、アプリケーションが第1のAPIを実行しようとする動作が検出された場合に、前記第1のAPIを実行する第1のメソッドの情報を取得し、正規アプリケーションでは前記第1のAPIが実行された後に実行される第2のAPIを前記アプリケーションが実行しようとする動作が検出された場合に、前記第2のAPIを実行する第2のメソッドの情報を取得し、
    前記解析部は、前記第1のメソッドおよび前記第2のメソッドの情報に基づいて、前記第1のAPIおよび前記第2のAPIが実行される状況を解析し、前記第1のAPIが実行された後、前記第2のAPIが実行されるか否かを判定し、
    前記制御部は、前記第1のAPIが実行されることなく前記第2のAPIが実行されると判定された場合に、前記APIの実行を拒否する
    ことを特徴とするAPI実行制御装置。
  4. 前記第1のAPIは、カメラで撮影を行う前にプレビュー画像を表示するAPIであり、前記第2のAPIは、カメラで撮影のシャッターを切るAPIであることを特徴とする請求項に記載のAPI実行制御装置。
  5. 前記第1のAPIは、データベース内の指定された位置から送信先のアドレスを取得するAPIであり、前記第2のAPIは、前記アプリケーションが起動する端末の外部に情報を送信するAPIであり、
    前記情報取得部はさらに、前記第1のAPIを実行しようとする動作が検出された場合に、前記アプリケーションが指定する前記データベース内の位置を示すデータベース位置情報を取得し、
    前記解析部はさらに、前記第1のAPIが実行された後、前記第2のAPIが実行されると判定した場合に、前記データベース位置情報に基づいて、正規のアプリケーションが利用するアドレス帳が指定されているか否かを判定し、
    前記制御部は、前記アドレス帳が指定されていないと判定された場合に、前記APIの実行を拒否する
    ことを特徴とする請求項に記載のAPI実行制御装置。
  6. アプリケーションがAPI(Application Program Interface)を実行しようとする動作を検出する検出部と、
    前記動作が検出された場合に、前記APIを実行するメソッドの情報を取得する情報取得部と、
    前記メソッドの情報に基づいて、前記APIが実行される状況を解析し、前記APIの実行が、正規のアプリケーションの動作として規定された動作と異なる不正な動作に繋がるか否かを判定する解析部と、
    前記APIの実行が不正な動作に繋がると判定された場合に、不正な動作が行われないように前記APIの実行を制御する制御部と、
    前記APIの実行の可否を示す情報を記憶する記憶部と、
    を備え、
    前記制御部は、前記APIの実行が不正な動作に繋がると判定された場合に、前記APIの実行を拒否すると共に、前記APIの実行の拒否を示す情報を前記記憶部に格納し、前記動作が再度検出された場合に、前記記憶部に格納されている前記情報が前記APIの実行の拒否を示していれば前記APIの実行を拒否する
    ことを特徴とするAPI実行制御装置。
  7. アプリケーションがAPI(Application Program Interface)を実行しようとする動作を検出する検出部と、
    前記動作が検出された場合に、前記APIを実行するメソッドの情報を取得する情報取得部と、
    前記メソッドの情報に基づいて、前記APIが実行される状況を解析し、前記APIの実行が、正規のアプリケーションの動作として規定された動作と異なる不正な動作に繋がるか否かを判定する解析部と、
    前記APIの実行が不正な動作に繋がると判定された場合に、不正な動作が行われないように前記APIの実行を制御する制御部と、
    としてコンピュータを機能させるためのプログラムであって、
    前記アプリケーションは複数のコンポーネントで構成され、
    前記情報取得部は、前記アプリケーションが起動する端末の外部に情報を送信するAPIを実行しようとする動作が検出された場合に、前記APIを実行するメソッドの情報を取得し、
    前記解析部は、前記メソッドの情報に基づいて、前記APIが実行される状況を解析し、前記APIが、バックグラウンドで処理を実行するコンポーネントを継承するクラスのメソッドから実行されるか否かを判定し、
    前記制御部は、前記APIが、バックグラウンドで処理を実行するコンポーネントを継承するクラスのメソッドから実行されると判定された場合に、前記APIの実行を拒否する
    ことを特徴とするプログラム。
  8. アプリケーションがAPI(Application Program Interface)を実行しようとする動作を検出する検出部と、
    前記動作が検出された場合に、前記APIを実行するメソッドの情報を取得する情報取得部と、
    前記メソッドの情報に基づいて、前記APIが実行される状況を解析し、前記APIの実行が、正規のアプリケーションの動作として規定された動作と異なる不正な動作に繋がるか否かを判定する解析部と、
    前記APIの実行が不正な動作に繋がると判定された場合に、不正な動作が行われないように前記APIの実行を制御する制御部と、
    としてコンピュータを機能させるためのプログラムであって、
    前記情報取得部は、アプリケーションが第1のAPIを実行しようとする動作が検出された場合に、前記第1のAPIを実行する第1のメソッドの情報を取得し、正規アプリケーションでは前記第1のAPIが実行された後に実行される第2のAPIを前記アプリケーションが実行しようとする動作が検出された場合に、前記第2のAPIを実行する第2のメソッドの情報を取得し、
    前記解析部は、前記第1のメソッドおよび前記第2のメソッドの情報に基づいて、前記第1のAPIおよび前記第2のAPIが実行される状況を解析し、前記第1のAPIが実行された後、前記第2のAPIが実行されるか否かを判定し、
    前記制御部は、前記第1のAPIが実行されることなく前記第2のAPIが実行されると判定された場合に、前記APIの実行を拒否する
    ことを特徴とするプログラム。
  9. アプリケーションがAPI(Application Program Interface)を実行しようとする動作を検出する検出部と、
    前記動作が検出された場合に、前記APIを実行するメソッドの情報を取得する情報取得部と、
    前記メソッドの情報に基づいて、前記APIが実行される状況を解析し、前記APIの実行が、正規のアプリケーションの動作として規定された動作と異なる不正な動作に繋がるか否かを判定する解析部と、
    前記APIの実行が不正な動作に繋がると判定された場合に、不正な動作が行われないように前記APIの実行を制御する制御部と、
    前記APIの実行の可否を示す情報を記憶する記憶部と、
    としてコンピュータを機能させるためのプログラムであって、
    前記制御部は、前記APIの実行が不正な動作に繋がると判定された場合に、前記APIの実行を拒否すると共に、前記APIの実行の拒否を示す情報を前記記憶部に格納し、前記動作が再度検出された場合に、前記記憶部に格納されている前記情報が前記APIの実行の拒否を示していれば前記APIの実行を拒否する
    ことを特徴とするプログラム。
JP2012006235A 2012-01-16 2012-01-16 Api実行制御装置およびプログラム Active JP5825595B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012006235A JP5825595B2 (ja) 2012-01-16 2012-01-16 Api実行制御装置およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012006235A JP5825595B2 (ja) 2012-01-16 2012-01-16 Api実行制御装置およびプログラム

Publications (2)

Publication Number Publication Date
JP2013145510A JP2013145510A (ja) 2013-07-25
JP5825595B2 true JP5825595B2 (ja) 2015-12-02

Family

ID=49041259

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012006235A Active JP5825595B2 (ja) 2012-01-16 2012-01-16 Api実行制御装置およびプログラム

Country Status (1)

Country Link
JP (1) JP5825595B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11303659B2 (en) * 2018-12-26 2022-04-12 International Business Machines Corporation Detecting inappropriate activity in the presence of unauthenticated API requests using artificial intelligence

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100483700B1 (ko) * 2003-12-03 2005-04-19 주식회사 잉카인터넷 온라인 게임 클라이언트 보안을 위한 실시간 프로세스 불법 접근 및 조작 차단 방법
KR100843701B1 (ko) * 2006-11-07 2008-07-04 소프트캠프(주) 콜 스택에 기록된 정보를 이용한 에이피아이 확인방법

Also Published As

Publication number Publication date
JP2013145510A (ja) 2013-07-25

Similar Documents

Publication Publication Date Title
US10885182B1 (en) System and method for secure, policy-based access control for mobile computing devices
Jiang et al. Detecting passive content leaks and pollution in android applications
US7743336B2 (en) Widget security
KR101373986B1 (ko) 모델을 사용하여 실행가능 프로그램을 조사하는 방법 및 장치
US9825977B2 (en) System and method for controlling access to data of a user device using a security application that provides accessibility services
Aafer et al. Hare hunting in the wild android: A study on the threat of hanging attribute references
WO2016095673A1 (zh) 一种基于应用程序的行为处理方法和装置
US10685116B2 (en) Anti-ransomware systems and methods using a sinkhole at an electronic device
Petracca et al. {AWare}: Preventing Abuse of {Privacy-Sensitive} Sensors via Operation Bindings
JP2004537105A (ja) 状態参照モニタ
Banuri et al. An Android runtime security policy enforcement framework
Wu et al. Analysis of clickjacking attacks and an effective defense scheme for android devices
EP1643409A2 (en) Application programming Interface for Access authorization
Liu et al. An empirical study on android for saving non-shared data on public storage
JP5828457B2 (ja) Api実行制御装置およびプログラム
Luo et al. Real-time detection and prevention of android sms permission abuses
US11275828B1 (en) System, method, and apparatus for enhanced whitelisting
JP2013182500A (ja) Api実行制御装置およびプログラム
KR101977428B1 (ko) 애플리케이션용 콘텐츠 핸들링 기법
KR101716690B1 (ko) 데이터 무단 엑세스 차단 방법 및 그 기능이 구비된 컴퓨팅 장치
CN105791221B (zh) 规则下发方法及装置
JP5825595B2 (ja) Api実行制御装置およびプログラム
CN111783087A (zh) 可执行文件恶意执行的检测方法及装置、终端、存储介质
Sutter Simple spyware: Androids invisible foreground services and how to (ab) use them
CN117290840B (zh) 浏览器审计方法、装置、计算机设备和存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140820

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20140821

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20140820

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150514

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150609

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150810

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20150811

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150908

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20151005

R150 Certificate of patent or registration of utility model

Ref document number: 5825595

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250