The KIPS Transactions:PartC (정보처리학회논문지C)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

Design and Implementation of a Flexible Application Permission Management Scheme on Android Platform

안드로이드 플랫폼에서 유연한 응용프로그램 권한관리 기법 설계 및 구현

  • 김익환 (서울시립대학교 기계정보공학과) ;
  • 김태현 (서울시립대학교 기계정보공학과)
  • Received : 2011.02.28
  • Accepted : 2011.04.04
  • Published : 2011.06.30
Download PDF
⟨ Previous Next ⟩

Abstract

Google Android, which is one of the popular smart phone platforms, employs a security model based on application permissions. This model intends to reduce security threats by protecting inappropriate accesses to system resources from applications, but this model has a few problems. First, permission requested by an application cannot be granted selectively. Second, once the permission has been granted it is maintained until the application is uninstalled. Third, applications may acquire powerful permissions through user ID sharing without any notice to users. In order to overcome these limitations, we designed and implemented a flexible application permission management scheme. The goal of our scheme is to enhance security and user convenience while keeping compatibility to original platform. We also verified the operation of our scheme with real applications on Android emulator.

대표적인 스마트폰 플랫폼의 하나인 구글 안드로이드는 응용프로그램 권한기반 보안모델을 채택하고 있다. 이는 응용프로그램의 시스템 자원에 대한 부적절한 접근을 제한하여 보안위협을 줄이기 위한 방법이지만 권한의 선택적 허용이 불가능한 점, 한번 권한이 부여된 경우 이를 되돌릴 수 없는 점, 사용자 ID 공유에 따른 권한의 공유를 사용자가 알 수 없는 점 등 문제점이 존재한다. 본 연구에서는 기존 안드로이드 보안 모델의 한계점을 개선하기 위해 사용자가 응용프로그램이 요구하는 권한을 유연하게 설정할 수 있는 기법을 설계, 구현하였다. 본 연구에서 제안한 기법의 설계목표는 기존 보안모델의 수정을 최소화하면서 보안성과 사용자 편의성을 향상하는 것이며, 구현된 기법의 동작 검증은 안드로이드 에뮬레이터 상에서 실제 응용프로그램 수행을 통해 이루어졌다.

Keywords

References

  1. A. Shabtai, Y. Fledel, U. Kanonov, Y. Elovii, and S. Dolev, "Google Android: A State-of-the-Art Review of Security Mechanisms", IEEE Security and Privacy, Vol.8, issue2, pp. 35-44, 2010. https://doi.org/10.1109/MSP.2010.2
  2. Google Android Developers Guide, "Security and Permissions", http://developer.android.com/guide/topics/security/security.html, Aug., 2010.
  3. W. Enck, M. Ongtang, and P. McDaniel, "Understanding Android Security", IEEE Security and Privacy, Vol.7, issue 1, pp.50-57, 2009. https://doi.org/10.1109/MSP.2009.26
  4. A. Fuchs, A. Chaudhuri, and J. Foster, "SCanDroid: Automated Security Certification of Android Applications", In Proc. of the 31st IEEE Symposium on Security and Privacy, 2010.
  5. M. Ongtang, S. McLaughlin, W. Enck, and P. McDaniel, "Semantically Rich Application-Centric Security in Android", In Proc. of the Annual Computer Security Applications Conference, pp.340-349, 2009. https://doi.org/10.1109/ACSAC.2009.39
  6. M. Nauman and S Kahn, "Apex: Extending Android Permission Model and Enforcement with User-Defined Runtime Constraints", In Proc. of the 5th ACM Symposium on Information, Computer and Communication Security, pp. 328-332, 2010. https://doi.org/10.1145/1755688.1755732
  7. Android SDK 2.2 Full Source, "Android Application Framework: PackageManagerService", /frameworks/base/services/java/com/android/server/PackageManagerService.java, March, 2010.