[发明专利]应用安装包的安全检测方法、装置和系统

说明书

技术领域

本发明涉及移动通信领域，更具体地，涉及一种检测应用安装包的安全性的方法、装置和对应的系统。

背景技术

近些年，移动终端的使用越来越普及。如本文所使用的，术语“移动终端”可以指代诸如智能电话、无线PDA、膝上型计算机、平板计算机等各种具有无线通信功能的设备。在这些移动终端上可以安装各种应用以使用众多功能，例如收发电子邮件、访问社交网络、电子购物、游戏，等等。这些应用丰富了用户对终端的使用体验。但是用户很难分辨其从网络上获得的应用（特别地，指代其应用安装包）是否由第三方出于各种目的嵌入了非法应用。这使得用户在使用各种应用时存在极大的安全风险。

目前，针对市场上应用二次打包嵌入非法应用的恶意行为，针对性的提出了通过对应用本身进行处理的方式来对应用进行加固的安全方法。这通常通过逆向分析或源代码加固等典型方式实现，以减小应用被恶意篡改的风险。例如，可以通过代码混淆、关键API加密等方式来防止应用的源代码信息被apktool等工具读取。

尽管上述对应用本身进行加固的防范方法可以在很大程度上对应用进行安全保障，但是这种方法也存在弊端。例如，一旦应用本身发生更新，如版本升级等，则需要针对应用的新版本重新对该应用或其源代码进行加固处理。这种现有方式是繁琐而费时的。而且，由于无法保证对应用的加固处理能够实时跟进诸如应用的版本升级等应用更新操作，这种现有方式会存在安全空缺期。

发明内容

为了克服上述现有技术的部分或全部弊端，有效防范应用二次打包嵌入非法应用的恶意行为，本发明提出了一种基于云端的、在安装应用时检测应用的安全性的方法、装置和对应的系统。根据本发明实施例，能够在应用安装时检测应用是否被非法窜改过。而且，基于检测结果，对已被非法篡改（或恶意二次打包）的应用，可以终止其运行，并对用户发出提醒。

根据本发明的一个方面，提供了一种在应用安装包运行时的安全检测方法。该方法可以包括：检测终端中应用安装包的运行请求；响应于检测到所述运行请求，分析所述应用安装包以获取安全关键信息；比较所获取的安全关键信息与所述应用对应的原生安全关键信息；以及在比较结果为差异超过安全阈值的情况下，终止所述应用安装包的运行。

在本发明的一些实施例中，所述方法还包括：在终止所述应用安装包的运行时，提示用户是否使用所述应用对应的原生应用安装包替代所述应用安装包；以及响应于接收到用户的肯定确认，从云端服务器获取所述原生应用安装包。

在本发明的一些实施例中，所述安全关键信息包括文件属性和版本信息。并且所述安全关键信息还可以包括下述信息中的至少一个：文件HASH摘要、内容特征指纹、和/或关键API信息。

在本发明的一些实施例中，所述方法还可以包括：在终端本地存储的原生状态安全身份信息库中查询所述应用对应的原生安全关键信息；以及在终端本地查询失败的情况下，向云端服务器查询所述应用对应的原生安全关键信息。

在本发明的一些实施例中，所述方法还可以包括：在向云端服务器查询失败的情况下，请求云端服务器实时生成所述应用对应的原生安全关键信息，并且接收云端服务器返回的原生安全关键信息。其中，服务器可以响应于所述请求获取所述应用对应的官方合法应用安装包，分析所述官方合法应用安装包以生成所述原生安全关键信息，以及向终端返回所述原生安全关键信息。

根据本发明的另一方面，提供了一种执行在应用安装包运行时的安全检测的装置。所述装置可以包括：监控模块、分析模块、查询模块、比较模块、以及处理模块。监控模块可以配置为：检测终端中应用安装包的运行请求。分析模块可以配置为：响应于检测到所述运行请求，分析所述应用安装包以获取安全关键信息。查询模块可以配置为查询所述应用对应的原生安全关键信息。比较模块可以配置为：比较所获取的安全关键信息与所述应用对应的原生安全关键信息。处理模块可以配置为：在比较结果为差异超过安全阈值的情况下，终止所述应用安装包的运行。

在本发明的一些实施例中，所述安全关键信息包括文件属性和版本信息。并且所述安全关键信息还可以包括下述信息中的至少一个：文件HASH摘要、内容特征指纹、和/或关键API信息。

在本发明的一些实施例中，所述装置还可以包括提示模块，其配置为提示用户是否使用所述应用对应的原生应用安装包替代所述应用安装包。所述装置还可以包括通信模块，其配置为：响应于接收到用户的肯定确认，从云端服务器获取所述原生应用安装包。