최소 단어 이상 선택하여야 합니다.
최대 10 단어까지만 선택 가능합니다.
다음과 같은 기능을 한번의 로그인으로 사용 할 수 있습니다.
NTIS 바로가기情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.22 no.5, 2012년, pp.1145 - 1157
김영동 (서울시립대학교 기계정보공학과) , 김익환 (서울시립대학교 기계정보공학과) , 김태현 (서울시립대학교 기계정보공학과)
Google Android employs a security model based on application permissions to control accesses to system resources and components of other applications from a potentially malicious program. But, this model has security vulnerabilities due to lack of user comprehension and excessive permission requests...
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
핵심어 | 질문 | 논문에서 추출한 답변 |
---|---|---|
안드로이드 플랫폼에서 제공하는 보안 정책에는 무엇이 있는가? | 안드로이드 플랫폼의 경우 리눅스 운영체제의 사용자/그룹 ID 기반의 접근 권한 제어, 자바 가상기계의 사용에 따른 샌드박싱, 안드로이드 고유의 권한 기반 보호 모델 등을 이용한 보안 정책을 제공하고 있으나,[4]에서 제시한 바와 같이 다양한 형태의 보안 취약성이 존재한다. 본 연구에서는 이들 중 안드로이드 보안 모델의 기본인 응용프로그램 권한(permission)과 응용프로그램을 구성하는 컴포넌트간 기본 통신수단인 인텐트 메커니즘과 관련된 개인정보 유출 시나리오와 이에 대한 대책을 일반 응용프로그램과 악성 응용프로그램들의 특성을 이용해 분석, 제시하고자 한다. | |
권한모델에 기반한 보안정책이 런타임에 과도한 권한 사용을 제한할 방법이 없는 이유는? | 권한모델에 기반한 보안정책은 안드로이드 보안의 핵심이지만 시스템 관점으로 볼 때 단순한 문자열일 뿐이며 결국은 전적으로 사용자의 선택에 보안을 맡기는 정책이다. 응용프로그램 설치시 사용자가 선택할 수 있는 항목은 요구된 권한 전부를 허용하거나 불허하는 all-or-nothing 방식이며, 일단 응용프로그램이 설치되고 나면 응용이 요구한 권한들이 삭제 전까지 계속 유지되므로 현재 구현에서는 런타임에 과도한 권한 사용을 제한할 방법이 없다. 특히 최근의 응용프로그램들은 다양한 기능 제공을 위해 상당히 많은 수의 권한을 요구하는 데 반해, 사용자들이 가지는 권한 남용에 따른 보안 취약성에 대한 인식 수준은 상당히 낮은 수준이다. | |
안드로이드 고유의 보안정책은 어떤 모델을 사용하는가? | 안드로이드 고유의 보안정책은 특정 응용프로그램이 시스템 내부의 데이터, 하드웨어 자원, 또는 다른 응용프로그램의 컴포넌트를 이용하려고 할 때 적절한 권한을 획득하여야만 이를 허용하도록 하는 개념인 “응용프로그램 권한 (permission)” 기반 모델을 사용한다. 권한은 특정한 문자열 형태로 정의되며, 시스템 차원에서 이미 정의되어 있거나 응용 개발자가 자신의 컴포넌트 보호를 위해 새롭게 정의한 권한으로 구분할 수 있다. |
IDC, "Worldwide Quarterly Mobile Phone Tracker." Aug. 8. 2012.
Juniper Networks, "2011 Mobile Threats Report," Feb. 2012.
AhnLab, "ASEC 2011년 12월 Report," 2011 년 12월.
한국인터넷진흥원, 안드로이드 기반 모바일 운영 체제 보안기능 분석, KISA-WP-2010-0011, 2010년 8월.
김익환, 김태현, "안드로이드 플랫폼에서 유연한 응용프로그램 권한관리 기법 설계 및 구현," 정보처리학회 논문지C, 18-C(3), pp. 151-156, 2011 년 6월.
Y. Zhou and X. Jiang, "Dissecting Android Malware: Characterization and Evolution," Proceeding of the 2012 IEEE Symposium on Security and Privacy, pp. 95-109, May. 2012.
B. Sarma, N. Li, C. Gates, R. Potharaju, and C. Nita-Rotaru, "Android permissions: a perspective combining risks and benefits," Proceeding of the 17th ACM symposium on Access Control Models and Technologies, pp. 13-22, Jun. 2012.
Y. Zhou, Z. Wang, W. Zhou, and X. Jiang, "Hey, You, Get off of My Market: Detecting Malicious Apps in Official and Alternative Android Markets," Proceedings of the 19th Annual Symposium on Network and Distributed System Security, Feb. 2012.
E. Chin, A. Felt, K. Greenwood, and D. Wagner, "Analyzing Inter-Application Communication in Android," Proceedings of the 9th international conference on Mobile systems, applications, and services, pp.239-252, Jun. 2011.
Contagio Malware Dump, "Take a sample, leave a sample. Mobile malware mini-dump - July 8 Update", Jul. 2011. [Online]: http://contagiodump.blogspot.kr/2011/ 03/take-sample-leave-sample-mobilemalware. html
A. P. Felt, E. Ha, S. Egelman, A. Haney, E. Chin, and D. Wagner, "Android Permissions: User Attention, Comprehension and Behavior," UCB/EECS- 2012-26, University of California at Berkeley. 2012.
Google Android Developers Official Site: Dev Gude, " ", [Online]: http://developer.android.com/guide/to pics/security/permissions.html
National Institute of Standards and Technology, "National Vulnerability Database, CVE-2011-4872", Feb. 2012. [Online]: http://web.nvd.nist.gov/view/vuln/det ail?vulnIdCVE-2011-4872
*원문 PDF 파일 및 링크정보가 존재하지 않을 경우 KISTI DDS 시스템에서 제공하는 원문복사서비스를 사용할 수 있습니다.
Free Access. 출판사/학술단체 등이 허락한 무료 공개 사이트를 통해 자유로운 이용이 가능한 논문
※ AI-Helper는 부적절한 답변을 할 수 있습니다.