鸿蒙生态应用安全技术白皮书V1.0.docx
04蒙应用生态的安全目标应用开发安全1)开发者主册和实名认证172)申请开发者正书183)申请应用Profile文件194)代码安全检查205)代码昆肴2106应用发布安全1)应用金测与审核232)应用密24253)应用签名应用运命周期安全1)基础安全架构模型292)基础安全防户313)应用权限管理334)隐控制设十355)用户身份试证386)应用数据保护397)应用运时安全检测448)应用佥子为管空459)应用决速参复4608展望Chapter 1刖百随着移互技术的速发展和电子设备的快速普及,各类应用程亭呈现爆发式增长应用序已渗透到人们工作、生各个方面应用序的安全问题也日益凸显。应用程序由开发者是供,经过多种途经分发到用户手中。开发者用有技术知和资原能多创建应用序,而用户则依赖于这些应用程序来满已的需求,同时,用户对应用程序的内部运行和数据处理方式了解有限导致也们在使时程中容易受到应用为不受控、用户隐泄露等题的困扰。这种信息不对称导致应用开发者与用户之间字在着不平衡关系生态构建者作为连接应用开发者与用户的纽带,在其中起联重要作用生态构建者是指参与构建整个移力应用态系的实体,包括设备厂商、操作系和应用商店等他们为开发者是供开发环竟、工具套件和市场渠道同时也负费户和改进态系的稳定性和安全性。生态构建者对于移力应用的成功和推广起着联要作用同时生态构建者还致力于推动用户教育,增强用户的数字素养和自我保护意识使其能侈更好地管已的数据和隐私本白支书从行业应用安全的典型问题分析入手,给出应用生态构建的安全目标,进一步详细个绍了蒙生态在应用全生命周期不同阶段的安全设十我们致力于建立一个健康、可持续发展的幼应用态系统把数字世界带入每个人、每个家庭、每个组只构建万物互聪智能世界Chapter 2蒙应用安全模型围绕着各式各样的应用序,用户、应用开发器性态梅"三个角色共同组成了f应用态系充在这个系充中,三个角相互依存、相互影响。安全,是这个生态系的一个要属性,因为一旦其中任何一个角色出现安全问题者可能会对整个生态系充战严重的影响。生态构建者下载、安装、使用用户介纯净体验一个安全、干净的立用生态系统需要以下三个角色共同努力才能城:开发应用程序开发者制定规范 提供工具生态平台技术支持资源整合用户在应用态系充中是最终吏用者,也是最要酌色,用户的求和反馈是应用开发者禾性态构建者进产品选弋和优化的重要衣据。用户的本验和满意度直接影响着应用程序的市场表和生态系健康发展。与此同时,用户在使用应用序时,也有获取良好纯净体验保护个人的基本安全需求。应用开发者是应用态系充中的亥心角色,他们过开发应用星序来满用户的需求,通过不断地优化和改进把的产品,以证户求和市场变化。同时,他们也需要呆其应用序不会对用户造成任何安全威胁这包括确呆应用序没有漏同没有植入恶意代码并且能多及时更新以修复任何安全漏同生态构建者是应用态系充中的织者和推动者。他们通建注态平台、提供技术支持和资整合等方式,为应用开发者和用户提供更好的服务和体验同时,他们需要确呆整个生态系的安全性,只有保障了安全,才能户和应用开发都心地使用和开发应用断。首先,生态构建者雯考想户的安全求。用户的安全需求包括个人信息的呆护、支付安全、网各安全等生态构建者要在平台构建相应的安全机制,如加密技术、身份验正等开放给立用程序使用以保护用户的安全与隐私。其次,生态构建者还要考想应用开发者的安全需求。应用开发者要保护自已的职产权、代码安全等生态构建者要为应用开发者是供相应的安全保障如应用加密、代码签名等以保护应用开发者的权益最后,生态构建者还需要考想整个生态系的安全。生态系充中的每个应用序者可能会影响整个生态系安全。生态构建者雯对应用进子安全审查,确呆应用序没有安全漏同和恶意行为,不会对整个生态系充成安全威胁当生态构建者不作为,或少作为时,就会产生一系的立用安全问题下面我们列举了一些典型的问题并给出生态构建者面临的挑战。Chapter 3 应用安全面临的问题与挑战1)诱导用户下载安装恶意应用-2)窃取用户数据-3)强制推送广告4)利用属政击其他应用用亭5)盗牛从PC普及的时代,就开始存在病毒应用乏滥的问题至今无法根除PC用户在日常使用时程中,常常因为下一件或站导致用户计机感染病毒应用攻击者一般通过病毒应用破不计算机系用性,配合其他社会工程学手段,达到获取利益最终军的移力设备作为用户可携带的个人设备,用户每天使用时间更长,操作更频繁也存储了更多的个人敏感信息,自然成为攻击者的目标。恶意应用一般在用户不知青的青况下安装在用户设备上,并在后台运执行恶意行为。这些恶意行为可能包括窃取用户的个人信息、监户的舌动、强制推送广告等下面我们对典型的立用作恶方式进分析: 1)诱导用户下奉安装恶意应用为了给后恶意行为做铺垫,攻击者要普先确呆恶意应用的大量安装。因此,攻击者会想方设去将其开发的恶意应用分发到用户的设备上。一般情况下,开发者可以通过官方应用分发平台,如苹果的AppStore,谷歌的GooglePlay,华为的立用市场进子应用分发。官方的立用分发平台作为应用程触户的第一道关卡,其运者在应用序上架时应做好审核管理工作。然而当系为的应用下载安装不限制在官方的应用分发平台时,则给了攻击者乘之机。攻击者会通过各种手段,如虚假广告、社交媒体、恶意妾等,诱导用户下载并安装应用这些应用监管,应用质量参差不齐,分发到用户设备上,会过进一步的恶意行为来影响用户。如何做好应用员监管,控制应用分发渠道遇免恶意应用分发到用户设备上,是生态构建者临的第一个挑战。 2)窃取用户数据用户数据是企业和组织的重要信息来源,可以用于市场营销客户服务、产品开发等方面攻击者可以通取用户数据来获得经剂益例如出售给黑市上的数据买家、进身份盗窃进行网络馆等攻击者可以利用用户数据进勒索例如勒索企业或个人支付赎金以避免数据泄露攻击者还可以收集户历史、位置言息、通碌等数据,然后将这些数据出售给广告商。为了窃取用户数据,攻击者开发的恶意应用在安装或运时,求用户授予不必要权限例如访可系人、短信、相机、麦克风等,以便攻击者可以问户的个人信息。对于大多数应用序,在某些场景下寻用户数据有其必要生。生态构建者不能茸接拒绝应用程序获得这些数据,但也不应该把是否提供数据的选译权,完全交给用户。开发者和用户之间天然的言息不对称开发者拥有更多的支术知和经佥而普通用户则相对缺乏安全谈和经金攻击者作为一类持殊的开发者,会利用这种信息不对称欺骗户扩大授权范围。如何提供安全的数据授权机制,退免用户过度授权造成的安全威胁;是生态构建者面临的第二个打娥。 3)强制推送广告后广告收入是恶意应用序的主要收入来源恶意应用提供部分功能得用户的吏用然后过提供广告媒介来实现剩。恶意应用不会过强制用户观广告、弹出广告窗口、在应用中插入广告等方式来获取广告收入,包括虚段的机会、虚段的商品宣传等不仅会影响用户的本验,还会对用户造成经赖失。为了达到强制推送广告的的恶意应用首先利用提供的一些拉活呆机制提升自己的时间在存活态下则利用系后台弹窗统机制来强制推送广告给户,并且通过为造关闭建复写返回键方式,避免用户关闭广告。这嗯意的广告推送动,同时损害了多方利益既影响用户正常使用备和应用又让用护对广告主产生抵角青绪保活立活系充通后台弹窗等,是提供的力能生态构建者开放这些功能拉用使用初衷,是为了让开发者可以给用户提供更好的用户体验然而这些功能惩意应用吏用后,反而合用户造或了很多困扰。应该合应用程筝开放什么系力能以及对于需要干放的系力能如何做到不被惩意利用,是生态构建者面临的第三个拟破。 4)利用属同攻击其他应用程亭考患SJ软牛生态的复杂性、相互依赖生和外部威胁;在现实世界中,软帽取脚到完全没有漏同软牛生态中各种应用序、操作系统库文件、框架和其他软牛组牛,均由不同的开发团设十开发和维护,涉及数百万行甚更多的弋码即使软牛交付过程中过严格的赋和审查,仍然可能存在未被察觉的同在应用程序的开发过程中,人为错吴设临摊和避量错吴轲题都可能导致替在的漏同字在。攻击者出于自身剩益考虑,会不断寻找软牛弱点一旦攻击者我到漏同就会进步利用属同通过制造爱中区溢出、注入恶意代碎鲂式,改变应用程序原本行为,控制腥序作恶避败击者的目的从用户角度,一旦发现应用程序中存在恶意为,从现象上只能导出应用程序作恶的结论无从知晓恶意行为是出于应用程序本意,还是由于应用序被女击。这些攻击既损害用户利益又让应用开发者的言誉受损。如何帮助应用程最小程变地受到漏同影响,是生态构建者面临的第四个挑战 5)盗软牛盗件横行是一个广泛长期存在的问题。随着技术的发展和互联的普及,盗件已经成为了全球围内的种威胁免费取付费姓的诱惑以及经剩益躯吏,使得盗牛的大量传播和使用盗件主要是通过仿冒应用程序或重新打包应用序产生的盗件带来了诸多负面影响。首先,它侵犯了软牛开发者族职产权,剥夺了他们应有的利益和回报。这不仅会降低软牛开发者解极性和创造力,也可制了软牛行业的发展和创新。其次,盗件有潜在的安全风险盗件通常通过篡收或注入恶意代码给用户设备和个人信息带来潜在的威胁用户下载和使用文些软牛时很难导知其中是否恶意程序,从而对个人隐和信息安全构成严重威胁最后,盗件也不利于合法软牛市场的建康发展。免费签姓降低了用户对正版软件的需求,使得合法软牛市场受到冲击。这不仅影响了软牛开发者和厂商的利益也限制了软牛行业的繁创新。要切底解决盗次牛问题一方面需要政府加强产权保护力度,完善相关法律法规加大对盗件的打击力度,另一方面,也需要姓开发者和厂商加强技术保护手段,提高软牛安全性和户能力。如何为应用程筝提供有效的核心数字产权保护手段,避免出现盗件问题,是生态构建者面幽J第五个拟裁。Chapter4蒙应用态的安全目示保护开发者和用户利益的司时维户整体系的安全性,对生态构建者是至关要的以开发者为中心,构建端到端立用安全能力,保护应用身安全、运时安全,保障开发者权益是应用态构建的亥心目标。开发发布运行1 保护应用程序防止盗版和侵权2 )避免应用过度申索权限引发滥用3 )合理使用系统功能防止恶意滥用4 即使系统存在漏洞也不会被利用5 )避免病毒和恶意软件被用户安装应用命周期主要分为开发、发布和运三个阶段。生态构建者为应对上述安全挑战,需要在应用命周期的三个阶段分别给出解决方案。为达到上目标,在应用开发阶段,我们要角呆开发者身份的合法性,为开发者是供安全的开发工具,帮助开发者是高应用程亭的安全性在应用上架发布阶段,我们应确呆应用贡O应用程序应该满足权限最小化,数据使用公开透用,无不良内容,无恶意行为等基本要求。同时也要呆证开发者的立用用序安全可用不被慕收,开发者的明产权受到保护。在应用段,我们首先确呆应用运于境安全,同时也要保应用行为可知可控。对有恶意行为的应用要建立分级管空措施,根据应用为的严垂踱,按要求对应用权限或能力、应用安装包、应用开发者等采用不同粒度的管空方式。三i=(应用市场)审核和检测开发者、应用合法性安全隐私漏洞检测应用行为检测(事)应用加密代码签名下架违规应用下架吊销开发者证书-(开发工具)开发开发者实名认证安全编码编译安全调试模式代码混淆安全检测上架发布ProfiIe申请 开发者证书签名(操作系统)(安装来源管控企业应用运行应用沙箱隔离隐私权限保护安全控件/picker应用风险行为管控! 更新 禁止未经检测的热更新如上图所示,我们在应用全生命周期的不同阶段,分别提供不同的关键支术和措施,来解决生态构建的重大挑战问题下文将对这些技术和措施分别展开介绍Chapter5应用干发安全- 1)开发者主册和实名认正- 2)申青开发者正书- 3)申青立用Profile文件- 4)代酸全检查- 5)代码昆着应用开发安全是指在开发过程中嵌入安全能力,使应用序从源头上安全可靠开发者是应用程序的创作者,合法的开发者是创作出安全、可靠应用的前提条件;为了保证应用干发者身份真实可信,我们通过开发者正书对应用进益名,保证应用来源可靠和完整性不被破不;过签发应用ProfiIe,保证HarmonyOS对应用关键属性和敏感能力进亍有效管空;应用开发安全构建过程中,一方面需要呆雌态中的应用不作恶,另一方面是为了增强应用的安全性,退免应用女击,生态构建过程中过代码安全检查减少安全漏同通过代码昆馨吉合应用发布阶段的应用代码口密,可以显著曾加应用披的镀,从而保证应用自身代码安全,保护开发都职产权。本章点生态是在应用开发安全环构建的安全能力。1)开发者注册和实名认正在开发蒙立用之前,开发者首先需要在HarmonyOS应用开发官网完成注册并进实名认证认证通过后,官网为开发者分干发者ID,用于后续精应用开发所需的开发者证书和应置文件,开发者开发的所有蒙应用都会关联到对应的开发者ID,可以有效地对应用并追朔蒙应用上架到蒙应用市场分发前,应用市场会对应用进于严格地审核,确呆蒙应用的安全和质量一旦在审核时发现应用不满应用市场上架标准,会及时通应用开发者对应用进整改或优化。综上,过开发者主册和实名认证我们可以确呆蒙应用的来是可信的2)申请开发者正书包应用开发者在拥有开发者ID后,可以申青开发者正书,用于后续对其开发的蒙应用进名。鸿蒙应用签名是蒙应用必须包含的内容,用于校验应用的完整性和来源河靠只有签名校验耐才能在应用市场发布,以及在HarmonyOS上安装。鸿蒙应用的开发者正书遵从X.509公钥正标准,证书中包含开发者公钥以及用于校验的正书等言息;在应用上架和安装时,都会基于IlarmonyOS信任根证书对蒙应用的开发者正书进行校验校验成功后再使用开发者证书中的开发者公钥交验鳞应用安装包的完整性。开发者证书中的开发者公钥由开发者生成并提交给HarmonyOS应用开发官网;开发者公钥对应的由开发者保管,开发者要确呆和钥的安全,严格管睡胡的前权限避免私钥世露损坏等情况出现蒙应用开发者证书分为两类调式正书和发布证书,分别用于蒙应用调动段和上架发布阶段(开发者正书申请流星视官网)o调式正书:调式正书仅允许对调式应用签名,不能于其他目的为了平衡安全性和开发效率使用周武证书签名的周式应用可以不经上架检测直接运行在IIarmonyOS设备上,限制条件是:调应用只允许运行在指定的备上(该路的殳备ID需要与应用周式FrOfiIe中的设备ID匹配),以限制其运设备的范围。发布证书:发布证书用于正式!深应用的签名。只有使用发布证书签名的立用才允许上架应用市场。使用发布证书签发的应用不对运设备的ID进限制,但必须经过应用市场检测±架后,才能分发到用户的设备上。应用市场会对经过检测的上架应用进行应用市场重签名。综上,蒙应用都是经过开发者正书签名的应用在应用上架和安装时会对应用签名进行虽制校验确呆安装在HarmonyOS设备上的立用安装包都是未数和来河信的并且可以通开发者正书关联到经实名认的开发者。3)申请应用Profile文件(HarmonyAPPProViSiOn)开发者进行实名认取开发者TD,以及申请开发者证书之后,还要申请寺开发应用的Profiie授权文件。应用Profile授权文件是应用的份证明文件,用于HarmonyOS对应用进识别和管理该文件中包含应用的关键言息,包括应用的饱名、应用受限权限(仅少数场景才串请、应用的开发者ID、应用的开发者证书等应用Profile授权文件要在开发者肆请并审核后签发,该文件使用ECC密钥签名,签名符合PKCS#7标准。应用PrOfiIe授权文件是应用必不可少的组成部分,被打包到应用安装包中,在应用上架审核和安装时进行校验应用PrOfiIe授权文件按照用分为调式Profile和发布Profile(应用发布Profile申请流程见官网)。应用调式Profile,仅用于应用周式场景,不能用于应用上架。开发者使用开发者调式和应用调式Profile本地签署周式立用调立用可以直接运行在开发者本地设备上,无需对上架审核。由于未经上架审核的啦用量是未知的因此为了保护用户权益HarmOnyOS强制要求调式ProfiIe中必须包含本地设备ID列表和授权权限列表调垃用只能在列表中的设备上,每个调式ProfiIe包含的设备ID有最大数量B蒯。除了对设备B蒯,少数场景需要申请的受限权限细读写系人),也需要在应用Profile中申请应用发布Profile,用于正式应用发布上架到应用市场,不能用于应用的本地调试开发者吏用开发者发布证书和应用发布Profi1e签应用后,提交到应用市场,应用市场会审核应用整体安全性和授权权使用合理生,过上架审核后才允许上架应用市场。开发者要队真审视应用市场上架审核规芭遐免由于审核不通过母致的应用程序重复开发。4)代码安全检查国蒙生态服务于开发者,帮助开发者开发高员量应用有效提高弋量,减少代码中的替在安全风险在DevEcoStudio中集或检力,可以帮助开发人员及时发现代码中的问题退免在后期发现题也可以提高代码的可维户性和可读生。DevEcoStudio提供了codeIinter功能,对代码的规苞生检测同时也会重点对代码的安全性做检查,包括静态代码分析,二进制安全分析等静态代码分析可以在开发过程中发现题开发者可根据扫描结果中告警是示手工修复代码焰(详见代码金查规则表)。开发者完成编鞠建后,可通过DevEcoStUdiO安全检测雷件对二进制进行安全检查,重点检测应用攻击面管空不足、权限或证书置不当等可能会导致的安全风险建议开发者在发布应用之前完成相关安全检查动作,并基于风鲜估进行修改,其中主要安全风险吸漏同一源于攻击面分析(详现应用安全管里)。5)代码昆肴移力应用的代码安全非常重要为了保护应用开发者的代码避免应用披恶意逆句分析,提高收击者分析代码的度,DevEcoStudio中默提供了代码昆能力,混后的JS、TS、ArkTS代码不容易被狗后读董,混力能支持对名称进行混肴包括对类方法等做混理代码昆着方案是基于源马肴将源为抽象语去树(AST),在AST上进行作用或分析和符号分析,混肴称和属性,穆除开发期间的日志打印代码合并语句,压缩弋码本积生成sourcemap文件用于编圣昆着应用的周式生成namecache文件用于热更新修复,在保证运时性能无变化的前提下,有效保护蒙开发者核心知只产权免受恶意逆句分析。Chapter6应用发布安全- 1)应用检测与审核- 2)应用加密- 3)应用路为了确呆进入蒙生态中的应用是安全可靠的在应用上架发布阶段,我们首先对应用进检测与审核,确呆应用程序满足权限最小化,数据使用公开透用,无不良内容,无恶意行为等基本要求,同时我们也提供了应用加密、应用签名等功能保护开发者应用序完整性和机密性,保护开发者职产权。 1)应用与审核为了确保生态中的应用是纯争、安全、合规的,在应用上架前,会基于行业监管要求应用市场安全腰求、应用是供的安全隐声明,通静态检测动态检测、人工检测的多重佥测手段,对应用进行全面检测包括不限于权限金测应用为检测病毒检测隐和检测等,对于不合规的应用开发者要完成合规整改,具体求现应用市场审核指南。权限蠡IJ应用权限金测是指过技术手段分析应用所申请剧表的合理生和必要生,同时权限检测会评古应用程序是否存在过度请求权限滥用权限频繁权限影响用户正常使用的行为,通过权限金测可以让开发者发现权限问题保护用户的个人信息。应用为检侧应用为检测主要是一种用于发现恶意为的安全技术,a¾测应用程亭的接口调用文件访等行为来识别不良牛或应用程序。为了给用户提供安全可靠使用魔,应用不得含有试图滥或不当使用王何风络系机制、系力能系充同以及干扰其他应用或影响终备功惩意行为,影响用户的正常操作和体验包含但不限于借助系机制进行恶意保活立活恶意弹窗屏、异常后台行为、恶意隐置等为。隐检则陈脸测是指在应用上架前,检测应用程序在运行中,是否收集了过多的个人信息。例如,某些社交媒体应用序可能会要求使用者是供太多的个人信息,能会导致吏用的个人信息泄露应用不应该出现败集个人信息、超围收集个人信息、违规吏用个人信息等隐合规颗恶意应用检则应用及其内置且牛不得含有病毒、木马包括但不限于过可疑弋码文件及程序等形式对系充成危害影响或侵害用户权益蒙态将与业界安全厂商进行合作,对应用中的可疑代码段、文件或者三方库,与业界安全厂商的病毒库进行对比,检查应用序是否包含病毒风险。 2)应用加密为了保护应用弋码安全,保护开发者的核心资产,HaimonyOS提供了端到端的应用弋码呆护机制,该机制以系全为基础构建内核级应用出命周期内的弋码安全保护能力。开发者应用市场安装(磁盘)运行(内核)运行(内存)应用程序应用程序匚敢 加密“应用程序应用程序应用程序密文(解:)明文开发者向应用市场提交上架申请再经过应用市场审核后,应用市场会对上架应用故代码喀,应用在设备上安装时,安装文件落后仍是处于加密状态,有效的呆护应用序;当应用事启动时,通女核加载的立用文件是加密状态,因此这些文件会在内核中按页解密,然后提取文件明文在内存中执行应用加密采用标准AES加密算去,解密后的明文只存在于内存中,不会存储到设备,形成端到加密方案,有效的呆障立用序的安全性。 3)应用签名应用包签名开发者使用发布证书和发布Profile对应用安装包签名后,上架应用市场。应用市场会对上架应用进上架检测和质量审核,对于满足上架要求的应用应用市场会对应用安装包进重名;只有重名的上架应用才允许在设备上安装UarmonyOS对所有安装的应隔要进名校验,确呆应用来测信和应用完整性;应用安装包签名校验发生在应用安装时,如果签名校验失败,则禁上应用安装HarmonyOS使用根CA对应用安装包进益名校验应用安装包的签名证书者要从根CA开始采用正书链的方式签署对于调式立用的安装HarmonyOS在校验安装包签名基础上,还要严格匹应用周试Profile中的备ID与当前设备ID的匹配如果不匹的禁上安装对于发布应用的安装HarmonyOS仅允诈对应用市场审核通后,由应用市场重签名过安装包进子安装应用弋码签名应用包签名可以为应用是供分发和安装时的合法性校验和完整性保护,但是恶意软牛常在应用安装舌,滥私有的梗新机制,在运行时下载恶意代码从而过应用市场的安全审查。为维户蒙应用出态的纯争与用户体验HarmonyOS引入强制代签名机制,提供加载时和运时的弋码合法性检查以及完整性保护,确呆端则执行的弋码来靠未经审核的弋码无法执行开发者上架的应用在通过应用市场的安全合规审核后,由应用市场签名,企业应用和开发者调式立用则使用毕为颁发的正书做代码签名。InnonyOS系充实施强制代签名检测在应用弋码加载前,强制检查其签名合法性,防上应用丸行未经审核、包含恶意行为的代码在应用弋码丸行前,按页故哈希校验,验琪内容的完整性,确呆代码在存储时未被慕败;在代码运过程中,提供基于污点标记机制,防上代码在运时被算收。为尽量晚恶意代码的安全威胁;实现生态的安全与纯争,达到提高用户体验的目的树蒙应用的方舟字节码和二进制机器码是出以下安全原则:1)禁上应用丸行未包含合法签名的代码,包括但不仅限于应用本身补丁、插件以及共享库的代码2)禁上应用修改已签名的弋码内容,实现与提交给应用市场宣传不一致的功能特性;3)禁上应用过代码签名的管空。在维寺上述安全原则的青况下,为满足应用对动态代码更新的,HarmonyOS提供安全的受限运于竟,允许应用在其中执行未签名代码受限丸行境通过离未签名代码并限制其系功,确呆未签名代码在安全管空之内,不会对系或威胁对于应用驿执行的弋码禁上用于绕过应用市场审核,实现与宣传不一致的力能持生,改变应用的主要用金Chapter7应用云社命周期安全- 1)基础安全架构模型- 2)基础安全防户- 3)应用权限管控- 4)隔控制设十- 5)用户身分认证- 6)应用数据保护- 7)应用运时安全检测- 8)应险为管空- 9)应用决速参复应用运命周期安全,包括在应用安装启动、运以及更新阶段提供安全解决方案,保障立用的安全性和可靠生。HanrwyCS在提供基础安全机M保护应用运子安全的司时,还通过系充安全能力为应用是供用户数据保护的安全手段。在保护用户隐上,HarmonyOS除了提供基于权限空的僚保护机制外,更推荐开发者使用Picker,安全控件等权限时度管空手段,从根本上解决权B尴用的问题同时,我们也构建了风险行为感知与管空功能具备快速别对系动能或用户体验有严重影响的恶意行为的能力,HarmonyOS会适寸主动限制或撤销恶意应用关功能1)翦出安全架构模型HarmonyOS构建基于洋慈冀型的分级安全机制,是构建运社命周期安全的基础HarmonyOS将应用分为三个APL(AbilityPrivilegeLevel):normal,systembasic和systemcore应用各自运了在独的沙盒化环竟中,默人仅允许的文件,如需方问其他应用或者的信息,则需要时权限来实现不同APL等及可申权限围也不一样,对应规则可以总结为如下表各:APL等级说明systemcore该级的应用提供操作系统亥心能力。这类应用可申请的权限涉及到开放操作系统亥心资原的可操作,鉴于该类型权限对系统的影响程度非常大,目前只向系服务开放。systembasic该级的应用提供系基础服务。这类粒用可申请的权限涉及允许问操作系统基础服务相关的资原normal普通系统应用和所有三方应用这类粒用可申请权限对用户隐以及其他应用带来的区很小权限管控是HarmonyOS提供的众多安全机制中的一个例子。作为生态构建者,HarmonyOS提供了应用出命周期端到端的安全解决方案,为开发者是供放心的立用开发和运竟,为用户提供安全的立用和设备使用本验同时,我们也实施了一系列的监管措施,以确呆最大程度地减少恶意应用对立用态的威胁2)基安全防户应用序的基础安全防户是确呆系充安全、稳定、以及用户数据安全的重要元素应用程序给用户带来了巨大的便利,其设十和实现的正确合理至关重要否则可能皮不系的完整、稳定,甚至影响用户数据的安全。HarmonyOS为应用降供了多层次的安全防户机制,来确呆其不被恶意软牛所篡攻和窃取信息。上述呆护机制确呆应用程亭访问用户数据的过程是安全可控的在上述安全机制的加持下,用户可放心地使用应用序,而无需旦心恶意软牛、非受权的数据访可问题沙盒隔药词控制HaimonyOS上运的应用程序均在受保护的少盒中,通过少盒的安全隔离限制应用程序间互相非去访问数据,甚至改设备。每一个应用程亭拥有唯一的ID,并基于此ID进彳亍'可的只别与B既应用少盒限定了只有目标受众才能向应用内的数据,同时也限定了应用只能受数据范围,包括: 硼程翔装录。 应用沙盒的数据目录。 应用沙盒的分布式数据目录。该目录下存放的文件能够被超级冬内其他设备上的同应用问应用需保证放置在该目录下的子目录和文件与其他设备上存储的不冲突。为确呆应数据安全,应用有数据不应设置为可供所有人问如需将文件数据提供给其他应用,可选圣应用间文件分享。通常情况下应用无法问用户公共文件数据,如需访可可申请访可用户公共存储空间的权限。HarmonyOS根据应用的APL等级设置进程或和数据域标签并过强制词空制机制限制应用可访问数据范围,从而在机制上消咸应用数据泄露饭险漏同疗利用漏同是威肋系充和应用安全的亥心要素。为解同对应用安全的威胁;HarmonyOs构建了应用全生命周期的漏同治理本系。在应用亭开发阶段,开发者可利用DeVECoStUdiO提供的代码安全检测工具,识别、发现并修复代码中存在的漏同如整数溢出检测数组检查、使用已释放内存等典型的弋码属同O在运预假,HarmonyOS提供了程序运行时抑制漏利用并消咸漏同利用危害的安全加固机制,可有效保护应用序和用户数据。主要有如下安全机制:栈保护。栈溢出是经典的女击方法,攻击者基于栈溢出漏同可去持程序控制流进联现击目的利用找线生溢出的特征,栈保护机制通过在栈特定位置雷人canary保护字,防上栈溢出时非去覆盖函数返回地址,从而逸应用率控制流皮法ASLR(地址空间机化)主要树内存破不漏同可确保应用程序的内存区域在启动时被机化,包括堆、栈、共享库等,增加攻击者观收击目标的度。如时rctumtoIibC这数击技巧,随机化可大幅增加攻击者定位库函数地址的镀。 DEP(数据不可执行)。同时具备可写可执行特性的内存是攻击者执行恶意代码的最佳条件,利用婀的XN(不可执得等性,可将内存页标注为不可执行属性,从而挽攻击者在应用程序中直接注入恶意代码值得注意的是,HarmOnyoS原则上仅在几个安全受控的扬景可同时赋予内存写和执行权限 CFI(控制流完整性保护)。为应对攻击者常用的JOPZRoP等改击方法,HarmOnyOS同时为应用程序提供了前向和后向CF佛户技术,用于潮亢攻击都佣内存错吴横I姬用程亭的函数返回地址和函数三古CF支术可在攻击路圣的关键节点进行有效拦截,起到极佳的施数果。3)应用权限誉空HaimonyOS以洋慈莫型为基础提供了一种允许应用问系原(例如,通碌等和使用系物(例如,访可摄像头、麦克风等)的用权限问方式。为了防上应用过度索取和滥甲权限,HannonjOS基于应用的APL等及酉置不同的权限开放范围。不同缴IJ的权瞰寸应用开放范围不同。例如,nond权需甜所有应用开放,但如果三方应用要使用SyStem_basic权限和SyStem_core权限则必须时向应用市场申请HarmonyAppProvision授权证书的方式,来申请吏用这类叙限合理使用景有助于应用权限丰请和使用开发应用时权限丰要却下要求:应用(包括应用用的三方库)所需又限必须在应用晒置文件中严格按照又限开发指导逐个声明。 权限丰请最小化原则,禁上申请不必要的已废弃的权限应用请过多权限会引用户对应用安全性的旦忧以及使用本验变差,从而也会影响到应用的安装率和留存率。 应用申敢感权限时,必须真写权限吏用黜字段,敏感权限是指用户隐私密切相关的权限包括地理立置相机、麦克风日历、健身运动、身本传感器、音乐、文件、图片等权限 应用敏感权限须主对应业务功能丸行前动态申请满最小化要求 用户拒绝受予某个权限后,应用与此权限无关的其他业务功能应能正常使用应用运时HarmonyOSTokenlD(Tokenidentity)来唯一标识应用TokenID作为通的应用示识符,独立于任意一个内核的应用示识符,有助于构建跨内核异构的生态。权限管理段务通过应用的TokenID来管理立用的AT(AccessToken)信息,包括应用身分标识APPID、子用户ID、应用分身I信息、应用APL(AbilityPrivilegeLevel)、应用权限受权状态等信息。在资原吏用时通过TokenID作为唯一身份标识央射获取对应程序的权限受权状态信息,并依此进褴权,管空程序的资原河为。4)隐控制设计叵隐设嫄则蒙态始终将用户敬在首位。隐是用户的基本权利,安全是产品的基本属性。基于这中理念,隐设计基本原贝I庖括: 数据最小化:坚持仅采集实现业务功所必须的个人数据,以服务于应用需求。 透月可控:当采集个人数据时,清析、明确也告知用户,并确呆用户知i鲜楣被如何使用以及如何退出。 身分保护:使用增强技术,在数据离干用户的备时,隐户的身份 数据本地化:坚持尽可能在用户的备上完成个人数据的处理和分析 数据安全保障坚实的数据安全是隐保护的基础,围绕硬牛、OS、应用及服务持勾建数据安全能力。降叔限HarmonyOS提供透可控机制帮助用户对应用的向行为可可控,这些机制贯穿轩应用整个运期间包括敏感数据或者能被前前、被问中和被前后各个阶段。 隐叔限受权(访可前):应用加敏感数据或者前需要请目应的又限当应用权限时,开发者必须真写权限吏用字段,以便帮助用户珊位用申请此权限的合理生并作出正确的选圣; 隐指示器(访可中):敏感数据或能力(例如,麦克风)被应用寺续问时,过状态栏显示实时提醒种,便于用户感知应用前行为; 权限吏用录(访可后):HarmonyOS支持用户查看应用向敏感数据或者能力的历史记录,便于用户完整地审视应用为。当某个应用长时间未被用户使用或者应用字在风险行为时,HannonyOS将对该应用权限进行自动回收,保护用户隐私除了通权限方式访可/数据或者能,HariiionyOS还是供无权限的问方式,包括安全控件和PiCker机制。安件叔限簪盟要用户手动授权,这对于一些普通用户来说可七较困难另外,应用程序对某些敏感信息使用能在不同的吏用汤景,用户使用应用过程中,隐含着对于权限的授予意愿,安全控件是系充提供的一组系实现的ArkUl基础组牛。应以自成该类组牛,当组牛被用户点击后,应用将被授予临时授权,无需句用户弹窗受权就可访可受限资源实现时识别用户主动行为自动授权的计思路整体方案由安全控件UI组牛、安全控件管理及务、安全控件增强组成: Ul组牛实现了固定文字图标的羊式便于用户识别,同时提供了相对丰富的定制化能力便于开发者定制。控件管理限务提供控件注册管蹦物、控件临时授权机制、管理受权生效周期,确呆应用后台、锁屏下无法注册吏用安全控件。安全增强部分实现了包括地址随机化、挑战值检查、回调UI框架复核控件信息、地址检查、组覆盖真实点击事件校等机制,防上应用开发者过混淆隐戴篡收、仿冒等方式滥甲授权机制,泄露用户隐私PickerPiCker是系充提供的一组系实现数据选圣接口,不同于安全控件,开发者不需要集成PiCker到应用中。应用可以直妾调用统PiCker接口。借助系统Picker,应用无需丰请权限就可以权限允许范围内的访致感数据。应用通时拉起系充Picker界面允许用户在