「AVSS研报」原生Android及鸿蒙黑灰产对抗能力初评-应用篇

从图中可以看出，HarmonyOS NEXT的各个维度指数均不比原生Android逊色，这主要是HarmonyOS NEXT强化后的安全机制的贡献。

图中相近的指数，不代表HarmonyOS NEXT和原生Android采用了相近的安全机制，而是指具有相近的整体效果。HarmonyOS NEXT在具体的测评项上并非全面碾压原生Android，仍有小瑕疵，但瑕不掩瑜，后文会从测评项中选取一些典型具体分析HarmonyOS NEXT的优势与不足。

HarmonyOS NEXT与原生Android相比的一个巨大差异就是其极为严格的应用安装管控。

原生Android的应用安装给了用户相当的自由度，允许用户安装未知来源的应用，而HarmonyOS NEXT则是不给一丝机会，在常规使用下（非开发者模式）不允许任何形式的应用侧载，即使是开发者模式也需要经过签名校验才可以安装。这意味着普通用户安装的应用仅能通过应用市场获取，结合应用市场严苛的审核制和实名制，能有效地杜绝此前原生Android上常见的套壳诈骗APP、高仿APP、重签名APP等问题。

除了渠道和签名条件严格以外，HarmonyOS NEXT还对应用的权限范围做了限制。

在HarmonyOS NEXT中，应用权限分为三个级别，依次是normal、system_basic、system_core，应用只可申请其对应级别的权限。部分system_basic权限可以通过应用市场ACL使能让normal级别的应用跨级申请，system_core权限则仅对系统应用开放。

在原生Android上有些黑灰产应用会欺骗用户授予其高危权限，但是在HarmonyOS NEXT上绝大多数应用只能使用normal级别的权限，少数拥有ACL使能权限的应用也都是经过应用市场审核的。HarmonyOS NEXT还对无图标应用实施了严格管控，隐藏应用图标也属于特权，普通应用无法获取，不像原生Android上默认配置是无图标。

HarmonyOS NEXT的运行时权限管控基于其Access Token机制实现，这是一个内核层面支持的基于token的访问控制方案。

此方案优势之一在于实现了更细颗粒度的权限控制，它首先将token type分成hap、native、shell等几个类别，分离了系统程序和APP的权限管理；其次同一个应用在不同的子用户下和不同的应用分身下会有不同的access token，token中包含了应用 ID、子用户 ID、应用分身索引、应用APL、授权状态等信息，有助于系统实现更为细致的鉴权。

在原生Android上最常见的黑灰产行为之一是隐秘保活，为此恶意开发者们费尽心机，双进程守护、前台Service、无障碍服务、1像素页面、拉活联盟等方案层出不穷。

在HarmonyOS NEXT上，有一个未在OpenHarmony开源的suspend manager负责APP运行状态的感知和调度，它会注册APP生命周期和一些系统事件的监听。当APP切换到后台10s后，会被suspend manager冻结，并撤销之前授予的临时权限，例如通过安全控件获取的临时定位权限；如果APP未注册长时任务就尝试在后台进行播放音频之类的操作，则会被suspend manager杀掉进程（如下图所示）。

此外，HarmonyOS NEXT只允许普通应用在前台状态下启动其它ability，也对一些长时服务做好了用户感知，且每个运行中的非特权ability都会在最近任务列表中显示，结合多手段共同治理隐秘保活行为。

在原生Android上另一个常见的黑灰产行为是BAL (Background Activity Launching)，经过数个大版本的改进才几近灭绝，HarmonyOS NEXT在诞生之初就对后台应用做了更严格的管控，它不像原生Android上有赦免策略，而是只要非特权APP的进程不处于前台状态，就无法成功startAbility。

HarmonyOS NEXT对应用权限动态申请也做了更严格的管控。

普通应用可以申请的normal级别权限分为system_grant和user_grant，后者不仅需要在安装包中申请权限，还需要在应用动态运行时通过发送弹窗的方式请求用户授权，部分较为敏感的权限也只允许用户在系统设置中主动授予而无法弹窗申请。在原生Android上有些应用在用户拒绝后仍会多次弹窗向用户申请权限，严重影响使用体验，而在HarmonyOS NEXT上应用只有一次申请机会，一旦被拒绝只能引导用户到系统设置中主动授予。

HarmonyOS NEXT的隐私权限划分颗粒度更细。

以定位权限为例，在HarmonyOS NEXT中共有三种权限：前台模糊位置权限（ohos.permission.APPROXIMATELY_LOCATION）、前台精确位置权限（ohos.permission.LOCATION）和后台定位权限（ohos.permission.LOCATION_IN_BACKGROUND），实际上通过位置安全控件获取的临时定位权限也可以另外算作一种。隐私权限的细颗粒度有助于隐私权限最小化原则的落实，让用户对申请过多权限的可疑应用保持警惕。

HarmonyOS NEXT在隐私权限的用户感知上和原生Android类似，APP每一次使用隐私权限都会被系统记录，用户可以在系统设置中查看隐私使用情况。在有应用进行拍摄或录音等操作时，系统UI的状态栏也会显示图标提醒用户，不过有一个值得改进的小不足：状态栏下拉后没有显示是哪个APP正在使用隐私权限。

HarmonyOS NEXT的WebView版本和补丁管理策略得当。

HarmonyOS NEXT的WebView基于一个较新的CEF(Chromium Embedded Framework)版本构建，及时引入安全补丁更新，但延迟引入功能性更新，这种策略比起滚动更新保持最新版本有更好的安全保障。

原生Android上有两个数据存储位置：一个是凭据加密存储空间，仅在用户解锁设备后可用；另一个是设备加密存储空间，在Direct Boot模式下和用户解锁设备后均可使用。

HarmonyOS NEXT上的对应功能是加密分区，其EL1和EL2加密等级分别对应以上两个存储空间，在此基础上HarmonyOS NEXT新增了两个加密等级EL3和EL4，主要区别是：EL3在锁屏状态下只能读写已打开文件或创建并写文件，EL4在锁屏状态下不可创建文件且只有FEB 2.0可读写已打开文件。HarmonyOS NEXT开发者可以根据不同场景的需求合理使用不同级别的加密分区，进一步保护应用数据的安全。

漏洞永远无法完全消除，不存在绝对安全的系统。‍‍

DARKNAVY研究过程中，基于DAF（DarkNavy Adversarial Framework ）对抗框架，也发现目前的HarmonyOS NEXT在其安全设计的实现上也依然存在一些瑕疵，并且可以基于这些缺陷依然可以实现一些黑灰产行为，例如无需任何权限且用户无感知的应用后台保活防杀方案、后台弹窗方案、设备唯一ID获取方案、安全控件点击欺骗方案等等，以下为若干实例：