Abstract Android applications (apps) are ubiquitous, operate in complex environment. Managing their risk at the early stage of software development can effectively reduce potential security flaws, testing and maintenance cost, thus becomes an important challenge in model-based development (MBD). This paper introduces a Permission-based Hybrid Risk Management framework for Android apps (PHRiMA), which is a novel guided framework to perform risk management on Android apps by evaluating the permission-based software design. This framework customizes the standard risk management process of ISO/IEC 27005 :2018 as a hybrid of the semi-formal modeling phase and the formal analysis phase. In the semi-formal phase, a Risk Analysis and Modeling (RAM) package based on UML/MARTE is proposed to construct risk context, which can not only describe the permission-based structures, behaviors (communications) and security policies in the Android apps, but also specify criteria for managing permission-induced risks on Android apps. Semi-formal risk context can generate a RAM-based Z specification (RAMZ) by model transformation in PHRiMA formal phase, including RAMZSystem formal model and RAMZManagement formal algorithm. According to the specified risk criteria, the RAMZManagement algorithm can conduct risk management activities on the RAMZSystem model and obtain a formal model with acceptable risk values. We realized a prototype of PHRiMA : Phrima and demonstrated its effectiveness by applying it in common permission-induced risk scenarios for Android apps.

中文翻译：

---

PHRiMA：基于权限的 Android 应用程序混合风险管理框架

摘要 Android 应用程序（apps）无处不在，在复杂的环境中运行。在软件开发的早期阶段管理他们的风险可以有效地减少潜在的安全漏洞、测试和维护成本，因此成为基于模型开发（MBD）的一个重要挑战。本文介绍了基于权限的 Android 应用程序混合风险管理框架 (PHRiMA)，这是一种新颖的引导式框架，通过评估基于权限的软件设计对 Android 应用程序执行风险管理。该框架将 ISO/IEC 27005 :2018 的标准风险管理流程定制为半正式建模阶段和正式分析阶段的混合体。在半正式阶段，提出了一个基于UML/MARTE的风险分析和建模（RAM）包来构建风险上下文，它不仅可以描述 Android 应用程序中基于权限的结构、行为（通信）和安全策略，还可以指定管理 Android 应用程序中权限引发的风险的标准。半正式风险上下文可以通过PHRiMA形式阶段的模型转换生成基于RAM的Z规范（RAMZ），包括RAMZSystem形式模型和RAMZManagement形式算法。根据指定的风险标准，RAMZManagement 算法可以对 RAMZSystem 模型进行风险管理活动，并获得具有可接受风险值的正式模型。我们实现了 PHRiMA 的原型：Phrima，并通过将其应用于 Android 应用程序的常见权限引发的风险场景来证明其有效性。还指定了管理 Android 应用程序上权限引起的风险的标准。半正式风险上下文可以通过PHRiMA形式阶段的模型转换生成基于RAM的Z规范（RAMZ），包括RAMZSystem形式模型和RAMZManagement形式算法。根据指定的风险标准，RAMZManagement 算法可以对 RAMZSystem 模型进行风险管理活动，并获得具有可接受风险值的正式模型。我们实现了 PHRiMA 的原型：Phrima，并通过将其应用于 Android 应用程序的常见权限引发的风险场景来证明其有效性。还指定了管理 Android 应用程序上权限引起的风险的标准。半正式风险上下文可以通过PHRiMA形式阶段的模型转换生成基于RAM的Z规范（RAMZ），包括RAMZSystem形式模型和RAMZManagement形式算法。根据指定的风险标准，RAMZManagement 算法可以对 RAMZSystem 模型进行风险管理活动，并获得具有可接受风险值的正式模型。我们实现了 PHRiMA 的原型：Phrima，并通过将其应用于 Android 应用程序的常见权限引发的风险场景来证明其有效性。包括 RAMZSystem 形式模型和 RAMZManagement 形式算法。根据指定的风险标准，RAMZManagement 算法可以对 RAMZSystem 模型进行风险管理活动，并获得具有可接受风险值的正式模型。我们实现了 PHRiMA 的原型：Phrima，并通过将其应用于 Android 应用程序的常见权限引发的风险场景来证明其有效性。包括 RAMZSystem 形式模型和 RAMZManagement 形式算法。根据指定的风险标准，RAMZManagement 算法可以对 RAMZSystem 模型进行风险管理活动，并获得具有可接受风险值的正式模型。我们实现了 PHRiMA 的原型：Phrima，并通过将其应用于 Android 应用程序的常见权限引发的风险场景来证明其有效性。