Android平台下软件安全漏洞挖掘方法研究

被引：6

作者：

龚炳江

唐宇敬

机构：

[1] 河北工程大学信息与电气工程学院

来源：

计算机应用与软件 | 2014年 / 31卷 / 01期

关键词：

安全漏洞; Android; 权限; 静态分析; Fuzzing;

D O I：

暂无

中图分类号：

TP309 [安全保密];

学科分类号：

081201 ; 0839 ; 1402 ;

摘要：

为了减少Android系统用户的隐私数据泄露问题,提出一种针对Android应用程序源码的漏洞挖掘方法。该方法在Android漏洞库和权限方法集合的基础上,采用静态分析得到Android特有的权限漏洞矩阵代数式和漏洞点处测试用例,基于漏洞知识对测试用例变异得到半有效数据,利用污点注入和数据流分析进行Fuzzing挖掘。经过对400个Android应用程序源码进行实例分析,结果表明该方法不仅能挖掘常规漏洞,而且在Android特有的权限信息漏洞挖掘方面效果明显。利用约束分析得到的测试用例数量少,而通过漏洞知识得到的半有效数据的针对性强,并且代码覆盖率和精确度较高。

引用

页码：311 / 314+333 +333

页数：5

共 16 条

[1]

A look at smartphone permission models. Au K,Zhou B,Huang Z,et al. Proceedings of the 1st ACM Workshop on Security and Privacy in Smartphones and Mobile Devices . 2011

[2]

Using Static Analysis for AutomaticAssessment and Mitigation of Unwanted and Malicious Activities Within Android Applications. Leonid Batyuk,Markus Herpich,Seyit Ahmet Camtepe. Proceeding of the6th International Conference on Malicious and Unwanted Software . 2011

[3]

Android permissions demystified. Felt A P,Chin E,Hanna S,et al. ACM Conference onComputer and Communications Security . 2011

[4]

Static analysis of Android programs. Payet E,Spoto F. Automated Deduction-CADE-23 . 2011

[5]

基于模糊测试的软件安全漏洞发掘技术研究[D]. 黄奕.中国科学技术大学 2010

[6] 嵌入式软件功能路径测试用例自动生成研究 [J].