首页 | 本学科首页   官方微博 | 高级检索  
     

Android应用软件功能泄露漏洞挖掘工具的设计与实现
引用本文:方喆君,刘奇旭,张玉清. Android应用软件功能泄露漏洞挖掘工具的设计与实现[J]. 中国科学院大学学报, 2015, 32(1): 127-135. DOI: 10.7523/j.issn.2095-6134.2015.01.021
作者姓名:方喆君  刘奇旭  张玉清
作者单位:中国科学院大学 国家计算机网络入侵防范中心, 北京 101408
基金项目:国家自然科学基金(61272481,61303239)、北京市自然科学基金 (4122089)、国家发改委信息安全专项(高技[2012]1424)和中国科学院大学校长基金资助
摘    要:Android平台的功能泄露漏洞会导致权限提升和隐私泄露等严重危害,常被恶意软件用于绕过安全机制.针对这一问题,提出一个基于静态分析的功能泄露漏洞挖掘工具CLDroid.CLDroid使用逆向控制流的程序切片算法从源代码中提取程序逻辑,并利用可定制的安全规则库来检测违规行为.实验结果表明,CLDroid能有效挖掘Android源代码中的功能泄露漏洞,且具有较好的可扩展性.

关 键 词:功能泄露漏洞  静态分析  程序切片  Android安全  
收稿时间:2014-01-27
修稿时间:2014-03-25

Design and implementation of capability leak detection for Android applications
FANG Zhejun,LIU Qixu,ZHANG Yuqing. Design and implementation of capability leak detection for Android applications[J]. , 2015, 32(1): 127-135. DOI: 10.7523/j.issn.2095-6134.2015.01.021
Authors:FANG Zhejun  LIU Qixu  ZHANG Yuqing
Affiliation:National Computer Network Intrusion Protection Center, University of Chinese Academy of Science, Beijing 101408, China
Abstract:Capability leak vulnerability on Android platform may lead to permission elevation and privacy disclosure, and it is often exploited by malicious applications to bypass Android security mechanism. However, so far there is no approach aiming at Android capability leak detection on the source code level comprehensively. In this paper, we propose a novel approach named CLDroid, which uses backward program slicing to abstract application logic from the Java source code, detects pattern violations based on predefined security rules, and reports the violations as capability leak vulnerability. Results show that our approach is effective in detecting capability leak vulnerability and has better scalability.
Keywords:capability leak vulnerability   static analysis   program slicing   Android security
本文献已被 CNKI 等数据库收录!
点击此处可从《中国科学院大学学报》浏览原始摘要信息
点击此处可从《中国科学院大学学报》下载全文
设为首页 | 免责声明 | 关于勤云 | 加入收藏

Copyright©北京勤云科技发展有限公司  京ICP备09084417号