共查询到18条相似文献,搜索用时 218 毫秒
1.
《微型机与应用》2019,(8):6-12
SDK是面向Android应用程序开发人员的工具集合,包括硬件平台基础信息、软件协议框架、操作系统等,其宗旨在于提高Android应用程序的开发效率。许多Android软件供应商提供的大多数Android App的开发普遍基于已有的SDK,在此基础上二次开发做出产品,如果所采用的SDK中存在安全风险或者漏洞,将导致所有基于此SDK开发的App都面临潜在攻击威胁,将对用户的隐私信息保护和Android系统的安全性产生严重的负面影响。本研究选择了35个使用较为广泛的非官方SDK,结合污点追踪、二进制插值方法,并使用FlowDroid和Droidbox软件工具分析了应用于外部SDK开发的应用程序。研究结果表明,在35个外部SDKS开发工具中,19个(54. 3%)存在SSL/TLS错误配置、不合理的敏感数据权限分配、HTTP的非必要调用、用户日志泄漏、开发人员考虑不周等漏洞和威胁,造成用户隐私数据面临较高的安全风险。 相似文献
2.
北京时间3月10日消息,据科技博客CNET报道,谷歌宣布,公司计划在两周后面向第三方开发人员、推出首款基于Android系统的可穿戴设备软件开发工具包(SDK)。在德克萨斯州奥斯汀市举办的SXSW大会上,谷歌负责Android系统、应用开发及Chrome业务的高级副总裁桑德尔·皮查伊(Sundar Pichai)对外表示,“两周后,我们将向开发人员推出首敕面向可穿戴设备的Android SDK,同时向开发人员展示我们在这一市场的发展愿景。” 相似文献
3.
索蓓蓓 《单片机与嵌入式系统应用》2021,21(1):19-22
随着智能手机的普及,手机应用市场的发展也变得如火如荼.开发人员在新应用的开发中,会用到一些第三方提供的SDK,但是其经常存在安全漏洞,对用户的隐私造成威胁.本文基于机器学习的方法设计了针对Android第三方SDK的漏洞检测系统,同时利用设计出的检测系统对常见的50款第三方SDK进行了漏洞测试,发现50个样本中有31个... 相似文献
4.
针对传统软件安全测试方法(例如:符号执行、模糊测试、污点分析等)无法获得较高的Android程序图形用户界面(GUI)覆盖率的问题,提出动态和静态相结合的Android程序测试方法。该方法在静态分析Android应用程序数据流的基础之上,构建程序活动转换图和函数调用图,解析程序GUI元素,进而编写测试脚本动态遍历应用程序GUI元素。将该方法应用于订票日历、WiFi万能钥匙和360天气应用的实际测试,结果表明:Activity的平均覆盖率达到76%,明显高于人工测试的平均值30.08%和基于控件树遍历的42.05%~61.29%,该方法能够有效遍历Android应用程序GUI元素。 相似文献
5.
串口在数据通信中应用广泛,但Android SDK指定使用Java作为第三方应用开发语言,这给C语言实现串口应用带来了困难。虽然Google Android已经发布了NDK(Native Development Kit,原生态开发包),支持开发者用C/C++语言开发Android程序,但目前官方提供的技术指导比较简略。通过开发一个Android下串口通信应用实例,详细介绍了Android NDK的开发流程,帮助开发人员快速的完成平台搭建。 相似文献
6.
《电脑编程技巧与维护》2013,(9):96-96
书名:ISBN:定价:作者:Android4高级编程(第3版)978—7—302—31558-298.00元(美)迈耶(Meier,R.)著本书南Android权威专家编写。是畅销书(Android2高级编程(第2版)》的升级图书,涵盖了所有最新的内容,是学习使用Android4SDK开发移动应用程序的理想指南。 相似文献
7.
《数字社区&智能家居》2000,(Z3)
Penbex OS掌天操作系统是互慧科技股份有限公司于近日推出的一得意之作。它是以中文为基础的、专为 PDA及行动 IA应用而设计的开放式操作系统。 Penbex OS掌天操作系统因其开放式操作系统和无线通讯应用而倍受青睐,其提供的完整的易学易懂开发工具包( SDK),包括开放式 API(应用程序界面)、 PDA模拟器、 GNU交叉编辑器,方便开发第三方应用软件,为程序开发人员提供了便利的的设计利器。 Penbex OS掌天操作系统内建了资料库引擎、英文手写识别系统引擎(另可搭配选购中文手写识别系统引擎)、 PDA应用程序(包括… 相似文献
8.
ARM TrustZone技术已经在Android手机平台上得到了广泛的应用,它把Android手机的硬件资源划分为两个世界,非安全世界(Non-Secure World)和安全世界(Secure World).用户所使用的Android操作系统运行在非安全世界,而基于TrustZone对非安全世界监控的系统(例如,KNOX,Hypervision)运行在安全世界.这些监控系统拥有高权限,可以动态地检查Android系统的内核完整性,也可以代替Android内核来管理非安全世界的内存.但是由于TrustZone和被监控的Android系统分处于不同的世界, world gap(世界鸿沟)的存在导致处于安全世界的监控系统不能完全地监控非安全世界的资源(例如,Cache).TrustZone薄弱的拦截能力和内存访问控制能力也弱化了它对非安全世界的监控能力.首次提出一种可扩展框架系统HTrustZone,能结合Hypervisor来协助TrustZone抵御利用world gap的攻击,增强其拦截能力和内存访问控制能力,从而为非安全世界的操作系统提供更高的安全性保障.并在Raspberry Pi2开发板上实现了HTrustZone的原型系统,实验结果表明:HTrustZone的性能开销仅增加了3%左右. 相似文献
9.
针对目前Android应用第三方库增大了应用程序攻击面的现状,随机选取国内5大知名官方市场上的305个应用进行了安全性分析研究,设计了Android第三方库安全性分析系统。该系统先进行第三方库的检测,细粒度识别出Android应用中的第三方库,再通过逆向工程技术静态分析apk文件,同时在Android模拟器中安装运行apk并监控它的相关行为,从而检测出第三方库带来的安全威胁。分析结果显示,相对于当下的移动漏洞扫描平台不能很好对第三方库进行安全检测的不足,该系统能够有效的检测应用中第三方库的漏洞,具有一定是实用性。 相似文献
10.
, 《单片机与嵌入式系统应用》2012,12(12):8-8
美普思科技公司(MIPS Technologies,Inc)以及移动应用程序跨平台SDK供应商Marmalade宣布,新版Marmalade软件开发套件SDK6.1已完全支持MIPS架构。多款利用此SDK开发的热门Android游戏,包括椰果躲避(Coconut Dodge)、Rolly Poly和Tonga(汤加祖玛),现已可从Google Play商店下载到MIPS—Based Android设备中使用。 相似文献
11.
根据目前第三方Android应用市场应用存在的重新打包行为,随机选取国内官方的150个应用以及作为对比的第三方应用市场的572个同款应用,设计了Android重新打包应用安全检测系统。该系统先进行相似性计算,细粒度识别出重新打包应用,再通过逆向工程获得其资源文件,根据系统API与权限之间的映射匹配分析其越权行为,并根据构建的方法控制流图分析其权限滥用行为。系统通过并行化处理检测出第三方应用市场存在33.17%的重新打包应用,其中19.58%修改了权限。在修改过权限的应用中,45.95%存在越权行为,27.03%存在滥用权限行为。 相似文献
12.
近年来手机、平板电脑等移动设备的使用已日渐成为人们日常生活的一部分,与之相关的安全问题也愈演愈烈。一般移动设备中存储有大量用户隐私数据,一旦被恶意应用泄露,会给用户带来不可估量的损失。为此需要对移动设备应用程序做污点分析。目前已有的Android应用污点分析工具没有考虑Android 3.0中新增的片段组件,因此本文设计一种模拟片段组件生命周期的静态代码分析方法对Android应用中片段组件进行污点分析,用来检测Android应用中片段组件是否存在泄露用户隐私数据的行为。实验结果表明,本文所实现的分析方法能有效检测Android应用中的片段组件是否泄露用户隐私数据。
相似文献
13.
Reflection poses grave problems for static security analysis, despite its widespread use in Android apps. In general, string inference has been mainly used to handle reflection, resulting in significantly missed security vulnerabilities. In this work, we bring forward the ubiquity of incomplete information environments (IIEs) for Android apps, where some critical dataflows are missing during static analysis and the need for resolving reflective calls under IIEs. We present Ripple , the first IIE‐aware static reflection analysis for Android apps that resolves reflective calls more soundly than string inference. Validation with 17 popular Android apps from Google Play demonstrates the effectiveness of Ripple in discovering reflective targets with a low false positive rate (due to its trade‐off made among soundness, precision, and scalability). As a result, Ripple enables FlowDroid , a taint analysis for Android apps, to find hundreds of sensitive data leakages that would otherwise be missed. As a fundamental analysis, Ripple will be valuable for many security analysis clients, since more program behaviors can now be analyzed under IIEs. 相似文献
14.
Inayoshi Hiroki Kakei Shohei Takimoto Eiji Mouri Koichi Saito Shoichi 《International Journal of Information Security》2022,21(5):1127-1149
International Journal of Information Security - Android security researchers utilize taint analysis to uncover apps’ bugs and policy-violating behaviors. However, the investigations are... 相似文献
15.
16.
17.
移动应用中广泛使用第三方库来帮助开发和增强应用功能.很多关于移动应用分析以及访问控制的研究工作,需要在分析之前对第三方库进行检测、过滤或者对其进行功能分类.当前大部分研究工作都使用白名单的方式来检测第三方库或者对其功能进行分类.然而,通过白名单检测第三方库不完善且不准确,其原因包括:(1)第三方库的种类和数量很大,(2)常见的代码混淆或者第三方库伪装等技术使得白名单方法不能准确的识别第三方库.本文提出一种第三方库自动检测和分类方法,包括基于多级聚类技术准确识别第三方库,以及基于机器学习对第三方库的功能进行准确分类.实验对超过130,000个Android应用进行分析,验证所提出方法的有效性.实验总共检测到4,916个不同的第三方库.在人工标记的数据集上,通过十折交叉验证,对第三方库分类的准确率达到84.28%.将训练好的分类器应用于全部4,916个检测到的第三方库,人工进行抽样验证的准确率达到75%. 相似文献
18.
Most Android applications include third-party libraries (3PLs) to make revenues, to facilitate their development, and to track user behaviors. 3PLs generally require specific permissions to realize their functionalities. Current Android systems manage permissions in app (process) granularity. As a result, the permission sets of apps with 3PLs (3PL-apps) may be augmented, introducing overprivilege risks. In this paper, we firstly study how severe the problem is by analyzing the permission sets of 27 718 real-world Android apps with and without 3PLs downloaded in both 2016 and 2017. We find that the usage of 3PLs and the permissions required by 3PL-apps have increased over time. As a result, the possibility of overprivilege risks increases. We then propose Perman, a fine-grained permission management mechanism for Android. Perman isolates the permissions of the host app and those of the 3PLs through dynamic code instrumentation. It allows users to manage permission requests of different modules of 3PL-apps during app runtime. Unlike existing tools, Perman does not need to redesign Android apps and systems. Therefore, it can be applied to millions of existing apps and various Android devices. We conduct experiments to evaluate the effectiveness and efficiency of Perman. The experimental results verify that Perman is capable of managing permission requests of the host app and those of the 3PLs. We also confirm that the overhead introduced by Perman is comparable to that by existing commercial permission management tools. 相似文献