安卓系统服务中输入验证型漏洞的初步分析 |
| |
作者姓名: | 曹琛 高能 向继 刘鹏 |
| |
作者单位: | 中国科学院信息工程研究所 北京 中国 100093,中国科学院信息工程研究所 北京 中国 100093,中国科学院信息工程研究所 北京 中国 100093,美国宾夕法尼亚州立大学 |
| |
基金项目: | 本课题得到863计划-云计算安全体系架构研究(No.2013AA01A214)资助。 |
| |
摘 要: | 输入验证型漏洞在Web安全领域颇受重视,但其在安卓安全研究领域却在很大程度上被忽视。我们发现由于安卓系统中独特的框架层设计,安卓设备需要对系统服务(System Service)进行具体的输入验证分析。本文工作对安卓系统中的输入验证型漏洞进行了分析,1)我们分析了系统服务的攻击面,介绍了目前系统服务中的输入验证的实现情况;2)我们开发了一个漏洞扫描器,通过向系统服务发送带有畸形参数的请求对其进行模糊测试。在对安卓系统中90多个服务和1900多个函数进行综合的分析后,我们发现了16个系统服务漏洞。最后,我们把这些漏洞报告给谷歌并得到了谷歌的确认。
|
关 键 词: | 安卓系统服务 输入验证 Buzzer 漏洞 |
收稿时间: | 2015-10-13 |
修稿时间: | 2015-11-30 |
|
| 点击此处可从《信息安全学报》浏览原始摘要信息 |
|
点击此处可从《信息安全学报》下载全文 |
|