首页 | 本学科首页   官方微博 | 高级检索  
     

安卓系统服务中输入验证型漏洞的初步分析
作者姓名:曹琛  高能  向继  刘鹏
作者单位:中国科学院信息工程研究所 北京 中国 100093,中国科学院信息工程研究所 北京 中国 100093,中国科学院信息工程研究所 北京 中国 100093,美国宾夕法尼亚州立大学
基金项目:本课题得到863计划-云计算安全体系架构研究(No.2013AA01A214)资助。
摘    要:输入验证型漏洞在Web安全领域颇受重视,但其在安卓安全研究领域却在很大程度上被忽视。我们发现由于安卓系统中独特的框架层设计,安卓设备需要对系统服务(System Service)进行具体的输入验证分析。本文工作对安卓系统中的输入验证型漏洞进行了分析,1)我们分析了系统服务的攻击面,介绍了目前系统服务中的输入验证的实现情况;2)我们开发了一个漏洞扫描器,通过向系统服务发送带有畸形参数的请求对其进行模糊测试。在对安卓系统中90多个服务和1900多个函数进行综合的分析后,我们发现了16个系统服务漏洞。最后,我们把这些漏洞报告给谷歌并得到了谷歌的确认。

关 键 词:安卓系统服务  输入验证  Buzzer  漏洞
收稿时间:2015-10-13
修稿时间:2015-11-30
点击此处可从《信息安全学报》浏览原始摘要信息
点击此处可从《信息安全学报》下载全文
设为首页 | 免责声明 | 关于勤云 | 加入收藏

Copyright©北京勤云科技发展有限公司  京ICP备09084417号