一种面向Android应用第三方库的安全性分析框架

针对目前Android应用第三方库增大了应用程序攻击面的现状,随机选取国内5大知名官方市场上的305个应用进行了安全性分析研究,设计了Android第三方库安全性分析系统。该系统先进行第三方库的检测,细粒度识别出Android应用中的第三方库,再通过逆向工程技术静态分析apk文件,同时在Android模拟器中安装运行apk并监控它的相关行为,从而检测出第三方库带来的安全威胁。分析结果显示,相对于当下的移动漏洞扫描平台不能很好对第三方库进行安全检测的不足,该系统能够有效的检测应用中第三方库的漏洞,具有一定是实用性。     

Android应用程序第三方库的恶意行为隔离技术综述

Android应用程序第三方库的大量使用,提高了移动软件的开发效率,同时也带来了新的安全问题。目前的Android系统只提供一种粗粒度的权限控制机制,第三方库会与其所在主应用具有相同的权限,导致第三方库权限过大,对用户隐私造成严重威胁。目前,越来越多的学者开始对第三方库的恶意行为进行研究,取得了一定的成果。通过对恶意第三方库隔离技术的相关背景和已有方案进行综述,分析出现有研究工作中存在的问题,并对未来研究方向进行展望。     

Android应用隐私条例与敏感行为一致性检测

移动应用会频繁使用敏感信息,因此,Google建议开发者在上传应用时发布隐私条例文档,从而更好地保护用户隐私。尽管很多工作关注于隐私条例与应用行为的一致性分析,然而现有工作均使用静态分析和白名单分析第三方库的方法,导致隐私条例的一致性检测结果的不准确和不完整。提出一种自动化检测应用隐私条例文档是否与应用行为相一致的工具。首先,使用一种改进的自然语言处理的方法提取隐私条例文档中的隐私信息和应用敏感行为;然后,使用静态分析和动态分析相结合的方法分析应用实际的隐私行为,同时区别于传统的白名单对照方式,使用了基于聚类的第三方库的检测方法提高了检查的准确性,最后将文本中声明的隐私信息行为和代码中分析出的隐私权限进行一致性校验。实验对455个应用进行分析,工具对隐私条例中隐私信息提取的准确率为94.75%,大约有50%的应用存在着应用行为和隐私条例文档不一致的问题。     

Android Settings机制应用安全性分析与评估

Settings机制是Android系统向应用程序提供的访问和配置部分全局设置的机制,Settings中的数据可被设备上的所有应用读取.实际使用中,一些Android应用及第三方库误将IMEI、BSSID、地理位置等隐私数据或关键配置信息写入Settings中,使得系统面临严重的隐私数据泄露、关键配置信息泄露和污染等安全风险.在分析大量样本的基础上,总结了Settings数据中泄露的隐私数据类型和关键配置信息,并针对部分Android应用和第三方库设计了数据劫持攻击和拒绝服务攻击方案,验证并确认了Settings机制在使用过程中的安全风险;针对该问题设计和实现了基于污点分析的Settings机制应用漏洞静态检测工具——SettingsHunter,该工具利用污点分析技术实现了对Android应用及第三方库Settings数据中的隐私数据泄露和关键配置信息泄露问题的自动检测,该工具将第三方库与宿主应用的分析分离,优化了分析过程,提高了分析效率和分析能力.使用SettingsHunter对3477个应用进行检测的结果显示,23.5%的应用在Settings数据的使用中存在隐私数据泄露或配置信息泄露问题,其中90.7%的应用中Settings相关风险操作完全来自于第三方库.实验结果表明:Settings中隐私数据泄露和关键配置信息泄露问题严重,第三方库中的问题尤为突出.     

面向Android生态系统中的第三方SDK安全性分析

现如今,许多Android开发人员为了缩短开发时间,选择在其应用程序中内置第三方SDK.第三方SDK是一种由广告平台,数据提供商,社交网络和地图服务提供商等第三方服务公司开发的工具包,它已经成为Android生态系统的重要组成部分.令人担心的是,一个SDK有安全漏洞,会导致所有包含该SDK的应用程序易受攻击,这严重影响了Android生态系统的安全性.因此,我们在市场上选取了129个流行的第三方SDK并对其安全性进行了全面分析.为了提高分析的准确性,我们将第三方SDK的demo应用作为分析对象并使用了在分析Android应用中有效的分析方法（例如静态污点追踪、动态污点追踪、动态二进制插桩等）和分析工具（例如flowdroid、droidbox等）.结果显示,在选取的这些SDK中,超过60%含有各种漏洞（例如：HTTP的误用, SSL/TLS的不正确配置, 敏感权限滥用,身份识别, 本地服务,通过日志造成信息泄露,开发人员的失误）.这对于相关应用程序的使用者构成了威胁.     

Android生态系统中面向第三方SDK安全的静态和动态分析

提出Android生态第三方SDK安全性的分析框架,考虑到单独的第三方SDK无法独立运行,选择第三方SDK的demo应用作为分析对象.为了提高分析准确性,采用静态污点追踪、动态污点追踪建立第三方SDK的静态、动态分析框架.通过动态执行第三方demo应用,进行安全问题验证.最后通过选取目前市场上流行的第三方SDK进行安全...     

大规模移动应用第三方库自动检测和分类方法

移动应用中广泛使用第三方库来帮助开发和增强应用功能.很多关于移动应用分析以及访问控制的研究工作,需要在分析之前对第三方库进行检测、过滤或者对其进行功能分类.当前大部分研究工作都使用白名单的方式来检测第三方库或者对其功能进行分类.然而,通过白名单检测第三方库不完善且不准确,其原因包括：（1）第三方库的种类和数量很大,（2）常见的代码混淆或者第三方库伪装等技术使得白名单方法不能准确的识别第三方库.本文提出一种第三方库自动检测和分类方法,包括基于多级聚类技术准确识别第三方库,以及基于机器学习对第三方库的功能进行准确分类.实验对超过130,000个Android应用进行分析,验证所提出方法的有效性.实验总共检测到4,916个不同的第三方库.在人工标记的数据集上,通过十折交叉验证,对第三方库分类的准确率达到84.28%.将训练好的分类器应用于全部4,916个检测到的第三方库,人工进行抽样验证的准确率达到75%.     

LibPass: 基于包结构和签名的第三方库检测方法

第三方库检测是Android应用安全分析领域的上游任务, 其检测精度对于恶意应用检测、重打包检测、隐私泄露等下游任务有显著影响. 为了提升检测精度和效率, 采用相似性比较的思想, 提出一种基于包结构和签名的第三方库检测方法, 命名为LibPass. LibPass以流水线式模式组合主模块识别、第三方库候选识别和细粒度检测等3个组件. 主模块识别方法区分主程序二进制代码与引入的第三方库二进制代码, 旨在提升方法检测效率. 在此基础上, 提出由第三方库候选识别和细粒度检测构成的两阶段检测方法. 前者利用包结构特征的稳定性来应对应用程序的混淆行为以提升混淆情形下的检测精度, 并利用包结构签名完成快速比对以识别候选第三方库, 达到显著降低成对比较次数、提升检测效率的目的; 后者在前者涮选出的候选中, 通过更细粒度但代价更高的相似性分析精确地识别第三方库及其对应的版本. 为了验证方法的性能和效率, 构建3个评估不同检测能力的基准数据集, 在这些基准数据集上开展实验验证, 从检测性能、检测效率和抗混淆性等方面对实验结果进行深入分析, 结果表明LibPass具备较高的检测精度, 检测效率, 以及应对多种常用混淆操作的能力.     

面向Android系统库文件访存的汇编优化策略

以自主嵌入式处理器为平台,对Android系统性能进行分析.通过Oprofile工具采集Android系统下的访存热点函数,结合处理器架构特点,并充分考虑传统Cache特性,重点针对Android系统的BionicC库及Libcutils库中的热点访存函数提出优化算法进行汇编优化.实验表明:优化后的Bionic C库和Libcutils库与优化前相比,访存带宽分别提升8.91％和12.3％,系统性能分别提升1.54％和3.81％;Android系统整体性能提升5.35％.     

拒绝Android第三方平台陷阱

电子市场流量损失监测 虽然这些规模较大的第三方市场很少会遇到直接出现捆绑病毒类应用,或内置强制SP吸费陷阱,不过用户在没有WiFi的环境中下载应用,有时发现自己的流量在以惊人的速度消失.想要知道自己的流量到底是怎么失踪的,只需监控一下每一款电子市场实际消耗的流置即可,下面笔者就针对目前5款主流的电子市场,来实际测试它们的流量损失情况.     

你最喜欢哪款第三方Android ROM？

MIUI OS机型丰富有卖点 考虑到Android的开源特性,赋予它的最大优势毫无疑问就是足够强大的自由度。如果非要选择,不得不把自己这票投给MIUI,千款个性主题,上万种个性搭配,成为了其它Android ROM望尘莫及的优势。     

活用第三方组件编程

第三方组件是由非平台提供,能够在ASP.NET环境中使用的特定控件(也称组件),利用第三方组件编程大大减少编程的工作量。以第三方的分页组件为例,详细介绍在ASP.NET中使用第三方组件的操作步骤和操作方法,从而实现数据的分页功能。     

当第三方介入供应链支付

由企业自建的在线支付模式，可以看作为由核心企业通过支付体系，把其上下游供应商以及销售商合为一体的过程。这需要企业拥有强大的实力，自身有充足的资金与技术力量，并且拥有众多的上、下游合作伙伴，得到合作伙伴的支持。目前，只有像伊利、宝钢、上海石化等少数较大型的企业在运用。比如伊利集团就与银联商务合作搭建了专为伊利来往企业提供支付服务的“支付易”平台，通过一年多的实践应用，这种货款支付模式给参与各方都带来了很好的收益。     

面向多商户的第三方电子券系统设计与实现

电子券正成为商家促销的一种新技术手段.在一个已有的定制化电子券系统的基础上,针对服务于多商户的应用背景,对系统的需求进行了重新梳理和流程优化,给出了改造后的系统架构.同时,还对新系统的权限管理与访问控制问题进行了重点分析和设计,引入基于角色的访问控制模型,使之能支持面向多商户的管理.     

基于Web Service技术的校园一卡通中的第三方系统应用集成研究

随着信息高度集中化的发展,校园一卡通越来越需要集成第三方系统,以达到信息高度集中化管理。本文将讨论用WebService技术来对一卡通中集成第三方系统的研究。     

第三方测评帮助第三方支付企业“转型”

本文针对第三方支付这一新兴非金融机构支付服务方式,研究了第三方支付的发展过程和模式特点,分析了第三方支付所面临的技术风险和安全风险,提出了通过第三方测评来降低支付风险,保障第三方支付的技术安全,同时根据第三方测评的测试内容论述了相应的测试方法。最后,说明了针对第三方支付服务系统的第三方测评的基本流程。     

基于机器学习的第三方SDK漏洞检测技术研究

随着智能手机的普及,手机应用市场的发展也变得如火如荼.开发人员在新应用的开发中,会用到一些第三方提供的SDK,但是其经常存在安全漏洞,对用户的隐私造成威胁.本文基于机器学习的方法设计了针对Android第三方SDK的漏洞检测系统,同时利用设计出的检测系统对常见的50款第三方SDK进行了漏洞测试,发现50个样本中有31个...     

一个含透明可信第三方的不可否认协议

在含脱线可信第三方的不可否认协议中,TTP的参与暴露出协议双方可能有一方不诚实,产生不好的社会影响。文章基于一类新型的CEMBS设计出一个含透明可信第三方的不可否认协议,仅从证据看不出TTP是否参与过此次协议,并且协议具有保密性、有效性、公平性与不可否认性。     

妖魔化的第三方支付

世界杯结束了,但关于网络赌球的报道也开始见诸媒体,而第三方支付也在此刻像章鱼一样被推到风口浪尖,什么“第三方支付涉嫌赌球”“第三方支付助纣为虐”等报道不绝于电视、报纸和网络。似乎一夜之间,第三方支付成了洪水猛兽,张牙舞爪、无恶不作。     

基于联邦学习的第三方库流量识别

第三方库(Third-party Library,TPL)已经成为移动应用开发的重要组成部分,开发者通常在应用中集成TPL以实现诸如广告、消息推送、移动支付等特定功能,从而提高开发效率并降低研发成本。然而,由于TPL与其所在的移动应用(宿主应用)共享相同的系统权限,且开发者对TPL自身的安全隐患缺乏了解,导致近年来由TPL引起的安全问题频发,给公众造成了严重的信息与隐私安全困扰。TPL的流量识别对于精细化流量管理与安全威胁检测具有重要意义,是支撑对宿主应用与TPL之间进行安全责任判定的重要能力,同时也是促进TPL安全合规发展的重要检测方法。然而目前关于TPL的研究主要集中于TPL检测、TPL引起的隐私泄漏问题等,关于TPL流量识别的研究十分少见。为此,本文提出并实现了一种用于TPL流量识别的框架——LibCapture,该框架首先基于动态插桩技术与TPL检测技术设计了自动生成TPL加密流量数据集的方法。其次,针对隐私保护以及数据共享的问题,构建了基于卷积神经网络的联邦学习模型,用于识别TPL流量。最后,通过对2327个真实应用的流量测试证明了本文所提框架具有较高的流量识别准确率。此外,本文分析了联邦学习参与方本地样本数据差异性给全局模型聚合带来的具体影响,指出了不同场景下的进一步研究方向。