基于静态污点分析的Android应用Intent注入漏洞检测方法被引量：6

Approach of Android Applications Intent Injection Vulnerability Detection Based on Static Taint Analysis

下载PDF

导出

摘要针对Android应用程序组件间通信过程中的消息载体Intent有可能被攻击者构造进而引发组件被恶意注入的安全风险问题,提出了一种基于静态污点分析的检测方法。在构建Android应用的函数调用图和控制流图的基础上,通过跟踪应用组件内和组件间不可信Intent消息的污点传播过程,检测应用中潜在的Intent注入漏洞。用该方法对4类标准测试应用和50款第三方应用进行测试,实验结果表明了该方法的可行性和有效性。 As a message carrier in the process of component communication of Android application, Intent can be mal- formed by an attacker, leading to security risk of malicious component injection. A detection approach based on static taint analysis was presented. On the basis of building call graph and control flow graph of Android application,by tracking the taint propagation with in and between components, the potential Intent injection vulnerability can be detected. This method is used to test four types of benchmark and fifty third-party applications,and the experimental results show the feasibility and effectiveness of the proposed approach.

作者王允超魏强武泽慧

机构地区解放军信息工程大学数学工程与先进计算国家重点实验室

出处《计算机科学》 CSCD 北大核心 2016年第9期192-196,共5页 Computer Science

关键词 Android 静态污点分析函数调用图控制流图 Intent注入漏洞 Android, Static taint analysis, Call graph, Control flow graph, Intent injection vulnerability

分类号 TP309 [自动化与计算机技术—计算机系统结构]

引文网络
相关文献

参考文献13

1Maji A K, Arshad F, Bagchi S, et al. An empirical study of the robustness of inter-component communication in Android[C]// 2012 42nd Annual IEEE/IFIP International Conference on De- pendable Systems and Networks (DSN). IEEE,2012:1-12.
2Sasnauskas R, Regehr J. Intent fuzzer: crafting intents of death [C]//Proceedings of the 2014 Joint International Workshop on Dynamic Analysis (WODA) and Software and System Perfor- mance Testing, Debugging, and Analytics (PERTEA). ACM, 2014:1-5.
3Chin E, Felt A P, Greenwood K, et al. Analyzing inter-applica- tion communication in Android[C]//Proceedings of the 9th In- ternational Conference on Mobile Systems, Applications, and Services. ACM, 2011 : 239-252.
4Lu L, Li Z,Wu Z, et al. Chex: statically vetting android apps for component hijacking vulnerabilities[C]//Proceedings of the 2012 ACM Conference on Computer and Communications Securi- ty. ACM,2012:229-240.
5Octeau D, MeDaniel P, Jha S, et al. Effective inter-component communication mapping in android with epiee: An essential step towards holistie security analysis[C]//USENIX Security 2013. 2013:543-558.
6Sagiv M, Reps T, Horwitz S. Precise interprocedural data flow analysis with applications to constant propagation[J]. Theoreti- cal Computer Science, 1996,167 (1) : 131-170.
7Gallingani D, Gjomemo R, Venkatakrishnan V N, et al. Static detection and automatic exploitation of intent message vulnera- bilities in Android applications[OL], http://www, ieee-seeuri- ty. org/TC/spw2015/Most/papers/s3pl, pdf.
8Enck W, Octeau D, McDaniel P, et al. A Study of Android Appli- cation Security[OL]. http://www, usenix, org/legacy/events/ secll/teeh/full_papers/Enck, pdf.
9Takeshi Terada/Mitsui Bussan Secure Directions, Inc. Attacking Android browsers via intent scheme URLs[OL]. http://www. mhsd. jp/whitepaper/InterScheme, pdf.
10Wang R, Xing L, Wang X F, et al. Unauthorized origin crossing on mobile platforms: Threats and mitigation[C]//Proceedings of the 2013 ACM SIGSAC Conference on Computer : Commu- nications Security. ACM, 2013 : 635-646.

同被引文献51

1陈小兵,张汉煜,骆力明,黄河.SQL注入攻击及其防范检测技术研究[J].计算机工程与应用,2007,43(11):150-152. 被引量：72
2钟芳挺,刘超,金茂忠.程序动态分析系统中插装方式的改进[J].计算机工程与设计,2007,28(19):4585-4588. 被引量：6
3翁子盛,王宝生,林锦滨.程序符号执行中的数组分析[J].长江大学学报（自科版）（上旬）,2010,7(1):225-228. 被引量：1
4黄强,曾庆凯.基于信息流策略的污点传播分析及动态验证[J].软件学报,2011,22(9):2036-2048. 被引量：21
5诸葛建伟,陈力波,田繁,鲍由之,陆恂.基于类型的动态污点分析技术[J].清华大学学报（自然科学版）,2012,52(10):1320-1328. 被引量：6
6秦广赞,郭帆,徐芳,余敏.一种防SQL注入的静态分析方法[J].计算机工程与科学,2013,35(2):68-73. 被引量：3
7王敏,陈少敏,陈亚光.基本路径测试用例设计算法[J].计算机应用,2013,33(11):3262-3266. 被引量：9
8李红辉,齐佳,刘峰,杨芳南.模糊测试技术研究[J].中国科学：信息科学,2014,44(10):1305-1322. 被引量：29
9李勇,黄志球,房丙午,王勇.代价敏感分类的软件缺陷预测方法[J].计算机科学与探索,2014,8(12):1442-1451. 被引量：14
10马俊,段兴林.Web应用系统中SQL注入的分析与预防[J].信息技术,2015,39(8):71-73. 被引量：6

引证文献6

1周敏,周安民,刘亮,贾鹏,谭翠江.组件拒绝服务漏洞自动挖掘技术[J].计算机应用,2017,37(11):3288-3293.
2赵战民,岳永哲.网络信息交互过程安全漏洞检测仿真[J].计算机仿真,2017,34(11):426-429. 被引量：5
3周喜平.关于计算机软件程序漏洞实时检测仿真[J].计算机仿真,2018,35(1):247-250. 被引量：1
4潘秋红,崔展齐,王林章.Android应用中SQL注入漏洞静态检测方法[J].计算机科学与探索,2018,12(8):1225-1237. 被引量：7
5任玉柱,张有为,艾成炜.污点分析技术研究综述[J].计算机应用,2019,39(8):2302-2309. 被引量：17
6王国峰,唐云善,徐立飞.基于污点分析的SQL注入漏洞检测[J].信息技术,2024,48(2):185-190.

二级引证文献30

1李慧芹,韩敏,唐振营.交互式研发过程安全检测平台在“网上国网”项目的应用[J].电子技术与软件工程,2019,0(24):41-42. 被引量：1
2武振华,张超,孙贺,颜学雄.程序逆向分析在软件供应链污染检测中的应用研究综述[J].计算机应用,2020,40(1):103-115. 被引量：3
3沈艺敏,蒋小波.基于SIR模型的隐蔽信道数据安全检测仿真[J].计算机仿真,2020,37(4):385-388. 被引量：1
4胡晨.虚拟现实技术下网络安全漏洞自动化检测方法研究[J].自动化与仪器仪表,2020(6):40-43. 被引量：4
5孙锡洲,范春磊,卢媛,徐康,冷小洁,栾卫平.基于人工智能的网络安全漏洞自动检测方法[J].自动化与仪器仪表,2020(6):180-183. 被引量：6
6高晓岚.网络虚拟现实技术在信息服务中的应用前景[J].信息记录材料,2020,21(7):55-56.
7吕朋朋,陆洋,戚梦逸,陶晓峰.基于移动应用故障处理的用采系统设计与实现[J].制造业自动化,2021,43(1):148-151. 被引量：1
8郑磊,韩鹏军.大数据技术在网络安全分析中的应用研究[J].信息技术,2021,45(1):163-168. 被引量：7
9李明磊,陆余良,黄晖,朱凯龙.距离与权重相结合的导向式灰盒模糊测试方法[J].计算机工程,2021,47(3):147-154. 被引量：1
10李明磊,黄晖,陆余良,朱凯龙.SymFuzz:一种复杂路径条件下的漏洞检测技术[J].计算机科学,2021,48(5):25-31. 被引量：4

1祝小兰,王俊峰,杜垚,白金荣.基于敏感权限及其函数调用图的Android恶意代码检测[J].四川大学学报（自然科学版）,2016,53(3):526-533. 被引量：9
2谢刚.一种C程序的函数调用图生成算法的设计与实现[J].贵州师范大学学报（自然科学版）,2009,27(4):77-80. 被引量：1
3丁德武.Linux与人类代谢的自相似性实证研究[J].生物信息学,2012,10(3):151-153.
4刘星,唐勇.恶意代码的函数调用图相似性分析[J].计算机工程与科学,2014,36(3):481-486. 被引量：13
5朱云洁.静态下JAVA程序函数调用关系图的框架实践[J].计算机光盘软件与应用,2014,17(10):129-130.
6孙卫真,杜香燕,向勇,汤卫东,侯鸿儒.基于RTL的函数调用图生成工具CG-RTL[J].小型微型计算机系统,2014,35(3):555-559. 被引量：7
7APC英飞数据中心管理方案[J].微电脑世界,2009(1):119-119.
8孙贺,吴礼发,洪征,徐明飞,周胜利.基于函数调用图的二进制程序相似性分析[J].计算机工程与应用,2016,52(21):126-133. 被引量：2
9龙海,郝东白,黄皓.系统服务Rootkits隐藏行为分析[J].计算机科学,2008,35(6):103-106. 被引量：1
10孙贺,吴礼发,洪征,颜慧颖,张亚丰.一种结合动态与静态分析的函数调用图提取方法[J].计算机工程,2017,34(3):154-162. 被引量：4

计算机科学

2016年第9期

浏览历史

内容加载中请稍等...

基于静态污点分析的Android应用Intent注入漏洞检测方法被引量：6

参考文献13

同被引文献51

引证文献6

二级引证文献30

相关作者

相关机构

相关主题

浏览历史

基于静态污点分析的Android应用Intent注入漏洞检测方法 被引量：6

参考文献13

同被引文献51

引证文献6

二级引证文献30

相关作者

相关机构

相关主题

浏览历史

基于静态污点分析的Android应用Intent注入漏洞检测方法被引量：6