基于TaintDroid扩展的WebView隐私泄露检测被引量：3

Privacy Leakage Detection of WebView Based on Taint Droid Extension

下载PDF

导出

摘要针对Android应用程序与WebView交互可能导致隐私泄露的问题,分析WebView的2个隐私泄露主要通道add Javascript Interface和load Url,提出一种扩展Taint Droid的数据流跟踪框架WTD。WTD扩展了Android源码中的add Javascript Interface和敏感API,在敏感API中利用Java函数栈执行跟踪机制记录系统中的函数调用层次关系,从而判断add Javascript Interface注册对象是否访问敏感API,同时增加load Url加载页面参数的污点检测。实验结果表明,WTD能有效检测Web View引起的隐私数据泄露。 Interaction between Android application program and WebView will lead to privacy leakage. Aiming at the problem, this paper analyzes two privacy leakage channel of WebView, addJavascriptlnterface and loadUrl, and proposes a data flow tracking framework of extended WebView, named WebView Tainted Detection （ WTD）. WTD extends the addJavascriptlnterface and sensitive API in the Android source code. In sensitive API,Java function stack executes trace mechanism to record function hierarchy call relation in the system to detect whether the addJavascriptlnterface registering objects accessed Android privacy API. Besides, WTD increases the taint detection of loadUrl loading page parameters. Experimental result shows that WTD can effectively detect the private data leakage from WebView.

作者王伟平林漫涛李天明吴伟

机构地区中南大学信息科学与工程学院

出处《计算机工程》 CAS CSCD 北大核心 2016年第10期169-175,共7页 Computer Engineering

基金国家自然科学基金资助项目(61173169)

关键词 ANDROID平台 WebView组件隐私泄露数据流跟踪污点检测 Android platform WebView component privacy leakage data flow tracking taint detection

分类号 TP309.2 [自动化与计算机技术—计算机系统结构]

引文网络
相关文献

参考文献18

1Google Inc.. Android Security Overvie[EB/OL]. [2015- 03-15 ]. https://source, android, com/devices/tech/security/ index, html.
2Enck W, Ongtang M, McDaniel Android Security [ J ]. IEEE Security 7 ( 1 ) :50-57.
3P. Understanding & Privacy, 2009, Tan D J J,Chua T W, Thing V L L. Securing Android: A Survey, Taxonomy, and Challenges [J]- ACM Com- puting Surveys,2015,47(4) : 1-45.
4张玉清,王凯,杨欢,方喆君,王志强,曹琛.Android安全综述[J].计算机研究与发展,2014,51(7):1385-1396. 被引量：93
5Smalley S, Craig R. Security Enhanced (SE) Android: Bringing Flexible MAC to Android[ C]//Proceedings of Network and Distributed System Security Symposium. San Diego, USA : ISOC ,2013:20-38.
6Shebaro B, Oluwatimi O, Bertino E. Context-based Access Control Systems for Mobile Devices [J]. IEEE Transactions on Dependable and Secure Computing, 2015,12(2) :150-163.
7杨欢,张玉清,胡予濮,刘奇旭.基于权限频繁模式挖掘算法的Android恶意应用检测方法[J].通信学报,2013,34(S1):106-115. 被引量：47
8Wang Wei, Wang Xing, Feng Dawei, et al. Exploring Permission-induced Risk in Android Applications for Malicious Application Detection [ J ]. IEEE Transactions on Information Forensics and Security, 2014,9 ( 11 ) : 1869-1882.
9Lu Long, Li Zhichun, Wu Zhenyu, et al. CHEX: Statically Vetting Android Apps for Component Hijacking Vulnerabilities [ C ]//Proceedings of 2012 ACM Conference on Computer and Communications Security. New York,USA:ACM Press,2012:229-240.
10Arzt S, Rasthofer S, Fritz C, et al. FlowDroid: Precise Context, Flow, Field, Object-sensitive and Lifecycle- aware Taint Analysis for Android Apps [ C ]//Pro- ceedings of the 35th ACM SIGPLAN Conference on Programming Language Design and Implementation. New York, USA : ACM Press ,2014:29-35.

二级参考文献50

1杨欢,张玉清,胡予濮,刘奇旭.基于权限频繁模式挖掘算法的Android恶意应用检测方法[J].通信学报,2013,34(S1):106-115. 被引量：47
2Gartner. Worldwide smartphone sales in Q3 2013 [EB/OL]. [ 2014- 01-08 ]. http://www, gartner, com/newsroom/id/ 2623415.
3AppBrian Stats. Number of available Android applications [EB/OL]. [2014-01-08]. http://www, appbrain, com/stats/.
4Consumer Reports. Keep your phone safe-How to protect yourself from wireless threat [EB/OL].[ 2014-01-08 ]. http ://www. eonsumerreports, org/ero/net0613, htm # info.
5TrustGo. BSides Las Vegas: Your droid has no clothes [EB/OL]. [2014-01-08]. http://blog, trustlook, corn/.
6National Vulnerability Database. Vulnerability summary for eVE 2012-0056 [EB/OL]. [2013-12-09]. http..//web, nvd. nist. gov[view]vulnldetail?vulnId=CVE-2012-OO56&cid= 2.
7Nakamura Y, Sameshima Y. SELinux for electronics devices [C]//Proe of Linux Symp. Ottawa:Linux Symp Inc, 2008: 125-133.
8Bugiel S, Davi L, Dmitrienko A, et al. Practical and lightweight domain isolation on android [C] //Proc of the 1st ACM Workshop on Security and Privacy in Smartphones and Mobile Devices. New York: ACM, 2011:51-62.
9Smalley S, Craig R. Security enhanced (SE) Android: bringing flexible MAC to Android [C/OL] //Proc of the 20th Annual Network and Distributed System Security Syrup. 2013 [2014-03-20]. http://www, internetsociety, org/events/ ndss-symposium- 2013 / papers-and- pr esentations.
10Kim S H, Han D, Lee D H. Predictability of Android OpenSSL's pseudo random number generator [C] //Proc of the 2013 ACM SIGSAC Conf on Computer Communications Security. New York: ACM, 2013:659-668.

共引文献135

1ZHU Yayun,JIANG Lin,YUAN Anqi,YUAN Yinghao.Security Protection Method of Energy Internet with Android[J].Wuhan University Journal of Natural Sciences,2022,27(1):11-16.
2张玉清,王凯,杨欢,方喆君,王志强,曹琛.Android安全综述[J].计算机研究与发展,2014,51(7):1385-1396. 被引量：93
3纪祥敏,向騻,周术诚,蒋萌辉.基于TMA的Android平台信任链构建方法研究[J].计算机仿真,2014,31(12):346-349.
4姚培娟,张志利.Android智能手机安全问题和防护策略研究[J].现代计算机,2015,21(1):69-72. 被引量：5
5落红卫.移动恶意代码分析及检测技术研究[J].信息通信技术,2015,9(1):34-38. 被引量：3
6侯玉华,周晓龙.智能终端操作系统安全问题及解决方案[J].电信科学,2015,31(3):8-12. 被引量：2
7姚培娟,张志利,杨友红.Android智能手机安全机制解析[J].软件导刊,2015,14(5):15-17. 被引量：2
8刘丽娜.基于Android的网络入侵防范策略研究[J].网络安全技术与应用,2015(5):60-61.
9杨晓晖,常思远,江丽军,王虹.基于可信第三方的Android应用完整性验证模型[J].郑州大学学报（理学版）,2015,47(2):59-67. 被引量：2
10李忠慧.智能手机在普适计算中的作用及安全研究[J].计算机时代,2015(8):20-22.

同被引文献28

1程瑶,应凌云,焦四辈,苏璞睿,冯登国.移动社交应用的用户隐私泄漏问题研究[J].计算机学报,2014,37(1):87-100. 被引量：44
2黄伟文,罗佳.基于指纹和Bloom滤波器的数据泄漏检测方案[J].计算机应用,2014,34(7):1922-1928. 被引量：1
3王建平,李俊山,杨亚威,孙胜永,王蕊.基于红外成像的乙烯气体泄漏检测[J].液晶与显示,2014,29(4):623-628. 被引量：8
4魏中贺,李少波,唐向红,陈力.一种基于密度的数据流检测算法SWKLOF[J].科学技术与工程,2014,22(34):219-223. 被引量：3
5陈璐,张丽娜,周阳,王伟,张时佳,彭茵,黄浩云.挥发性有机物泄漏检测与修复技术规范体系的设想研究[J].环境科学与管理,2015,40(1):5-9. 被引量：14
6杨宏波.物联网环境下的差异网络数据库异常数据检测[J].计算机测量与控制,2015,23(3):1008-1010. 被引量：6
7王智勇,缑俊,郭勇,吴阳,邱琪.燃气管道泄漏引发的温度变化研究[J].电子科技大学学报,2015,44(2):306-310. 被引量：5
8鞠凤娟.一种新颖的供热管网隐性气体泄漏检测系统设计[J].计算机测量与控制,2015,23(4):1124-1126. 被引量：2
9张锐,李留青.大型多媒体网络数据库异常数据高效检测方法[J].科技通报,2015,31(10):163-165. 被引量：5
10王兆国,李城龙,张洛什,张际宝,关毅,薛一波.一种基于行为链的Android应用隐私窃取检测方法[J].电子学报,2015,43(9):1750-1755. 被引量：7

引证文献3

1郑兆顺,王文彬.分布式网络数据信息泄露检测仿真研究[J].计算机仿真,2017,34(9):435-438. 被引量：5
2朱艳龙.移动终端网络数据信息安全性检测仿真[J].计算机仿真,2018,35(5):418-421. 被引量：3
3高文莲,白凤凤.基于转移函数的移动网络海量数据隐私泄露检测技术[J].科学技术与工程,2018,18(21):76-81. 被引量：3

二级引证文献11

1高文莲,白凤凤.基于转移函数的移动网络海量数据隐私泄露检测技术[J].科学技术与工程,2018,18(21):76-81. 被引量：3
2赵建军,叶其宏.无线局域网信息泄漏防范优化预警仿真[J].计算机仿真,2018,35(9):455-458. 被引量：1
3朱小娟,张宁池,田叶,张宇,吴佳梅,闵惠明.数据防泄漏的隐秘算法研究[J].信息技术,2020,44(3):90-94.
4梁丽莎,赵圆圆.物联网节点动态行为信任度评估方法仿真[J].计算机仿真,2020,37(2):303-306. 被引量：1
5张宁池,朱小娟,张宇,田叶.互联网商业模式下大数据脱敏方法的探讨与研究[J].自动化技术与应用,2021,40(1):150-154. 被引量：2
6田茂毅,于婷.基于RSA及Paillier的网络数据传输隐私保护[J].计算机仿真,2021,38(6):142-145. 被引量：2
7张人上,邱久睿.基于多层结构的移动终端数据防泄露系统设计[J].火力与指挥控制,2021,46(7):66-68. 被引量：4
8邓志东,孙宇,居强,倪莹,吴刚.Kinect传感器的网络通信数据泄露自主感知系统设计[J].自动化技术与应用,2021,40(9):75-79.
9康美林,邓卉.基于VR技术的湘瓷工艺仿真系统设计与实现[J].电子产品世界,2021,28(10):51-54.
10许建峰,许俊渊,方洪波.基于Modbus/TCP的发电厂DCS网关网络信息安全存储系统设计[J].现代电子技术,2022,45(2):115-119. 被引量：12

1姚志英,曹海青.一种基于投影算子的二值图像处理算法[J].计算机系统应用,2013,22(1):95-97. 被引量：1
2王运生,聂芬.基于Webview组件的Andriod平台网页封装程序设计[J].智能计算机与应用,2013,3(6):104-106. 被引量：7
3高岳,胡爱群.基于权限分析的Android隐私数据泄露动态检测方法[J].信息网络安全,2014(2):27-31. 被引量：13
4林正春,吴东杰,魏革,张毅荣,刘伟,董为.基于Android平台的智能电表管理系统[J].电脑编程技巧与维护,2015(18):51-52.
5不知道.关闭系统文件夹保护功能[J].计算机应用文摘,2006,22(8):87-87.
6姚一楠,翟世俊.Android平台漏洞及安全威胁研究[J].移动通信,2015,39(11):34-38. 被引量：1
7张景安,张杰,卫泽丹.Android移动端浏览器的设计与开发[J].软件,2014,35(8):7-10. 被引量：11
8WebView漏洞暴露“黑客管道”[J].微电脑世界,2013(10):119-119. 被引量：1
9赵光泽,李晖,孟杨.Android平台WebView组件安全及应用加固研究[J].信息网络安全,2015(10):61-65. 被引量：10
10王建伟,金伟信,吴作顺.基于TaintDroid的动态污点检测技术分析[J].通信技术,2016,49(2):221-226. 被引量：3

计算机工程

2016年第10期

浏览历史

内容加载中请稍等...

基于TaintDroid扩展的WebView隐私泄露检测被引量：3

参考文献18

二级参考文献50

共引文献135

同被引文献28

引证文献3

二级引证文献11

相关作者

相关机构

相关主题

浏览历史

基于TaintDroid扩展的WebView隐私泄露检测 被引量：3

参考文献18

二级参考文献50

共引文献135

同被引文献28

引证文献3

二级引证文献11

相关作者

相关机构

相关主题

浏览历史

基于TaintDroid扩展的WebView隐私泄露检测被引量：3