一种基于行为的Android重打包应用检测方案

重打包类型的恶意应用是通过将恶意代码注入正常应用来生成的,在Android平台已发现的恶意应用中占了很大的比例。针对此类恶意应用,提出一种基于行为的恶意应用检测方案。方案采用云端协作的软件架构,在云端对正常应用进行基于系统短序列的行为模式分析,从而形成正常行为模式库;在终端,从云端下载系统已安装应用的正常行为模式库,监测已安装应用的系统调用序列,并计算其异常率。实验结果表明,该方法是有效的,可以准确地识别出重打包的恶意应用。

基于函数调用图的Android重打包应用检测

针对Android第三方市场中重打包应用日益增多的现象,提出一种利用函数调用图检测Android重打包应用的方法。对应用进行反编译,提取并分析Smali代码生成函数调用图,同时将函数中的操作码作为结点的属性对函数调用图进行处理,实现第三方库过滤并保留与界面相关的应用程序接口。在此基础上,用Motif子图结构表示函数调用图,根据子图的相似度计算应用的相似度,从而判断是否为重打包应用。通过对市场中1 630个应用的检测结果表明,该方法具有较高的准确性和良好的可扩展性。

DroidFAR:一种基于程序语义的Android重打包应用抗混淆检测方法

为了使Android平台重打包应用检测的方法在面向大规模移动应用中既能实现快速、准确地检测重打包应用又能对抗代码混淆攻击,本文提出了一种基于程序语义的重打包应用抗混淆检测方法.该方法首先进行粗粒度的检测,即先将应用的程序依赖图抽象成程序语义特征,通过计算程序语义特征之间的相似性,实现快速的可疑重打包应用检测;然后使用程序依赖图作为应用的特征,完成可疑重打包应用细粒度的准确检测.基于文中的方法设计并实现了原型系统DroidFAR（Fast,Accurate and Robust）.实验结果表明,本文方法检测的准确率达到95.1%,误报率低于1.2%,且能够有效地抵御代码混淆攻击.

基于异常利用的安卓应用重打包对抗技术

应用重打包是安卓生态中的一种严重的安全威胁。借助应用重打包技术,攻击者可以向原始应用插入恶意代码以实现不同的恶意功能,如窃取用户隐私数据、发送收费短信及替换应用广告SDK等。有研究表明,85%以上的恶意应用通过应用重打包的方式产生。对抗安卓重打包攻击,主要有三种防御方式:一是在应用开发过程中,由开发者对应用进行加固,实施重打包防御策略;二是在应用上传到应用市场时,进行静态应用重打包检测;三是在终端设备上进行动态重打包应用检测。其中,利用重打包工具解析安卓应用程序安装包的缺陷对应用进行加固来提高攻击者生成重打包应用的技术门槛被证明是一种有效的缓解措施。但距今为止,已有工作并未提出一种系统化的方法来发现可用于保护应用的重打包工具缺陷。本文提出了一种系统化的面向重打包对抗的重打包工具可利用缺陷检测方法。首先,我们通过代码扫描定位重打包工具中的潜在异常点;其次,使用模糊测试的方式来尝试触发被定位的异常;最后,监测触发异常的变异应用在目标安卓设备上的运行情况,并进行进一步的模糊测试来最终构建能被用于对抗重打包攻击的异常触发向量。在以应用广泛的重打包工具Apktool为实验对象的测试中,我们总共发现了12个未知的可利用的缺陷,这些缺陷都已被证明可用于实际应用来对抗重打包攻击。

采用中国剩余定理构造的可恢复Android应用水印方法

近年来,随着Android应用数量的增长针对Android应用的攻击手段也在不断增加.应用程序重打包这类软件剽窃手段会快速且大量增加Android应用市场中恶意应用程序的数量,这会对Android生态系统的安全构成威胁.Android应用水印作为一种能缓解应用程序重打包威胁的方法,已有研究者提出一些水印方案.而考虑到应用程序水印被破坏后难以验证的事实,本文提出一种采用中国剩余定理构造的可恢复应用程序水印方法,对于被部分破坏的水印仍然能够实现验证.实验结果显示:对于部分被破坏的水印方案仍能有效恢复出完整水印,而且对于用户来说方案亦具有较小的性能开销.

基于沙盒技术的企业移动应用安全平台

随着智能手机的普及,移动互联网正在成为发展主流,大量的应用从PC向手机端转移.移动应用给企业的业务和办公带来了便利,同时也带来了各种安全风险和管理问题.本文研究了企业移动应用沙盒技术,它将企业移动应用及其数据和个人应用及其数据进行隔离,保护企业应用和数据的安全.经过实践证明,基于沙盒技术开发出的产品能够满足企业的数据保护要求,并且使用方便.

探索BYOD应用安全管控的技术方法

随着智能终端的普及,BYOD应用也越多越流行,数据安全也变得越来越重视.文章分析了BYOD应用安全管控的技术方法,比较不同BYOD安全解决方案的优缺点,让BYOD管理者根据自身需求选择最优技术方案.