Android系统代码签名验证机制的实现及安全性分析

文章通过静态分析Android系统源代码以及动态监控应用程序安装、执行过程中的签名验证流程,对Android系统的代码签名验证机制进行深入的剖析,发现Android系统仅在应用程序安装时进行完整的代码签名验证,在后续的程序执行过程中只对程序包进行简单的时间戳及路径验证。该安全隐患使得攻击代码可以绕过签名验证机制,成功实施攻击。

基于可信第三方的Android应用完整性验证模型

提出一个基于可信第三方的Android应用完整性验证模型.采用特征选择算法、XML解析和反编译来获取Android系统完整性信息,终端通过与可信第三方进行验证来保证应用的完整性.对比实验结果表明了系统的有效性和可行性.

一种Android数字签名验证机制漏洞探析

由于Android系统不能有效甄别ZIP文件中的重复项,导致攻击者可以通过构造同名但包含任意恶意程序代码的classes.dex文件,并改变文件的字典顺序,利用Android系统的数字签名验证及文件装载机制的漏洞,欺骗签名验证程序,验证通过后装载的是包含恶意代码的classed.dex文件,从而严重威胁用户的使用安全.本文通过Android程序源代码深入剖析了数字签名及文件装载机制漏洞的成因,并提出了解决方法.

固件安全启动系统的研究

如何确保从芯片上电启动到Android系统固件加载运行的全链条固件的安全性,是固件安全启动系统的核心问题,如何确保对Android系统固件进行签名验证的固件签名密钥的合法性是Android启动时验证的关键问题。为此,本文提出一种多级密钥固件安全启动系统,采用固件签名四级密钥的逐级验证,解决了从芯片上电启动,到Android系统固件加载运行的安全性和固件签名密钥的合法性问题。

动态事件序列制导的Android应用漏洞验证技术

目前Android应用漏洞检测方法分为静态分析和动态分析。其中,静态分析存在误报率较高的问题,动态分析降低了误报率,但是存在运行效率和覆盖率较低的问题。针对动态分析存在的问题,首次提出了动态事件序列制导的Android应用漏洞验证技术,该技术使用自动化UI触发的方法生成Activity跳转关系图,然后对漏洞嫌疑路径进行精确制导,最后对漏洞触发嫌疑路径是否执行进行验证。经过对10 122个应用进行自动化漏洞分析,结果为召回率96.12%,误报率2.66%。实验结果表明,动态事件序列制导的Android应用漏洞验证技术对于自动化分析应用漏洞有很好的效果。

Android平台下的验证码识别研究

为了在开发移动应用APP时,实现与已有系统的无缝连接,在研究验证码图像特征的基础上,首先采用大津法对待验证图片进行预处理,通过对图像进行灰度化、二值化、分割、归一化处理,去除离散噪声;然后利用Hopfield神经网络对字符和背景颜色随机变化的验证码进行识别。通过测试表明,应用这种方法开发的移动应用服务APP,能够有效识别验证码图像,解决系统开发中的透明集成问题,为用户提供完美的操作界面。

采用LSTM模型的Android应用行为一致性检测

针对Android应用数目庞大、功能多样而难以准确验证应用实际类别的情况,对Andriod应用的网络行为进行分析研究,提出应用的行为一致性理论,并实现一种基于网络行为一致性验证的LSTM分类模型.通过构造不同场景事件组合来触发不同功能类别应用运行时的网络行为,提取有效的网络特征构建成网络事件行为时序序列,并设计带有特殊输入结构的LSTM循环神经网络模型,对网络事件行为时序序列中潜在的行为模式进行学习与建模.实验验证结果表明,Android应用样本具有行为一致性;所提出的LSTM网络模型能有效地学习与归纳不同类别应用的网络行为模式;最优模型的平均分类准确性可达92.58%,优于常见的面向Android应用的机器学习分类模型.

一种针对Android系统隐私保护机制有效性的评估方法

为了保护用户的隐私数据,Android实现了一套基于权限的安全机制.为此设计了一种针对该机制的评估工具PrivacyMiner,以检测其在隐私保护方面的有效性.首先将Android系统中的隐私数据分为22个类别;然后使用动态检测与静态污点分析相结合的方法,来检测Android系统的安全机制是否能有效地保护它们.用PrivacyMiner工具对12个版本的Android源代码进行了检测,发现其中有7个类别的隐私数据并没有得到有效的保护,恶意软件可以在用户不知情的情况下读取这些隐私,并发送到任意服务器上.这些漏洞在6个Android设备上得到了验证,从Android2.1到最新发布的Android 4.4.2,均得到了Android安全团队的确认.

将Android平台的RIL层移植到基于LINUX的通用平台的研究与实现

本文通过对Android RIL层代码分析,将android RIL层功能在纯LINUX平台上实现,完全脱离了Android系统。为基于LINUX的通用平台实现一套成熟的RIL层代码,并开发出相应的框架层,以便基于LINUX的平台能快速成熟的向3G网络发起相关业务。在OpenWrt系统上验证了移植后的RIL层代码正常工作。

Android开发环境中的SQLite性能优化

以Android开发环境中SQLite数据库的性能和资源占用为研究对象,剖析了SQLite的体系结构,提出且深入分析了SQLite优化方法,并向数据库中插入1000条数据来加以验证。验证结果表明,通过一次性事务可以使得性能大幅提升。

新型解魔方机器人系统设计与研究

以单片机和安卓手机为核心部件,设计新型四轴解魔方机器人,以实现打乱魔方的自动还原。机器人下位机采用STM32F407VET6单片机对步进电机和舵机进行控制,实现机械臂的解魔方操作;利用Android手机作为上位机,基于手机摄像头和手机APP软件,完成魔方状态的识别及解魔方算法的计算,并通过HC⁃08蓝牙模块将控制指令传送至下位机。实验结果表明,机器人机械结构合理,硬件电路和软件设计方案正确,具有较高的实用性和有效性。

伪造接入点技术的智能手机拒绝服务攻防策略

随着智能手机的普及化,面向该平台的拒绝服务攻击已经成为了无线安全研究领域的一个重要研究方向。针对目前智能Android手机网络安全防护措施研究的不足,从攻击与防御两个不同角度阐述了针对该平台的拒绝服务攻击方案和防御策略。引入了伪造无线WiFi接入点技术的拒绝服务攻击方案,并且提出了应对该攻击方案的双通道验证防御模型。实验结果表明,虚假的WiFi接入点技术可轻易地对智能手机发起有效的拒绝服务攻击,同时双通道验证模型可高效验证无线接入点的网络连通性。

机器人操作系统新发展

操作系统在机器人领域的作用类似智能手机领域的Android和iOS操作系统。当前机器人主流操作系统ROC能够提供类似传统操作系统的诸多功能,如硬件抽象、底层设备控制、常用功能实现、进程间消息传递和程序包管理等。虽然被广泛采用,但其却存在实时性和系统可靠性验证等问题。对于致力机器人产品自主创新的中国来说,如果能抢占机器人操作系统高地,将对我国智能机器人产业的发展具有重大战略意义。

手写口令系统的设计与实现

本文主要介绍了对android手写口令方法的改进,阐述了手势图像获取和SVM模型训练的基本原理。描述了在android平台上对手写口令系统的设计与实现,采用CAPTCHA图片验证码提高系统的安全性。实验结果说明系统具有一定的鲁棒性,并在此基础上提出进一步的工作。

国家信息安全漏洞通报

漏洞态势公开漏洞情况根据国家信息安全漏洞库（CNNVD）统计,2017年8月份新增安全漏洞共1072个。从厂商分布来看,本月Google公司产品的漏洞数量最多,共发布119个;从漏洞类型来看,缓冲区错误类的漏洞占比最大,达到18.28%。本月新增漏洞中,超危漏洞190个、高危漏洞132个、中危漏洞685个、低危漏洞65个。相应修复率分别为97.37%、

应用安全:四个关键步骤

2014年,一些应用的程序漏洞导致了许多机构系统的妥协。例如,代号为＂Heartbleed＂的漏洞是Open SSL的一大败笔。作为加密工具,Open SSL通过互联网为许多应用提供通信安全和隐私方面的保障,包括电子邮件、即时消息和一些虚拟专用网络,而这个缺陷使Mumsnet上1 500万个账户受到入侵。

QR码在Android系统中的研究与应用

0前言QR码是1994年由日本DENSO WAVE公司发明的一种二维条码,来自英文＂Quick Response＂的缩写,也就是快速反应的意思,发明者希望QR码可以快速解码内容。呈正方形的QR码只有黑白两种颜色,其中在4个角落的其中3个印有较小、像＂回＂字的正方图案。这3个是帮助解码软件定位的图案,使用者不需要对准,无论以任何角度扫描,资料都可以被正确读取。QR码最常见的日本的QR码标准JIS X 0510在1999年1月发布,而其对应的ISO国际标准ISO/IEC18004,

智能信用卡:一种可替代苹果支付和安卓支付的新型支付方式?

似乎并不是每个人都愿意用手机支付购物。例证：苹果在去年秋季公布了其移动支付系统——苹果支付,这让iPhone用户能够在指定的零售商店使用指纹进行身份验证从而进行支付购买。然而在苹果支付出现九个月后,一些相关数据看起来却十分暗淡。如6月8日在2015年全球苹果开发者大会上宣布到,只有6%的iOS用户使用苹果支付——尽管这一数字可能会因为增加新的零售商和支持积分卡而有所增长。然而这些数据对Android来说也不是什么好兆头。Android支付是谷歌对苹果移动支付系统的直接回应,同时也是对谷歌钱包的继承,尽管谷歌钱包在过去的四年里受到的关注十分有限。