安卓应用软件中Intent数据验证漏洞的检测方法

作     者：肖卫 张源 杨珉 XIAO Wei;ZHANG Yuan;YANG Min

作者机构：复旦大学软件学院上海201203 

基　　金：上海市青年科技英才扬帆计划项目(16YF1400800)资助 国家"九七三"重点基础研究发展计划项目(2015CB358800)资助 国家自然科学基金项目(61300027)资助 上海市科学技术委员会项目(13511504402 13JC1400800 15511103003)资助 

出 版 物：《小型微型计算机系统》 (Journal of Chinese Computer Systems)

年 卷 期：2017年第38卷第4期

页      码：813-819页

摘      要：安卓平台采用Intent机制支持应用软件组件之间的通讯.然而,如果Intent的接收者没有对Intent对象内畸形数据进行验证将有可能导致进程崩溃,无法正常提供服务.针对这类漏洞,设计并实现了一套融合动静态分析技术的检测工具IntentChecker.在无需源代码的情况下,Intent Checker通过静态数据流分析技术跟踪应用软件对Intent对象的数据访问,识别是否存在畸形数据的验证漏洞,并且提取漏洞利用的关键特征,辅助动态分析技术对漏洞进行确认.为了支持对应用商城中海量应用的高效检测,Intent Checker通过集中扫描高风险代码区域,能在不明显降低漏洞检出率的情况下,大大提高检测效率.实验结果表明,约19%的热门应用存在该类型漏洞,Intent Checker的平均漏洞检测时间仅为15秒,具有大规模的可部署性.

主 题 词：安卓 应用安全 静态分析 动态分析 Dex字节码 

学科分类：08[工学] 0835[0835] 081202[081202] 0812[工学-测绘类] 

馆 藏 号：203220067...