面向Android生态系统中的第三方SDK安全性分析

作     者：马凯 郭山清 MA Kai1, GUO Shan-Qing1,2

作者机构：山东大学计算机科学与技术学院山东济南250101 密码技术与信息安全教育部重点实验室(山东大学)山东济南250101 

基　　金：国家自然科学基金(91546203 61173068 61573212) 山东省重点研发计划(2015GGX101046) 山东省自然科学基金(ZR2014FM020)~~ 

出 版 物：《软件学报》 (Journal of Software)

年 卷 期：2018年第29卷第5期

页      码：1379-1391页

摘      要：目前,许多Android系统开发人员为了缩短开发时间,选择在其应用程序中内置第三方SDK的方式.第三方SDK是一种由广告平台、数据提供商、社交网络和地图服务提供商等第三方服务公司开发的工具包,它已经成为Android生态系统的重要组成部分.但是,一个SDK有安全漏洞,会导致所有包含该SDK的应用程序易受攻击,这严重影响了Android生态系统的安全性.因此,在市场上选取了129个流行的第三方SDK,并对其安全性进行了全面分析.为了提高分析的准确性,将第三方SDK的demo应用作为分析对象,并使用了在分析Android应用中有效的分析方法(例如静态污点追踪、动态污点追踪、动态二进制插桩等)和分析工具(例如flowdroid、droidbox等).结果显示:在选取的这些SDK中,超过60%含有各种漏洞(例如HTTP的误用、SSL/TLS的不正确配置、敏感权限滥用、身份识别、本地服务、通过日志造成信息泄露、开发人员的失误),这对相关应用程序的使用者构成了威胁.

主 题 词：Android 第三方SDK 安全性分析 漏洞检测 

学科分类：08[工学] 0835[0835] 0811[工学-水利类] 0812[工学-测绘类] 081202[081202] 

核心收录：

D　O　I：10.13328/j.cnki.jos.005497

馆 藏 号：203289241...