标题:面向Android生态系统中的第三方SDK安全性分析
作者:马凯;郭山清
作者机构:[马凯] 山东大学计算机科学与技术学院, 济南, 山东 250101, 中国.;[郭山清] 山东大学计算机科学与技术学院;;山东大学, ;;密码技术与信息安全教育部重点实验室, 济 更多
通讯作者:Ma, K(makaisdu@gmail.com)
通讯作者地址:[Ma, K] College of Computer Science and Technology, Shandong UniversityChina;
来源:软件学报
出版年:2018
卷:29
期:5
页码:1379-1391
DOI:10.13328/j.cnki.jos.005497
关键词:第三方SDK; 安全性分析; 漏洞检测
摘要:目前,许多Android系统开发人员为了缩短开发时间,选择在其应用程序中内置第三方SDK的方式.第三方SDK是一种由广告平台、数据提供商、社交网 络和地图服务提供商等第三方服务公司开发的工具包,它已经成为Android生态系统的重要组成部分.但是,一个SDK有安全漏洞,会导致所有包含该SD K的应用程序易受攻击,这严重影响了Android生态系统的安全性.因此,在市场上选取了129个流行的第三方SDK,并对其安全性进行了全面分析.为 了提高分析的准确性,将第三方SDK的demo应用作为分析对象,并使用了在分析Android应用中有效的分析方法(例如静态污点追踪、动态污点追踪、 动态二进制插桩等)和分析工具(例如flowdroid、droidbox等).结果显示:在选取的这些SDK中,超过60%含有各种漏洞(例如HTTP 的误用、SSL/TLS的不正确配置、敏感权限滥用、身份识别、本地服务、通过日志造成信息泄露、开发人员的失误),这对相关应用程序的使用者构成了威胁 .
收录类别:EI;CSCD;SCOPUS
资源类型:期刊论文
原文链接:https://www.scopus.com/inward/record.uri?eid=2-s2.0-85049557442&doi=10.13328%2fj.cnki.jos.005497&partnerID=40&md5=22c6b9d3274097e244c9e062c0987de7
TOP