Invetter: Locating Insecure Input Validations in Android Services

释放双眼,带上耳机,听听看~!

文 档: Invetter: Locating Insecure Input Validations in Android Services
作 者: 张磊@复旦大学
语 言: 中文
标 签 漏洞挖掘 Android 漏洞检测 移动安全 机器学习 静态分析
介 绍:

Android系统整合了越来越多的系统服务,其中不乏地理位置、电话、短信等各种敏感服务及资源。为了防止恶意软件利用这些系统服务非法获取敏感的系统资源,Android系统实现了一套基于访问控制的机制去保护这些服务。虽然,已经有很多工作研究了这些访问控制中的漏洞问题,但是,他们都集中于研究那些基于权限验证的访问控制,还有一大类基于输入验证的访问控制,却被疏忽了。而本文就是针对那些尚未被研究过的存在于Android系统服务中的输入验证。虽然Android系统服务中包含了很多输入验证,但是我们发现,识别他们仍然有很多困难,因为他们分布非常离散,而且缺少结构化特征,也没有文档说明。为了解决这些困难,我们实现了一个叫做Invetter的工具。该工具通过利用机器学习和静态分析去识别敏感的输入验证,再结合一些安全规则进行漏洞检测。最终,通过对8个Android系统镜像的扫描,我们发现了约20个漏洞。

援 引: https://www.inforsec.org/wp/?p=3040

相关文章

人已赞赏
安全教程

用于发现物联网设备的规则采集引擎

2020-3-5 1:38:52

安全教程

谁劫持了我的DNS:全球域名解析路径劫持测量与分析_2

2020-3-5 1:39:00

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索