• 中国精品科技期刊
  • CCF推荐A类中文期刊
  • 计算领域高质量科技期刊T1类
高级检索

TipTracer:基于安全提示的安卓应用通用漏洞检测框架

张磊, 杨哲慜, 李明琪, 杨珉

张磊, 杨哲慜, 李明琪, 杨珉. TipTracer:基于安全提示的安卓应用通用漏洞检测框架[J]. 计算机研究与发展, 2019, 56(11): 2315-2329. DOI: 10.7544/issn1000-1239.2019.20190348
引用本文: 张磊, 杨哲慜, 李明琪, 杨珉. TipTracer:基于安全提示的安卓应用通用漏洞检测框架[J]. 计算机研究与发展, 2019, 56(11): 2315-2329. DOI: 10.7544/issn1000-1239.2019.20190348
shu
Zhang Lei, Yang Zhemin, Li Mingqi, Yang Min. TipTracer: Detecting Android Application Vulnerabilities Based on the Compliance with Security Guidance[J]. Journal of Computer Research and Development, 2019, 56(11): 2315-2329. DOI: 10.7544/issn1000-1239.2019.20190348
Citation: Zhang Lei, Yang Zhemin, Li Mingqi, Yang Min. TipTracer: Detecting Android Application Vulnerabilities Based on the Compliance with Security Guidance[J]. Journal of Computer Research and Development, 2019, 56(11): 2315-2329. DOI: 10.7544/issn1000-1239.2019.20190348
shu
张磊, 杨哲慜, 李明琪, 杨珉. TipTracer:基于安全提示的安卓应用通用漏洞检测框架[J]. 计算机研究与发展, 2019, 56(11): 2315-2329. CSTR: 32373.14.issn1000-1239.2019.20190348
引用本文: 张磊, 杨哲慜, 李明琪, 杨珉. TipTracer:基于安全提示的安卓应用通用漏洞检测框架[J]. 计算机研究与发展, 2019, 56(11): 2315-2329. CSTR: 32373.14.issn1000-1239.2019.20190348
shu
Zhang Lei, Yang Zhemin, Li Mingqi, Yang Min. TipTracer: Detecting Android Application Vulnerabilities Based on the Compliance with Security Guidance[J]. Journal of Computer Research and Development, 2019, 56(11): 2315-2329. CSTR: 32373.14.issn1000-1239.2019.20190348
Citation: Zhang Lei, Yang Zhemin, Li Mingqi, Yang Min. TipTracer: Detecting Android Application Vulnerabilities Based on the Compliance with Security Guidance[J]. Journal of Computer Research and Development, 2019, 56(11): 2315-2329. CSTR: 32373.14.issn1000-1239.2019.20190348
shu

TipTracer:基于安全提示的安卓应用通用漏洞检测框架

  • (复旦大学软件学院 上海 201203) (lei_zhang14@fudan.edu.cn)

基金项目: 国家“九七三”重点基础研究发展计划项目(2015CB358800);国家自然科学基金项目(U1636204,61602121,U1736208,61602123,U1836213,U1836210)
详细信息

  • 中图分类号: TP39

TipTracer: Detecting Android Application Vulnerabilities Based on the Compliance with Security Guidance

  • (Software School, Fudan University, Shanghai 201203)

摘要

    摘要
  • 摘要: 为了使开发者能安全准确地使用第三库接口,库设计者提供了各种类型的安全提示(安全规约),进而保护应用程序免受因库函数的误用而造成的安全攻击.然而,研究表明:开发者经常性不遵守这些安全规约,导致应用程序中引入了各种各样的安全漏洞.为了评估该问题的影响与规模,进行了系统性的、大规模的对安全规约在安卓应用程序中违反情况的研究.结果表明:已有的安全规约由于不精确的描述、误导性的代码示例、错误的默认设置、碎片化以及缺少强制性检查等原因而大大影响了其在实际运用中的有效性.为了使开发者能更好地遵守安全规约,提出了TipTracer,一个自动化的通用漏洞分析框架.TipTracer主要包含2个部分:1)TipTracer定义了一个能形式化描述安全规约的安全性语言,并利用该语言对已知的安全规约进行形式化表述;2)TipTracer实现了一个静态代码分析器,用于检查应用程序是否满足安全规约.最后,通过大规模的实验分析,证明了TipTracer能有效且准确地对大规模的真实应用程序进行安全性分析.
    Abstract: Many security vulnerabilities are caused by the unsafe use of library programming interfaces. To protect applications from security attacks, library designers provide security tips to help developers use security-sensitive APIs correctly. However, developers often fail to follow security tips, which can introduce vulnerabilities to their programs. To evaluate the scale and impact of this problem, we conduct the first systematic, large-scale study on security tips and their violations in Android apps. Our study shows that existing security tips are less effective, due to their imprecise descriptions, misleading sample code, incorrect default settings, fragmentation (scattered across different sources), and lack of compliance check. As a result, the significant portion of Android apps we analyze are found to be vulnerable. To help the security guidance better followed by app developers, we propose TipTracer, a framework for verifying Android security tips automatically and efficiently. TipTracer contains a security property language that formally describes constraints expressed in security tips and a static code analyzer that checks whether applications satisfy security tips. We demonstrate the effectiveness, efficiency and usability of TipTracer using a large set of real-world apps.
    • HTML全文
    • 参考文献(0)
    • 相关文章
    • 施引文献(11)

  • 期刊类型引用(8)

    1. 邱朋飞,孙日辉,王春露,汪东升. 现代处理器低功耗漏洞发现与利用. 中国科学:信息科学. 2025(02): 297-325 . 百度学术
    2. 徐杰,吴茂雪. 基于数据中心的数据传输网络拓扑结构及拥塞控制研究. 中国高新科技. 2024(21): 27-28+31 . 百度学术
    3. 杨帆,张倩颖,施智平,关永. 可信执行环境软件侧信道攻击研究综述. 软件学报. 2023(01): 381-403 . 百度学术
    4. 黎秀,潘虹,朱镕申. 移动终端软件高速缓存侧信道脆弱性识别仿真. 计算机仿真. 2022(02): 496-500 . 百度学术
    5. 王崇,魏帅,张帆,宋克. 缓存侧信道防御研究综述. 计算机研究与发展. 2021(04): 794-810 . 本站查看
    6. 丛眸,张平,王宁. 针对KASLR的Linux计时攻击方法. 计算机工程. 2021(08): 177-182 . 百度学术
    7. 高岩,资郴琛,冯四风,顾青. 面向拟态防御理论构造Web网关的安全调度算法. 小型微型计算机系统. 2021(09): 1913-1919 . 百度学术
    8. 李志峰,高玉琢. 基于高速缓存的侧信道攻击方法研究. 网络安全技术与应用. 2021(09): 4-7 . 百度学术

    其他类型引用(3)

    • 资源附件(0)
计量
  • 文章访问数:  1273
  • HTML全文浏览量:  8
  • PDF下载量:  495
  • 被引次数: 11
出版历程
  • 发布日期:  2019-10-31

目录

摘要
HTML全文
    参考文献(0)
    相关文章
    施引文献(11)
    资源附件(0)

    /

    返回文章
    返回
    邮件订阅 RSS
    微信订阅号<br/>(实时资讯)

    微信订阅号
    (实时资讯)

    微信服务号<br/>(同步网站)

    微信服务号
    (同步网站)

    微信视频号<br/>(视频分享)

    微信视频号
    (视频分享)

    CCF<br/>(扫码入会)

    CCF
    (扫码入会)

    版权所有 © 《计算机研究与发展》编辑部

    本系统由北京仁和汇智信息技术有限公司开发  百度统计