TipTracer: Detecting Android Application Vulnerabilities Based on the Compliance with Security Guidance
-
摘要: 为了使开发者能安全准确地使用第三库接口,库设计者提供了各种类型的安全提示(安全规约),进而保护应用程序免受因库函数的误用而造成的安全攻击.然而,研究表明:开发者经常性不遵守这些安全规约,导致应用程序中引入了各种各样的安全漏洞.为了评估该问题的影响与规模,进行了系统性的、大规模的对安全规约在安卓应用程序中违反情况的研究.结果表明:已有的安全规约由于不精确的描述、误导性的代码示例、错误的默认设置、碎片化以及缺少强制性检查等原因而大大影响了其在实际运用中的有效性.为了使开发者能更好地遵守安全规约,提出了TipTracer,一个自动化的通用漏洞分析框架.TipTracer主要包含2个部分:1)TipTracer定义了一个能形式化描述安全规约的安全性语言,并利用该语言对已知的安全规约进行形式化表述;2)TipTracer实现了一个静态代码分析器,用于检查应用程序是否满足安全规约.最后,通过大规模的实验分析,证明了TipTracer能有效且准确地对大规模的真实应用程序进行安全性分析.Abstract: Many security vulnerabilities are caused by the unsafe use of library programming interfaces. To protect applications from security attacks, library designers provide security tips to help developers use security-sensitive APIs correctly. However, developers often fail to follow security tips, which can introduce vulnerabilities to their programs. To evaluate the scale and impact of this problem, we conduct the first systematic, large-scale study on security tips and their violations in Android apps. Our study shows that existing security tips are less effective, due to their imprecise descriptions, misleading sample code, incorrect default settings, fragmentation (scattered across different sources), and lack of compliance check. As a result, the significant portion of Android apps we analyze are found to be vulnerable. To help the security guidance better followed by app developers, we propose TipTracer, a framework for verifying Android security tips automatically and efficiently. TipTracer contains a security property language that formally describes constraints expressed in security tips and a static code analyzer that checks whether applications satisfy security tips. We demonstrate the effectiveness, efficiency and usability of TipTracer using a large set of real-world apps.
-
-
期刊类型引用(20)
1. 沈传年. 区块链安全问题研究综述. 计算机工程与科学. 2024(01): 46-62 . 百度学术
2. 张烁晨. 量子纠缠及其应用研究. 电子技术. 2024(03): 4-7 . 百度学术
3. 徐小桐,石润华,柯唯阳,于辉. 无中心的量子匿名一票否决方案. 量子电子学报. 2024(06): 901-913 . 百度学术
4. 许龙,沈晶晶. 中美量子计算领域专利对比分析及发展预测. 中国发明与专利. 2024(12): 54-62 . 百度学术
5. 张舒琪,李延斌,王蓬勃,葛春鹏,徐秋亮. 抗侧信道攻击的后量子密码掩码转换方案. 网络空间安全科学学报. 2024(05): 44-56 . 百度学术
6. 蓝兰鸿,潘明华,王一涵,周家毓. 基于B92量子密钥分发的图像加密系统设计. 信息技术与信息化. 2023(01): 17-20 . 百度学术
7. 李延斌,朱嘉杰,唐明,张焕国. 面向格密码的能耗分析攻击技术. 计算机学报. 2023(02): 331-352 . 百度学术
8. 董慧康,裴东芳. 考虑无线网络安全的量子密码更新算法仿真. 计算机仿真. 2023(02): 399-402+491 . 百度学术
9. 万华,周虎,朱德新,孙羽. 一种基于量子密钥的区块链身份认证方法. 软件工程. 2023(04): 38-41 . 百度学术
10. 杨占杰. 核电DCS系统信息安全防护的探讨. 核科学与工程. 2023(04): 854-860 . 百度学术
11. 王鹏,武俊鹏,高迪. 基于FPGA的Streamlined NTRU Prime抗量子加密技术研究. 无线电工程. 2022(03): 393-398 . 百度学术
12. 李非凡. 后量子密码技术研究热点可视化分析. 河南理工大学学报(自然科学版). 2022(05): 137-145 . 百度学术
13. 牛佳宁,赵子岩,李国春,赵永利. 新型电力系统配网运行场景下的量子密码技术应用体系架构. 电力信息与通信技术. 2022(11): 65-73 . 百度学术
14. 刘峰,杨杰,李志斌,齐佳音. 一种基于区块链的泛用型数据隐私保护的安全多方计算协议. 计算机研究与发展. 2021(02): 281-290 . 本站查看
15. 李萌,尚云. 两硬币量子游走模型中的相干动力学. 计算机研究与发展. 2021(09): 1897-1905 . 本站查看
16. 潘世杰,高飞,万林春,秦素娟,温巧燕. 量子谱回归算法. 计算机研究与发展. 2021(09): 1835-1842 . 本站查看
17. 孙玉明. 外加谐振电压时电容器的电容和电感. 烟台大学学报(自然科学与工程版). 2021(04): 386-391 . 百度学术
18. 张中亚,吴文玲,邹剑. 多轮EM结构的量子差分碰撞密钥恢复攻击. 计算机研究与发展. 2021(12): 2811-2818 . 本站查看
19. 冷新丽,韩跃军,李辉. 大学文科生物理科学素养现状调查及分析——以江西南昌市为例. 科教导刊. 2021(32): 155-158 . 百度学术
20. WANG Yahui,ZHANG Huanguo. Quantum Algorithm for Attacking RSA Based on Fourier Transform and Fixed-Point. Wuhan University Journal of Natural Sciences. 2021(06): 489-494 . 必应学术
其他类型引用(20)
计量
- 文章访问数: 1273
- HTML全文浏览量: 8
- PDF下载量: 495
- 被引次数: 40