【摘要】：在Android平臺應(yīng)用開發(fā)過程中,ARM二進制代碼庫的引入極大地提升了常用算法的執(zhí)行效率。然而,二進制代碼庫的引入帶來的不僅僅是便利,理解二進制代碼所需的時間遠高于理解源碼,從而會顯著地提高分析工作的復(fù)雜性,因此在二進制代碼中存在的問題就更難被發(fā)現(xiàn)。目前針對Android平臺應(yīng)用程序中的二進制代碼以及代碼庫的審查研究主要關(guān)注的是應(yīng)用程序?qū)ΧM制代碼API調(diào)用的正確性,研究人員較少地關(guān)注二進制代碼本身存在的問題和缺陷。如果安全問題并不是來自于錯誤的API調(diào)用,而是產(chǎn)生于代碼內(nèi)部的錯誤實現(xiàn),現(xiàn)有的審查方案就難以發(fā)現(xiàn)這類問題。為了深入開展Android平臺的二進制代碼庫安全審計,我們設(shè)計并實現(xiàn)了一個Android平臺二進制代碼庫的分析系統(tǒng)NativeSpeaker,它具備識別二進制代碼庫中特定類型的安全漏洞的功能,可被用于在第三方應(yīng)用市場的應(yīng)用中進行大規(guī)模分析,找到此類漏洞。我們基于NativeSpeaker對目前Android平臺二進制代碼庫進行了大規(guī)模分析,我們采集并分析了第三方應(yīng)用市場中的20000個應(yīng)用程序,共分析了20353個二進制代碼庫。我們主要關(guān)注二進制代碼庫中的密碼學(xué)誤用問題,具體地,我們的分析發(fā)現(xiàn)有大約30%的開發(fā)者以二進制代碼庫的方式實現(xiàn)了密碼算法等安全相關(guān)的功能。然而這些以二進制代碼庫形式實現(xiàn)的安全函數(shù)存在很高比例的安全問題:我們發(fā)現(xiàn)即使在使用量最高的二進制代碼庫中(前1%),仍然有三分之一的二進制代碼庫存在密碼學(xué)誤用問題。進一步,我們選取了由此類誤用問題引起的不安全通信漏洞作為分析對象來驗證這類密碼學(xué)誤用問題的危害性,結(jié)果表明,存在密碼學(xué)漏洞問題的二進制代碼庫中,四分之一的分析對象都實現(xiàn)了不安全的網(wǎng)絡(luò)通信過程。我們的研究工作表明,密碼學(xué)誤用的安全問題廣泛存在于Android平臺的二進制代碼庫中。更為嚴重的是,由于這些二進制代碼庫中密碼算法誤用漏洞無法通過API調(diào)用分析發(fā)現(xiàn),它們可能會長期隱藏于流行的第三方代碼庫中,并廣泛影響使用這些第三方庫的應(yīng)用程序的安全性。因此,我們提出的NativeSpeaker系統(tǒng)能夠為Android平臺二進制代碼的安全審計提供更加詳細的代碼理解,從而幫助分析人員和開發(fā)人員消除此類安全隱患。
【學(xué)位授予單位】：上海交通大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2018
【分類號】：TP316;TN918.1

【相似文獻】

相關(guān)期刊論文 前10條

1 許團;屈蕾蕾;石文昌;;基于結(jié)構(gòu)特征的二進制代碼安全缺陷分析模型[J];網(wǎng)絡(luò)與信息安全學(xué)報;2017年09期

2 崔寶江;國鵬飛;王建新;;基于符號執(zhí)行與實際執(zhí)行的二進制代碼執(zhí)行路徑分析[J];清華大學(xué)學(xué)報(自然科學(xué)版);2009年S2期

3 李卷孺;谷大武;陸海寧;;一種精簡二進制代碼的程序理解方法[J];計算機應(yīng)用;2008年10期

4 任泰明,鄒輝;TCP/IP協(xié)議二進制代碼的分析方法[J];蘭州石化職業(yè)技術(shù)學(xué)院學(xué)報;2005年03期

5 王懷軍;房鼎益;李光輝;張聰;姜河;;基于變形的二進制代碼混淆技術(shù)研究[J];四川大學(xué)學(xué)報(工程科學(xué)版);2014年01期

6 趙釗;袁勇;車向前;何永君;元慧慧;;多種動態(tài)二進制代碼插入框架的研究與分析[J];微計算機信息;2010年12期

7 曾鳴;趙榮彩;姚京松;王小芹;;基于特征提取的二進制代碼比較技術(shù)[J];計算機工程與應(yīng)用;2006年22期

8 高敏芬;劉露;;二進制代碼分析實驗平臺搭建[J];實驗室研究與探索;2015年05期

9 高敏芬;王志;;二進制代碼分析實驗平臺設(shè)計[J];實驗室科學(xué);2011年06期

10 姚偉平;王震宇;劉建林;竇增杰;;二進制代碼覆蓋率評估系統(tǒng)的設(shè)計與實現(xiàn)[J];計算機工程與設(shè)計;2010年24期

相關(guān)會議論文 前4條

1 王旭;范文慶;黃瑋;;二進制代碼混淆關(guān)鍵技術(shù)研究[A];2012年全國網(wǎng)絡(luò)與數(shù)字內(nèi)容安全學(xué)術(shù)年會論文集[C];2012年

2 李卷孺;谷大武;陸海寧;;二進制代碼隱秘功能的安全性驗證[A];全國計算機安全學(xué)術(shù)交流會論文集（第二十三卷）[C];2008年

3 黃文;黃瑋;范文慶;;基于二進制代碼的傳感器網(wǎng)絡(luò)緩沖區(qū)溢出檢測模型[A];第十三屆中國科協(xié)年會第11分會場-中國智慧城市論壇論文集[C];2011年

4 靳鑫;杜林;;開源軟件安全檢測關(guān)鍵技術(shù)[A];數(shù)字中國 能源互聯(lián)——2018電力行業(yè)信息化年會論文集[C];2018年

相關(guān)重要報紙文章 前7條

1 ;SaaS安全服務(wù)正趨于成熟[N];計算機世界;2007年

2 湖南科技大學(xué) 歐陽明星;功能強大的LCD/LED字模提取軟件[N];電子報;2004年

3 艾文;用戶可以任意裁剪RedOffice[N];中國計算機報;2003年

4 樂天　編譯;開源軟件許可百花齊放[N];計算機世界;2009年

5 WQS;編程語言[N];電腦報;2003年

6 張群英;Sun終于開放Solaris[N];網(wǎng)絡(luò)世界;2005年

7 徐莉;Solaris開源 誰最高興?[N];網(wǎng)絡(luò)世界;2005年

相關(guān)博士學(xué)位論文 前6條

1 邱景;面向軟件安全的二進制代碼逆向分析關(guān)鍵技術(shù)研究[D];哈爾濱工業(yè)大學(xué);2015年

2 王志;二進制代碼路徑混淆技術(shù)研究[D];南開大學(xué);2012年

3 劉智;二進制代碼級的漏洞攻擊檢測研究[D];電子科技大學(xué);2013年

4 奚琪;基于模型檢測的二進制代碼惡意行為識別技術(shù)研究[D];解放軍信息工程大學(xué);2014年

5 朱二周;基于CPU/GPU平臺的虛擬化技術(shù)研究[D];上海交通大學(xué);2012年

6 高洪博;指令誘發(fā)型硬件木馬檢測技術(shù)研究[D];解放軍信息工程大學(xué);2013年

相關(guān)碩士學(xué)位論文 前10條

1 蘇曉輝;基于深度學(xué)習(xí)的跨平臺二進制代碼關(guān)聯(lián)分析[D];哈爾濱工業(yè)大學(xué);2019年

2 王晴;Android平臺二進制代碼庫的密碼學(xué)誤用研究[D];上海交通大學(xué);2018年

3 文成;二進制代碼的類型恢復(fù)及其應(yīng)用[D];深圳大學(xué);2018年

4 黎恒;基于二進制代碼同源性的惡意程序檢測技術(shù)的研究與實現(xiàn)[D];北京郵電大學(xué);2019年

5 邢文靜;基于程序切片的二進制代碼漏洞智能檢測研究[D];河北大學(xué);2019年

6 孫言斐;二進制代碼輔助分析與管理平臺的設(shè)計與實現(xiàn)[D];山東大學(xué);2019年

7 張德智;二進制代碼級ROP變種攻擊與防御技術(shù)[D];河北大學(xué);2018年

8 章亮;二進制代碼漏洞靜態(tài)檢測研究[D];華僑大學(xué);2017年

9 王蕾;基于語義的二進制代碼反混淆方法的研究與實現(xiàn)[D];西北大學(xué);2016年

10 吳適;基于二進制代碼混淆的軟件保護研究[D];電子科技大學(xué);2013年

本文編號：2725926