10.7544/issn1000-1239.2019.20190348
TipTracer:基于安全提示的安卓应用通用漏洞检测框架
为了使开发者能安全准确地使用第三库接口,库设计者提供了各种类型的安全提示(安全规约),进而保护应用程序免受因库函数的误用而造成的安全攻击.然而,研究表明:开发者经常性不遵守这些安全规约,导致应用程序中引入了各种各样的安全漏洞为了评估该问题的影响与规模,进行了系统性的、大规模的对安全规约在安卓应用程序中违反情况的研究结果表明:已有的安全规约由于不精确的描述、误导性的代码示例、错误的默认设置、碎片化以及缺少强制性检查等原因而大大影响了其在实际运用中的有效性为了使开发者能更好地遵守安全规约,提出了TipTracer,一个自动化的通用漏洞分析框架.T ipT racer主要包含2个部分:1)TipTracer定义了一个能形式化描述安全规约的安全性语言,并利用该语言对已知的安全规约进行形式化表述;2)TipTracer实现了一个静态代码分析器,用于检查应用程序是否满足安全规约最后,通过大规模的实验分析,证明了TipTracer能有效且准确地对大规模的真实应用程序进行安全性分析.
安卓安全规约、安卓应用程序、安全性质语言、静态代码分析、漏洞检测
56
TP39(计算技术、计算机技术)
国家“九七三”重点基础研究发展计划项目2015CB358800;国家自然科学基金项目U1636204,61602121,U1736208,61602123,U1836213,U1836210
2019-12-05(万方平台首次上网日期,不代表论文的发表时间)
共15页
2315-2329
