DidFail:你的手机信息泄漏了么

infoq

infoq

· 2014.07.14

近日,CERT Secure Coding团队发布了一款免费工具,它能够分析Android应用程序中的敏感信息泄漏。CERT的研究人员称,他们的工具“是一款面向Android应用程序的、最准确的污染流静态分析工具。”

播放 暂停

DidFail:你的手机信息泄漏了么

00:00 02:39

安卓 安全

近日,CERT Secure Coding团队发布了一款免费工具,它能够分析Android应用程序中的敏感信息泄漏。CERT的研究人员称,他们的工具“是一款面向Android应用程序的、最准确的污染流静态分析工具。”

CERT的工作解决了从敏感源到受限接收点的信息泄漏问题。敏感信息泄漏可能发生在,比如,用户安装应用程序时,它将用户的联系人列表(源)泄漏给了一些未经许可的第三方(接收点)。这是信息流分析的典型问题。安全问题也可能发生在数据流反向流动的过程中,比如,不可信数据发送到一个只该存储由特许源发送的高可信数据的地方。

为了解决此类问题,CERT的研究人员设计并实现了DidFail(Droid Intent Data Flow Analysis for Information Leakage),用户可以免费下载。它整合并增强了两款现有的Android数据流分析工具FlowDroidEpicc,前者识别组件内的污染流,后者识别诸如动作字符串这样的intents属性。

CERT的研究人员Will Kiebler说,与FlowDroid相比,DidFail的优势在于它“分析应用程序之间或者单个应用程序的多个组件之间的潜在污染流”,而FlowDroid只侧重于“应用程序单个组件内的信息流”。按照Kiebler说法,可以这样描述DidFail的行为,它“取得原始的APK,并在代码中每个APK发送intent的地方添加一个唯一标识”。这个唯一标识之后会用于“匹配Epicc和FlowDroid的输出”。

有关DidFail的工作尚未完成,Kiebler说,“由于应用程序之间信息流的检测采用了一种粗粒度的方法,它可能会产生误报”。更重要的是,DidFail只关注作为跨应用程序数据通信方法的Android intents,而并不考虑其它Android IAP机制,如直接查询内容提供商,从SD卡读取数据及向SD卡写入数据,使用由底层Android Linux操作系统实现的通信渠道(如sockets或Binder)。

英文原文:DidFail: a Free Android Tool to Detect Information Leakage

本文系作者infoq授权钛媒体发表,并经钛媒体编辑,转载请注明出处、作者和本文链接
想和千万钛媒体用户分享你的新奇观点和发现,点击这里投稿 。创业或融资寻求报道,点击这里

敬原创,有钛度,得赞赏

”支持原创,赞赏一下“
hB9jMz 钛粉54886 钛粉07496 钛粉47967 钛粉11165 钛粉26647
454人已赞赏 >
454换成打赏总人数454人赞赏钛媒体文章
关闭弹窗

挺钛度,加点码!

  • ¥ 5
  • ¥ 10
  • ¥ 20
  • ¥ 50
  • ¥ 100

支付方式

确认支付
关闭弹窗

支付

支付金额:¥6

关闭弹窗
sussess

赞赏金额:¥ 6

赞赏时间:2020.02.11 17:32

关闭弹窗 关闭弹窗

Oh! no

您是否确认要删除该条评论吗?

注册邮箱未验证

我们已向下方邮箱发送了验证邮件,请查收并按提示验证您的邮箱。

如果您没有收到邮件,请留意垃圾邮件箱。

更换邮箱

您当前使用的邮箱可能无法接收验证邮件,建议您更换邮箱

账号合并

经检测,你是“钛媒体”和“商业价值”的注册用户。现在,我们对两个产品因进行整合,需要您选择一个账号用来登录。无论您选择哪个账号,两个账号的原有信息都会合并在一起。对于给您造成的不便,我们深感歉意。