【摘要】：在Android平臺(tái)應(yīng)用開(kāi)發(fā)過(guò)程中,ARM二進(jìn)制代碼庫(kù)的引入極大地提升了常用算法的執(zhí)行效率。然而,二進(jìn)制代碼庫(kù)的引入帶來(lái)的不僅僅是便利,理解二進(jìn)制代碼所需的時(shí)間遠(yuǎn)高于理解源碼,從而會(huì)顯著地提高分析工作的復(fù)雜性,因此在二進(jìn)制代碼中存在的問(wèn)題就更難被發(fā)現(xiàn)。目前針對(duì)Android平臺(tái)應(yīng)用程序中的二進(jìn)制代碼以及代碼庫(kù)的審查研究主要關(guān)注的是應(yīng)用程序?qū)ΧM(jìn)制代碼API調(diào)用的正確性,研究人員較少地關(guān)注二進(jìn)制代碼本身存在的問(wèn)題和缺陷。如果安全問(wèn)題并不是來(lái)自于錯(cuò)誤的API調(diào)用,而是產(chǎn)生于代碼內(nèi)部的錯(cuò)誤實(shí)現(xiàn),現(xiàn)有的審查方案就難以發(fā)現(xiàn)這類問(wèn)題。為了深入開(kāi)展Android平臺(tái)的二進(jìn)制代碼庫(kù)安全審計(jì),我們?cè)O(shè)計(jì)并實(shí)現(xiàn)了一個(gè)Android平臺(tái)二進(jìn)制代碼庫(kù)的分析系統(tǒng)NativeSpeaker,它具備識(shí)別二進(jìn)制代碼庫(kù)中特定類型的安全漏洞的功能,可被用于在第三方應(yīng)用市場(chǎng)的應(yīng)用中進(jìn)行大規(guī)模分析,找到此類漏洞。我們基于NativeSpeaker對(duì)目前Android平臺(tái)二進(jìn)制代碼庫(kù)進(jìn)行了大規(guī)模分析,我們采集并分析了第三方應(yīng)用市場(chǎng)中的20000個(gè)應(yīng)用程序,共分析了20353個(gè)二進(jìn)制代碼庫(kù)。我們主要關(guān)注二進(jìn)制代碼庫(kù)中的密碼學(xué)誤用問(wèn)題,具體地,我們的分析發(fā)現(xiàn)有大約30%的開(kāi)發(fā)者以二進(jìn)制代碼庫(kù)的方式實(shí)現(xiàn)了密碼算法等安全相關(guān)的功能。然而這些以二進(jìn)制代碼庫(kù)形式實(shí)現(xiàn)的安全函數(shù)存在很高比例的安全問(wèn)題:我們發(fā)現(xiàn)即使在使用量最高的二進(jìn)制代碼庫(kù)中(前1%),仍然有三分之一的二進(jìn)制代碼庫(kù)存在密碼學(xué)誤用問(wèn)題。進(jìn)一步,我們選取了由此類誤用問(wèn)題引起的不安全通信漏洞作為分析對(duì)象來(lái)驗(yàn)證這類密碼學(xué)誤用問(wèn)題的危害性,結(jié)果表明,存在密碼學(xué)漏洞問(wèn)題的二進(jìn)制代碼庫(kù)中,四分之一的分析對(duì)象都實(shí)現(xiàn)了不安全的網(wǎng)絡(luò)通信過(guò)程。我們的研究工作表明,密碼學(xué)誤用的安全問(wèn)題廣泛存在于Android平臺(tái)的二進(jìn)制代碼庫(kù)中。更為嚴(yán)重的是,由于這些二進(jìn)制代碼庫(kù)中密碼算法誤用漏洞無(wú)法通過(guò)API調(diào)用分析發(fā)現(xiàn),它們可能會(huì)長(zhǎng)期隱藏于流行的第三方代碼庫(kù)中,并廣泛影響使用這些第三方庫(kù)的應(yīng)用程序的安全性。因此,我們提出的NativeSpeaker系統(tǒng)能夠?yàn)锳ndroid平臺(tái)二進(jìn)制代碼的安全審計(jì)提供更加詳細(xì)的代碼理解,從而幫助分析人員和開(kāi)發(fā)人員消除此類安全隱患。
【學(xué)位授予單位】：上海交通大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2018
【分類號(hào)】：TP316;TN918.1

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 許團(tuán);屈蕾蕾;石文昌;;基于結(jié)構(gòu)特征的二進(jìn)制代碼安全缺陷分析模型[J];網(wǎng)絡(luò)與信息安全學(xué)報(bào);2017年09期

2 崔寶江;國(guó)鵬飛;王建新;;基于符號(hào)執(zhí)行與實(shí)際執(zhí)行的二進(jìn)制代碼執(zhí)行路徑分析[J];清華大學(xué)學(xué)報(bào)(自然科學(xué)版);2009年S2期

3 李卷孺;谷大武;陸海寧;;一種精簡(jiǎn)二進(jìn)制代碼的程序理解方法[J];計(jì)算機(jī)應(yīng)用;2008年10期

4 任泰明,鄒輝;TCP/IP協(xié)議二進(jìn)制代碼的分析方法[J];蘭州石化職業(yè)技術(shù)學(xué)院學(xué)報(bào);2005年03期

5 王懷軍;房鼎益;李光輝;張聰;姜河;;基于變形的二進(jìn)制代碼混淆技術(shù)研究[J];四川大學(xué)學(xué)報(bào)(工程科學(xué)版);2014年01期

6 趙釗;袁勇;車向前;何永君;元慧慧;;多種動(dòng)態(tài)二進(jìn)制代碼插入框架的研究與分析[J];微計(jì)算機(jī)信息;2010年12期

7 曾鳴;趙榮彩;姚京松;王小芹;;基于特征提取的二進(jìn)制代碼比較技術(shù)[J];計(jì)算機(jī)工程與應(yīng)用;2006年22期

8 高敏芬;劉露;;二進(jìn)制代碼分析實(shí)驗(yàn)平臺(tái)搭建[J];實(shí)驗(yàn)室研究與探索;2015年05期

9 高敏芬;王志;;二進(jìn)制代碼分析實(shí)驗(yàn)平臺(tái)設(shè)計(jì)[J];實(shí)驗(yàn)室科學(xué);2011年06期

10 姚偉平;王震宇;劉建林;竇增杰;;二進(jìn)制代碼覆蓋率評(píng)估系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J];計(jì)算機(jī)工程與設(shè)計(jì);2010年24期

相關(guān)會(huì)議論文 前4條

1 王旭;范文慶;黃瑋;;二進(jìn)制代碼混淆關(guān)鍵技術(shù)研究[A];2012年全國(guó)網(wǎng)絡(luò)與數(shù)字內(nèi)容安全學(xué)術(shù)年會(huì)論文集[C];2012年

2 李卷孺;谷大武;陸海寧;;二進(jìn)制代碼隱秘功能的安全性驗(yàn)證[A];全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集（第二十三卷）[C];2008年

3 黃文;黃瑋;范文慶;;基于二進(jìn)制代碼的傳感器網(wǎng)絡(luò)緩沖區(qū)溢出檢測(cè)模型[A];第十三屆中國(guó)科協(xié)年會(huì)第11分會(huì)場(chǎng)-中國(guó)智慧城市論壇論文集[C];2011年

4 靳鑫;杜林;;開(kāi)源軟件安全檢測(cè)關(guān)鍵技術(shù)[A];數(shù)字中國(guó) 能源互聯(lián)——2018電力行業(yè)信息化年會(huì)論文集[C];2018年

相關(guān)重要報(bào)紙文章 前7條

1 ;SaaS安全服務(wù)正趨于成熟[N];計(jì)算機(jī)世界;2007年

2 湖南科技大學(xué) 歐陽(yáng)明星;功能強(qiáng)大的LCD/LED字模提取軟件[N];電子報(bào);2004年

3 艾文;用戶可以任意裁剪RedOffice[N];中國(guó)計(jì)算機(jī)報(bào);2003年

4 樂(lè)天　編譯;開(kāi)源軟件許可百花齊放[N];計(jì)算機(jī)世界;2009年

5 WQS;編程語(yǔ)言[N];電腦報(bào);2003年

6 張群英;Sun終于開(kāi)放Solaris[N];網(wǎng)絡(luò)世界;2005年

7 徐莉;Solaris開(kāi)源 誰(shuí)最高興?[N];網(wǎng)絡(luò)世界;2005年

相關(guān)博士學(xué)位論文 前6條

1 邱景;面向軟件安全的二進(jìn)制代碼逆向分析關(guān)鍵技術(shù)研究[D];哈爾濱工業(yè)大學(xué);2015年

2 王志;二進(jìn)制代碼路徑混淆技術(shù)研究[D];南開(kāi)大學(xué);2012年

3 劉智;二進(jìn)制代碼級(jí)的漏洞攻擊檢測(cè)研究[D];電子科技大學(xué);2013年

4 奚琪;基于模型檢測(cè)的二進(jìn)制代碼惡意行為識(shí)別技術(shù)研究[D];解放軍信息工程大學(xué);2014年

5 朱二周;基于CPU/GPU平臺(tái)的虛擬化技術(shù)研究[D];上海交通大學(xué);2012年

6 高洪博;指令誘發(fā)型硬件木馬檢測(cè)技術(shù)研究[D];解放軍信息工程大學(xué);2013年

相關(guān)碩士學(xué)位論文 前10條

1 蘇曉輝;基于深度學(xué)習(xí)的跨平臺(tái)二進(jìn)制代碼關(guān)聯(lián)分析[D];哈爾濱工業(yè)大學(xué);2019年

2 王晴;Android平臺(tái)二進(jìn)制代碼庫(kù)的密碼學(xué)誤用研究[D];上海交通大學(xué);2018年

3 文成;二進(jìn)制代碼的類型恢復(fù)及其應(yīng)用[D];深圳大學(xué);2018年

4 黎恒;基于二進(jìn)制代碼同源性的惡意程序檢測(cè)技術(shù)的研究與實(shí)現(xiàn)[D];北京郵電大學(xué);2019年

5 邢文靜;基于程序切片的二進(jìn)制代碼漏洞智能檢測(cè)研究[D];河北大學(xué);2019年

6 孫言斐;二進(jìn)制代碼輔助分析與管理平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)[D];山東大學(xué);2019年

7 張德智;二進(jìn)制代碼級(jí)ROP變種攻擊與防御技術(shù)[D];河北大學(xué);2018年

8 章亮;二進(jìn)制代碼漏洞靜態(tài)檢測(cè)研究[D];華僑大學(xué);2017年

9 王蕾;基于語(yǔ)義的二進(jìn)制代碼反混淆方法的研究與實(shí)現(xiàn)[D];西北大學(xué);2016年

10 吳適;基于二進(jìn)制代碼混淆的軟件保護(hù)研究[D];電子科技大學(xué);2013年

本文編號(hào)：2725926