Android平台二进制代码库的密码学误用研究

发布时间：2020-06-22 16:23

【摘要】：在Android平台应用开发过程中,ARM二进制代码库的引入极大地提升了常用算法的执行效率。然而,二进制代码库的引入带来的不仅仅是便利,理解二进制代码所需的时间远高于理解源码,从而会显著地提高分析工作的复杂性,因此在二进制代码中存在的问题就更难被发现。目前针对Android平台应用程序中的二进制代码以及代码库的审查研究主要关注的是应用程序对二进制代码API调用的正确性,研究人员较少地关注二进制代码本身存在的问题和缺陷。如果安全问题并不是来自于错误的API调用,而是产生于代码内部的错误实现,现有的审查方案就难以发现这类问题。为了深入开展Android平台的二进制代码库安全审计,我们设计并实现了一个Android平台二进制代码库的分析系统NativeSpeaker,它具备识别二进制代码库中特定类型的安全漏洞的功能,可被用于在第三方应用市场的应用中进行大规模分析,找到此类漏洞。我们基于NativeSpeaker对目前Android平台二进制代码库进行了大规模分析,我们采集并分析了第三方应用市场中的20000个应用程序,共分析了20353个二进制代码库。我们主要关注二进制代码库中的密码学误用问题,具体地,我们的分析发现有大约30%的开发者以二进制代码库的方式实现了密码算法等安全相关的功能。然而这些以二进制代码库形式实现的安全函数存在很高比例的安全问题:我们发现即使在使用量最高的二进制代码库中(前1%),仍然有三分之一的二进制代码库存在密码学误用问题。进一步,我们选取了由此类误用问题引起的不安全通信漏洞作为分析对象来验证这类密码学误用问题的危害性,结果表明,存在密码学漏洞问题的二进制代码库中,四分之一的分析对象都实现了不安全的网络通信过程。我们的研究工作表明,密码学误用的安全问题广泛存在于Android平台的二进制代码库中。更为严重的是,由于这些二进制代码库中密码算法误用漏洞无法通过API调用分析发现,它们可能会长期隐藏于流行的第三方代码库中,并广泛影响使用这些第三方库的应用程序的安全性。因此,我们提出的NativeSpeaker系统能够为Android平台二进制代码的安全审计提供更加详细的代码理解,从而帮助分析人员和开发人员消除此类安全隐患。
【学位授予单位】：上海交通大学
【学位级别】：硕士
【学位授予年份】：2018
【分类号】：TP316;TN918.1

【相似文献】

相关期刊论文 前10条

1 许团;屈蕾蕾;石文昌;;基于结构特征的二进制代码安全缺陷分析模型[J];网络与信息安全学报;2017年09期

2 崔宝江;国鹏飞;王建新;;基于符号执行与实际执行的二进制代码执行路径分析[J];清华大学学报(自然科学版);2009年S2期

3 李卷孺;谷大武;陆海宁;;一种精简二进制代码的程序理解方法[J];计算机应用;2008年10期

4 任泰明,邹辉;TCP/IP协议二进制代码的分析方法[J];兰州石化职业技术学院学报;2005年03期

5 王怀军;房鼎益;李光辉;张聪;姜河;;基于变形的二进制代码混淆技术研究[J];四川大学学报(工程科学版);2014年01期

6 赵钊;袁勇;车向前;何永君;元慧慧;;多种动态二进制代码插入框架的研究与分析[J];微计算机信息;2010年12期

7 曾鸣;赵荣彩;姚京松;王小芹;;基于特征提取的二进制代码比较技术[J];计算机工程与应用;2006年22期

8 高敏芬;刘露;;二进制代码分析实验平台搭建[J];实验室研究与探索;2015年05期

9 高敏芬;王志;;二进制代码分析实验平台设计[J];实验室科学;2011年06期

10 姚伟平;王震宇;刘建林;窦增杰;;二进制代码覆盖率评估系统的设计与实现[J];计算机工程与设计;2010年24期

相关会议论文 前4条

1 王旭;范文庆;黄玮;;二进制代码混淆关键技术研究[A];2012年全国网络与数字内容安全学术年会论文集[C];2012年

2 李卷孺;谷大武;陆海宁;;二进制代码隐秘功能的安全性验证[A];全国计算机安全学术交流会论文集（第二十三卷）[C];2008年

3 黄文;黄玮;范文庆;;基于二进制代码的传感器网络缓冲区溢出检测模型[A];第十三届中国科协年会第11分会场-中国智慧城市论坛论文集[C];2011年

4 靳鑫;杜林;;开源软件安全检测关键技术[A];数字中国 能源互联——2018电力行业信息化年会论文集[C];2018年

相关重要报纸文章 前7条

1 ;SaaS安全服务正趋于成熟[N];计算机世界;2007年

2 湖南科技大学 欧阳明星;功能强大的LCD/LED字模提取软件[N];电子报;2004年

3 艾文;用户可以任意裁剪RedOffice[N];中国计算机报;2003年

4 乐天　编译;开源软件许可百花齐放[N];计算机世界;2009年

5 WQS;编程语言[N];电脑报;2003年

6 张群英;Sun终于开放Solaris[N];网络世界;2005年

7 徐莉;Solaris开源 谁最高兴?[N];网络世界;2005年

相关博士学位论文 前6条

1 邱景;面向软件安全的二进制代码逆向分析关键技术研究[D];哈尔滨工业大学;2015年

2 王志;二进制代码路径混淆技术研究[D];南开大学;2012年

3 刘智;二进制代码级的漏洞攻击检测研究[D];电子科技大学;2013年

4 奚琪;基于模型检测的二进制代码恶意行为识别技术研究[D];解放军信息工程大学;2014年

5 朱二周;基于CPU/GPU平台的虚拟化技术研究[D];上海交通大学;2012年

6 高洪博;指令诱发型硬件木马检测技术研究[D];解放军信息工程大学;2013年

相关硕士学位论文 前10条

1 苏晓辉;基于深度学习的跨平台二进制代码关联分析[D];哈尔滨工业大学;2019年

2 王晴;Android平台二进制代码库的密码学误用研究[D];上海交通大学;2018年

3 文成;二进制代码的类型恢复及其应用[D];深圳大学;2018年

4 黎恒;基于二进制代码同源性的恶意程序检测技术的研究与实现[D];北京邮电大学;2019年

5 邢文静;基于程序切片的二进制代码漏洞智能检测研究[D];河北大学;2019年

6 孙言斐;二进制代码辅助分析与管理平台的设计与实现[D];山东大学;2019年

7 张德智;二进制代码级ROP变种攻击与防御技术[D];河北大学;2018年

8 章亮;二进制代码漏洞静态检测研究[D];华侨大学;2017年

9 王蕾;基于语义的二进制代码反混淆方法的研究与实现[D];西北大学;2016年

10 吴适;基于二进制代码混淆的软件保护研究[D];电子科技大学;2013年

本文编号：2725926