DidFail:你的手機信息泄漏了么

安卓 安全

近日,CERT Secure Coding團隊發佈了一款免費工具,它能夠分析Android應用程序中的敏感信息泄漏。CERT的研究人員稱,他們的工具「是一款面向Android應用程序的、最準確的污染流靜態分析工具。」

CERT的工作解決了從敏感源到受限接收點的信息泄漏問題。敏感信息泄漏可能發生在,比如,用戶安裝應用程序時,它將用戶的聯繫人列表(源)泄漏給了一些未經許可的第三方(接收點)。這是信息流分析的典型問題。安全問題也可能發生在數據流反向流動的過程中,比如,不可信數據發送到一個只該存儲由特許源發送的高可信數據的地方。

為了解決此類問題,CERT的研究人員設計並實現了DidFail(Droid Intent Data Flow Analysis for Information Leakage),用戶可以免費下載。它整合併增強了兩款現有的Android數據流分析工具FlowDroidEpicc,前者識別組件內的污染流,後者識別諸如動作字符串這樣的intents屬性。

CERT的研究人員Will Kiebler說,與FlowDroid相比,DidFail的優勢在於它「分析應用程序之間或者單個應用程序的多個組件之間的潛在污染流」,而FlowDroid只側重於「應用程序單個組件內的信息流」。按照Kiebler說法,可以這樣描述DidFail的行為,它「取得原始的APK,並在代碼中每個APK發送intent的地方添加一個唯一標識」。這個唯一標識之後會用於「匹配Epicc和FlowDroid的輸出」。

有關DidFail的工作尚未完成,Kiebler說,「由於應用程序之間信息流的檢測採用了一種粗粒度的方法,它可能會產生誤報」。更重要的是,DidFail只關注作為跨應用程序數據通信方法的Android intents,而並不考慮其它Android IAP機制,如直接查詢內容提供商,從SD卡讀取數據及向SD卡寫入數據,使用由底層Android Linux操作系統實現的通信渠道(如sockets或Binder)。

英文原文:DidFail: a Free Android Tool to Detect Information Leakage


(關注更多鈦媒體作者觀點,參與鈦媒體微信互動(微信搜索「鈦媒體」或「taimeiti」))

分享到Facebook
技術平台: Nasthon Systems