BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

DidFail:一款用于信息泄漏检测的免费Android工具

| 作者 Sergio De Simone 关注 12 他的粉丝 ,译者 马德奎 关注 0 他的粉丝 发布于 2014年7月12日. 估计阅读时间: 2 分钟 | GMTC大前端的下一站,PWA、Web框架、Node等最新最热的大前端话题邀你一起共同探讨。

近日,CERT Secure Coding团队发布了一款免费工具,它能够分析Android应用程序中的敏感信息泄漏。CERT的研究人员称,他们的工具“是一款面向Android应用程序的、最准确的污染流静态分析工具。”

CERT的工作解决了从敏感源到受限接收点的信息泄漏问题。敏感信息泄漏可能发生在,比如,用户安装应用程序时,它将用户的联系人列表(源)泄漏给了一些未经许可的第三方(接收点)。这是信息流分析的典型问题。安全问题也可能发生在数据流反向流动的过程中,比如,不可信数据发送到一个只该存储由特许源发送的高可信数据的地方。

为了解决此类问题,CERT的研究人员设计并实现了DidFail(Droid Intent Data Flow Analysis for Information Leakage),用户可以免费下载。它整合并增强了两款现有的Android数据流分析工具FlowDroidEpicc,前者识别组件内的污染流,后者识别诸如动作字符串这样的intents属性。

CERT的研究人员Will Kiebler说,与FlowDroid相比,DidFail的优势在于它“分析应用程序之间或者单个应用程序的多个组件之间的潜在污染流”,而FlowDroid只侧重于“应用程序单个组件内的信息流”。按照Kiebler说法,可以这样描述DidFail的行为,它“取得原始的APK,并在代码中每个APK发送intent的地方添加一个唯一标识”。这个唯一标识之后会用于“匹配Epicc和FlowDroid的输出”。

有关DidFail的工作尚未完成,Kiebler说,“由于应用程序之间信息流的检测采用了一种粗粒度的方法,它可能会产生误报”。更重要的是,DidFail只关注作为跨应用程序数据通信方法的Android intents,而并不考虑其它Android IAP机制,如直接查询内容提供商,从SD卡读取数据及向SD卡写入数据,使用由底层Android Linux操作系统实现的通信渠道(如sockets或Binder)。

查看英文原文:DidFail: a Free Android Tool to Detect Information Leakage

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT