安卓应用程序安全性分析-唐祝寿

安卓应用程序安全性分析pLL(at)mobeisecurity.com检查项目很多组件安全Activity劫持检测Activity暴露检测广播劫持检测广播伪造检测广播暴露检测服务劫持检测服务暴露检测Content-provider暴露检测…敏感方法拨打电话发送短信息获取短信息获取通信录拦截短信代码自修改动态类加载注册为设备管理器…检查项目很多Ref:Android系统安全漏洞检测与利用（诸葛建伟）检查过程很复杂•开发者文档描述有问题–不清晰–有错误–很复杂•安全性依赖个人能力–审查很复杂–无现成工具代码安全分析的几个层面•静态分析–配置文件上的安全检测(AndroidManifest.XML、签名、hash)–代码层面上的安全检测–关联分析–代码逻辑上的分析•动态分析安全评估动态检测方法•Intent-fuzzer•Content-fuzzer•Drozer恶意程序动态测试•代码覆盖能力测试SMS_send_onCreateSMS_send_onDestroySMS_send_button_onClickSMS_send_view_onTouchSMS_send_with_conditionsSMS_send_receiverAnubisYYYYNNB-chaoYNNNNNFireeyeYNNNNN恶意程序动态测试•指纹特征–b-chao()–DEVICEID:000000000000000;TEL:15555215554;IMSI:310260000000000–fireeye()–name:TaintDroidNotificationService;packageName:org.appanalysis–anubis()–TEL:15555215554;IMEI:89014103211118510720–foresafe()–DEVICEID:000000000000000;TEL:15555215554;IMEI:89014103211118510720;IMSI:310260000000000REF:DISSECTINGTHEANDROIDBOUNCER配置文件上的安全检测•广告分析•部分组件安全•查杀特征代码层面上的安全检测•代码扫描静态分析Dex、apk输入预处理（反编译、代码预处理）抽象语法树控制流与符号表数据流污点传播分析代码层面上的安全检测关联分析•安全评估•“恶意”行为是否经过”交互”？–调用序列问题–什么样子的交互？关联分析死代码or来自jni的调用？逻辑上的问题导致停止功能永远都不会被执行到识别程序的意图假淘宝分析结果，使用的权限比一般应用少得多恶意|非恶意界限不明确•支付宝比faketaobao使用的权限还多•有些恶意程序没恶意行为Ref:VisualThreat信息安全公司攻击技术走在检测技术前头•混淆代码–1000a.1000b=1000c–1000.1000=1000•reflection•加密代码•加固•…攻击技术走在检测技术前头Smali和java语法上的差别，导致常规分析工具无法识别这是一个identifier还是一个number还有更多工作要做这里…这里…App的安全不只包含客户端代码安全