mxgcccc4's blog

[NDSS 18] Finding Clues for Your Secrets: Semantics-Driven, Learning-Based Privacy Discovery in Mobile Apps

July 1, 2018 · 2 minute read · Tags: Android , NDSS , Paper Note

作者: Yuhong Nan, Zhemin Yang, Xiaofeng Wang, Yuan Zhang, Donglai Zhu, Min Yang

单位: Fudan University, Shanghai Insitute of Intelligent Electronics & Systems, Shanghai Key Laboratory of Data Science

出处: NDSS’18

资料:Paper, Slide, Video

对于检测移动应用中的隐私泄露问题来说,自动化检测是一个长期存在的挑战。现有的解决方案则是通过系统API和APP服务端返回内容去着手分析。本文作者提出了一种分析Android APP的新方案。作者认为,程序代码中的方法名、变量名、常量等信息,尽管在轻量级混淆的情况下依旧包含着丰富的语义信息。所以作者通过自然语言处理(NLP)去自动化地定位程序中变量名、方法名等敏感元素,然后使用基于学习的程序框架分析这些真正存在敏感内容的代码。作者通过这种方法分析了445668个app。


Read more

[ACSAC 2017] Supporting Transparent Snapshot for Bare-metal Malware Analysis on Mobile Devices

June 8, 2018 · 1 minute read · Tags: ACSAC , Android , Malware , Paper Note

作者: Le Guan, Shijie Jia, Bo Chen, Fengwei Zhang, Bo Luo…

单位: Pennsylvania State University, Data Assurance and Communication Security Research Center, Michigan Technological University

出处: ACSAC 2017

资料: Paper

ABSTRACT

随着针对移动设备的网络犯罪数量的激增,对于移动恶意软件分析平台有很大的需求。因为许多恶意软件都包含出虚拟机检测能力,所以大多数情况下都直接采用真机作为分析平台。然而现有的工作的关注点主要在如何能够通过真机分析提取恶意软件的行为。但是当恶意应用分析结束之后,能够把真机恢复到分析恶意软件之前也很重要。然而对于移动平台现有的最佳的解决方案只能恢复硬盘存储空间,并且需要花费时间重启。另外先有的工作还需要在分析平台中依赖一部分组件才能完成恢复工作。因此,有些kernel-level级别的恶意软件仍然能够检测到这些组件的存在。

作者提出了Bolt这样一个透明的恢复机制在不需要重启的情况下把移动分析平台恢复到恶意软件分析之前的状态。 Bolt这种不需要重启的恢复机制能够同时对disk和memory制作快照。内存快照是通过存在于ARM TrustZone的一个独立的操作系统(BoltOS)去实现的。而disk的快照是通过一块固件经过定制(BoltFTl)的闪存设备去实现的。因为BoltOS和BoltFTL都独立于guestOS(论文中为了方便,作者把所有直接运行恶意软件的操作系统统一称为guestOS),所以就算是kernel-level的恶意软件也不会影响恢复行为。而且,Bolt不需要对guestOS进行任何的修改。因此,Bolt是第一个做到能够高效,独立,并且隐蔽地从被恶意软件感染之后的状态恢复。


Read more

[NDSS 18] InstaGuard: Instantly Deployable Hot-patches for Vulnerable System Programs on Android

May 6, 2018 · 2 minute read · Tags: Android , NDSS , Paper Note

作者: Yaohui Chen, Yuping Li, Long Lu, Yueh-Hsun Lin, Hayawardh Vijayakumar, Zhi Wang, Xinming Ou

单位: Northeastern University, University of South Florida, Northeastern University, JD Research Center, Samsung Research America

出处: NDSS 2018

资料: Paper, Video, Slide

由于hotpatch易于开发和更快的部署速度,而且在永久修复漏洞的补丁释出之前有效地阻止已发现漏洞被利用,研究人员建议把hotpatch应用于Android的系统程序和应用之中,以便于缩短严重漏洞在被修复之前被利用的窗口期。但是由于Android系统的碎片化,hotpatch技术虽然在PC上广泛使用,但是很少被厂商采用。作者认为阻碍hotpatch在Android平台推广的因素主要是对于一个漏洞的补丁在释放出来之后通常需要经过设备厂商在推送更新之前漫长的兼容性测试。这种测试和发布过程可能需要几个月的时间,那么hotpatch就失去了可以快速部署的优势。

作者提出了InstaGuard,这是一种新的移动设备的hotpatch方法。与现有的hotpatch技术不同,InstaGuard没有向需要patch的程序注入新的补丁代码,而是通过执行不包含代码的即时更新规则来及时阻止未修补的漏洞,这样做的优势在于不需要经过兼容性测试就可以即时推送给需要修复的设备。在设计InstaGuard的时候,作者使用了一种可以表达能够有效缓解各种漏洞在移动设备上执行的规则语言,其次编写这些规则并不需要使用过于复杂的表示方式。作者使用ARM CPU支持的基本调试原语为hotpatch和强制机制设计了一种新语言。作者还构建了RuleMaker,这是一款基于高级语言并且易于编写的漏洞描述自动生成InstaGuard规则的工具。

作者在Nexus 5X手机上测试了InstaGuard。在测评部分作者验证了InstaGuard可以处理2016年Android安全公告中的所有关键CVE。作者还使用来自4个不同类别的关键漏洞进行单元测试。 InstaGuard平均增加了1.69%的存储空间占用量,并带来了2.70%的overload。


Read more

[NDSS 17] Obfuscation-Resilient Privacy Leak Detection for Mobile Apps Through Differential Analysis

January 22, 2018 · 1 minute read · Tags: Android , NDSS , Paper Note

作者: Andrea Continella, Yanick Fratantonio, Martina Lindorfer, Alessandro Puccetti, Ali Zand, Christopher Kruegel, and Giovanni Vigna

单位: Politecnico di Milano、UC Santa Barbara

出处: NDSS 2017

资料: Paper, Slide, Video

作者背景

这篇文章发表在2017年的NDSS上,第一作者是来自米兰理工大学(Politecnico di Milano)的PhD学生Andrea Continella,他本人还经常参加CTF,同时也是Shellphish的队员。作者的研究方向为针对高级恶意软件的分析和防御机制,包括trojan木马或ransomware家族,他本人的更多信息可以在个人主页上看到。而这篇文章具体内容就是作者在UCSB的SecLab进行为期六个月的交流的时候的工作成果,论文的其他作者就是该实验室的相关成员。


Read more

[Asia CCS 18] Source Attribution of Cryptographic API Misuse in Android Applications

January 9, 2018 · 1 minute read · Tags: Android , Asia CCS , Misuse , Paper Note

作者: Ildar Muslukhov, Yazan Boshmaf, Konstantin Beznosov

单位: The University of British Columbia, Qatar Computing Research Institute

出处: AsiaCCS‘18

资料: PDF

1 ABSTRACT & INTRODUCTION

根据最近的研究表明,88%使用Java密码学API的Android应用程序至少会出现一个密码学误用的问题。但是,目前还不清楚这些错误是来自应用程序还是第三方lib。而在本文中,作者弥补了这一gap,并将误用的来源归属引入到密码学API误用的分析中。本文研究的目标有两个:(1)将密码学API误用的来源归属,以及(2)研究2012年至2016年间误用的变化。

作者使用C#设计并实现了一个静态自动分析系统BinSight:(1)使用静态程序切片识别Java密码学API的调用,(2)验证这些调用 - 针对密码学中常见规则调用,最后(3)使用基于启发式的第三方库检测技术将误用的调用归因于其源。

作者分析了2012年,2015年和2016年收集的132K个Android应用程序。结果表明第三方库是密码学API误用的主要来源。90%的误用应用程序(至少包含一个Java密码学API调用)来自第三方lib。

与2012年相比,作者发现对于应用程序和第三方库代码,2016年对称密码的ECB模式使用率显着下降。然而与应用程序代码不同,第三方库显着增加了对用于CBC模式密码的对称密码和静态IV的静态加密密钥的依赖。最后,作者发现2016年误用的第二和第三大原因是使用了不安全的RC4和DES秘钥。


Read more

[S&P 17] Stack Overflow Considered Harmful? The Impact of Copy&Paste on Android Application Security

December 6, 2017 · 2 minute read · Tags: Android , Paper Note , S&P

作者: Felix Fischer, Konstantin Bottinger, Huang Xiao, Christian Stransky, Yasemin Acar, Michael Backes, Sascha Fahl

单位: CISPA, Saarland University

出处: IEEE S&P 17

Paper: PDF

1.Introduction

越来越多的软件开发人员在Stack Overflow这样的在线技术平台讨论技术问题。尤其是缺乏编程经验的程序员会在这样的社区提问的时候,会得到一些技术指导和其他人回答问题的时候提供的代码片段。普遍认为,大量的程序员在开发软件的时候,经常会从这样的平台上复制代码。所以作者认为这样的行为会导致一些不安全的代码,虽然这些代码绝大多数情况下会解决问题,但还是由于其中许多代码片段是不安全的。那么就会存在这样一个传播周期:

社区提供代码片段->开发者复制粘贴代码->用户运行了包含这些代码的程序->攻击者利用这些程序中的漏洞

这篇论文中,作者就这个问题做了研究,发现Stack Overflow上的1161份不安全的代码被开发者复制粘贴进了130万个Android应用程序中。


Read more

[USENIX Security 17] Detecting Android Root Exploits by Learning from Root Providers

October 25, 2017 · 2 minute read · Tags: Android , Paper Note , USENIX Security

作者: Ioannis Gasparis, Zhiyun Qian, Chengyu Song, Srikanth V. Krishnamurthy

单位: University of California, Riverside

出处: USENIX Security 17

资料: Paper, Video

Abstract

在android平台的众多恶意软件中,最危险的一类就是包含可以root用户手机的Malware。但是同时检测这种恶意软件也是非常困难的,这是因为这样的恶意软件所包含的root exp通常针对特定的设备或者系统版本,并且恶意程序在检测到不存在预期的运行时环境时就直接停止运行。使用Google Bouncer这种模拟器很难触发并分析这种root exp。所以作者设计了一个叫做RootExplorer的原型机去检测这种包含root exp的恶意软件。这个RootExplorer会根据一些商业公司提供给用户用来一键root的APP去分析学习exp的先决条件和环境要求,然后使用这些信息构建分析真机或者虚拟机的环境去检测包含root exp的恶意软件。


Read more

© 2019 - Released under the MIT license
Powered by Hugo with the Type Theme