摘要:
近年来,Android应用中的安全漏洞迅速增长.由于大部分Android应用需要访问Web页面,导致JavaScript相关的安全漏洞占据了这些安全漏洞的40%,严重威胁到用户的隐私安全.然而,目前业界对于Android应用中JavaScript安全漏洞的研究存在三点不足:一是没有全面研究所有类型JavaScript安全漏洞的形成原因和攻击方式;二是没有调研Android应用中JavaScript使用模式及其安全漏洞的现状;三是没有给出一个公开可用的JavaScript安全漏洞检测工具.为解决上述问题,本文做了以下三个主要工作:1.首先针对100个最流行的Android应用中的JavaScript使用及其安全漏洞进行实证分析.通过实证分析,本文总结出Android应用中常见的四种JavaScript使用模式,发现其中三种模式若使用不当会分别导致三种对应的JavaScript安全漏洞,并对每种漏洞分析其形成原因和建立攻击模型.另外,本文统计归纳出这些JavaScript使用模式及其安全漏洞在100个Android应用中的分布现状,并将发现的漏洞反馈给应用的开发者.2.进一步设计并实现一个原型工具JSDroid,用于自动化检测Android应用中所有类型的JavaScript安全漏洞.JSDroid工具基于静态分析技术实现,能够从输入的APK文件中解析出应用的代码和资源,分析应用使用到的JavaScript模式,存在的JavaScript安全漏洞以及暴露的攻击入口,并输出漏洞检测报告.该工具不仅能够一次对大量Android应用进行漏洞检测,还提供简洁美观的交互界面,方便使用.3.使用JSDroid工具对1000个流行的Android应用进行实验,了解大量Android应用中的JavaScript安全现状,并评估工具的性能.首先,实验发现共有806个应用使用JavaScript,其中有708个应用包含至少一种JavaScript安全漏洞,192个应用可以被攻击.其次,通过分析有效性和效率,以及与相关工作的实验效果进行对比,验证了工具的良好性能.然后,本文选取30个存在漏洞的应用进行攻击测试,并给出详细的案例分析.最后,对开发者和用户分别给出有效建议,以减少Android应用中的JavaScript安全风险.
展开
扫一扫
808
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
