【Android论文栏目提醒】:网学会员为需要Android论文的朋友们搜集整理了Android软件安全攻防研究现状 - 其它资料相关资料,希望对各位网友有所帮助!
Android软件安全 攻防研究现状 肖梓航Claud ISF2012上海 关于我肖梓航(Claud)安天实验室 高级研究员 – 移动反病毒、移动软件安全研发secmobi.com – 提供移动安全资源、资讯和知识ISF2012上海 Android软件安全攻防研究现状 - 肖梓航 2 纲要 统计数据攻 案例学习防 安全开发方法 发现安全漏洞 自动化漏洞挖掘 研 攻击缓解技术 究 开放问题ISF2012上海 Android软件安全攻防研究现状 - 肖梓航 3 统计数据ISF2012上海 Android软件安全攻防研究现状 - 肖梓航 4 CVE80 6970605040 Android软件漏洞数30 252010 5 0 2010年 2011年 2012年ISF2012上海 Android软件安全攻防研究现状 - 肖梓航 5 乌云60 53504030 Android软件漏洞数 24 iOS软件漏洞数2010 2 3 3 0 0 2010年 2011年 2012年ISF2012上海 Android软件安全攻防研究现状 - 肖梓航 6 CCS’12论文 使用SSL通信的流行软件中: – 1074个接受所有证书或主机名,可以MITM – 约41可以有效攻击 – 影响3950万-1.85亿用户 – 包括American Express Diners Club Paypal bank accounts Facebook Twitter Google Yahoo Microsoft Live ID Box WordPress等来源:S. Fahl M. Harbach T. Muders M. Smith L. Baumgrtnerand B. Freisleben “Why eve and mallory love android: ananalysis of android SSL insecurity” presented at the CCS 12:Proceedings of the 2012 ACM conference on Computer andcommunications security 2012.ISF2012上海 Android软件安全攻防研究现状 - 肖梓航 7 案例学习ISF2012上海 Android软件安全攻防研究现状 - 肖梓航 8 外部存储问题导致数据泄露 将个人数据和系统数 将个人社交信息存储 据存储在SD卡 在SD卡 图片来自乌云网站ISF2012上海 Android软件安全攻防研究现状 - 肖梓航 9 内部存储问题导致数据泄露 账户密码明文存储 敏感数据明文存储 图片来自viaForensics网站ISF2012上海 Android软件安全攻防研究现状 - 肖梓航 10 传输问题导致数据泄露POST /api/checkaccount HTTP/1.1User-Agent: MomoChat/1.11build Android/12 LT18i Android2.3.4 zh_CNContent-Length: 249Content-Type: application/x-www-form-urlencodedHost: www.immomo.com:80Connection: Keep-Aliveuid85dab7d268769df46abe111a82976931phone_netWork2screen480x854modelLT18irom2.3.4phone_typeGSMdevice_typeandroidaccountxxxxxxmac5c3Ab53A243A093Ae13A58market_source1buildnumber4.0.2.A.0.582Fxf_v3wpasswordxxxxxxversion12 代码片段来自乌云网站ISF2012上海 Android软件安全攻防研究现状 - 肖梓航 11 传输问题导致会话劫持 FaceNiff劫持下列网站 登录session: – FaceBook – Twitter – Youtube – Amazon – VKontakte – Tumblr – MySpace – Tuenti – blogger – …… 图片来自FaceNiff网站ISF2012上海 Android软件安全攻防研究现状 - 肖梓航 12 数据验证问题导致客户端注入 图片来自乌云网站 图片来自乌云网站ISF2012上海 Android软件安全攻防研究现状 - 肖梓航 13 代码验证问题导致代码执行ISF2012上海 Android软件安全攻防研究现状 - 肖梓航 14 数据验证问题导致服务端注入 图片来自乌云网站ISF2012上海 Android软件安全攻防研究现状 - 肖梓航 15 登陆认证问题导致非法访问 可伪造的登陆凭据 SSL证书不当验证 – 忽略证书错误 – 信任所有证书 不验证客户端身份 ……ISF2012上海 Android软件安全攻防研究现状 - 肖梓航 16 组件暴露导致能力泄露Intent intent new Intentintent.setActionandroid.provider.Telephony.SECRET_CODEintent.setDataUri.parseandroid_secret_code://284sendBroadcastintentISF2012上海 Android软件安全攻防研究现状 - 肖梓航 17 组件暴露的更多案例 多款手机Android系统远程擦除漏洞 Android系统任意构造短信和彩信漏洞ISF2012上海 Android软件安全攻防研究现状 - 肖梓航 18 旁路数据泄露 不必要的Logcat 系统级键盘记录 ……ISF2012上海 Android软件安全攻防研究现状 - 肖梓航 19 密码学算法使用不当 可逆编码、弱哈希算法 自定义安全算法 无密码、弱密码、硬编码密码ISF2012上海 Android软件安全攻防研究现状 - 肖梓航 20