首页
论坛
课程
招聘
[原创]浅谈Android软件安全自动化审计
2012-9-19 21:03 18034

[原创]浅谈Android软件安全自动化审计

2012-9-19 21:03
18034
2011年写的工具DroidAppAuditter,用于实现Android软件自动化安全测试,文章也是之前写的了,扔出来与各位分享。

在线阅读版见TSRC博客:http://security.tencent.com/index.php/blog/msg/6

PDF文档见下方附件。

【标题】:浅谈Android软件安全自动化审计
【作者】:riusksk(泉哥)
【邮箱】:riusksk@qq.com
【博客】:http://hi.baidu.com/riusksk
【微博】:http://t.qq.com/riusksk

【目录】
0x00 前言
0x10 Android软件常见漏洞原理及检测
0x11 敏感信息明文保存
0x12 程序文件及进程权限问题
0x13 网络数据明文传输
0x14 组件权限安全问题
0x15 其它
0x20 自动化审计工具——DroidAppAuditter
0x30 业界Android软件安全现状
0x40 总结
0x50 关于我们

[看雪官方培训] Unicorn Trace还原Ollvm算法!《安卓高级研修班》2021年秋季班火热招生!!

上传的附件:
收藏
点赞0
打赏
分享
最新回复 (17)
雪    币: 1367
活跃值: 活跃值 (156)
能力值: (RANK:270 )
在线值:
发帖
回帖
粉丝
Claud 活跃值 6 2012-9-19 22:27
2
0
不错,终于有人在做这些了。

组件调用问题,还得多看这两年的会议论文。组件暴露只是其中一方面。(要多读英文资料啊)

我在下个月的《程序员》文章上简单列出了一些资源,建议参考:

Android的开发文档Best Practices: Designing for Security和源码文档Tech Info: Security分别从开发和系统实现的角度介绍了系统的安全机制,值得逐句地阅读。另外,viaForensics提供了名为42+ Best Practices: Secure mobile development for iOS and Android的在线教程,更详细地介绍了移动软件面临的安全威胁,并给出了安全开发实践策略。

社区方面,从Android安全开发的角度,StackOverflow并不一定是很好的选择——其中一些最佳回答没有考虑安全,直接使用可能产生问题。Google Group的anroid-security-discuss讨论组则更为专业和准确。OWASP成立了一个Mobile Security工作组,目前已经发布Top Ten Mobile Risks等多份白皮书,并举办了AppSec会议。这个工作组的效率虽然不高,但产出质量非常棒。

学术方面,2011和2012年的四大会议及其workshop上均有移动软件漏洞挖掘和攻击阻止的论文出现,从它们的related works部分可以综合快速地了解学术界的思路。

另外,笔者创办了网站secmobi.com,用于分享移动安全领域来自学术界和产业界的资讯和资源。
雪    币: 19
活跃值: 活跃值 (581)
能力值: ( LV17,RANK:1820 )
在线值:
发帖
回帖
粉丝
riusksk 活跃值 41 2012-9-20 00:03
3
0
其实这些问题在国外很早就在搞,国内也有人在搞,只是分享少,公开的资料很少,国外的英文资料是最佳的获取路径。这审计工具2011年写的,一些新增的检测功能可能没有写进paper里面,大家如有其它好的安全审计点也提出来分享下,共同研究学习!
PS:Claud,顺便把你的文章也发出来吧
雪    币: 19
活跃值: 活跃值 (581)
能力值: ( LV17,RANK:1820 )
在线值:
发帖
回帖
粉丝
riusksk 活跃值 41 2012-9-20 00:13
4
0
顺便打个广告:

上传的附件:
雪    币: 1367
活跃值: 活跃值 (156)
能力值: (RANK:270 )
在线值:
发帖
回帖
粉丝
Claud 活跃值 6 2012-9-20 10:23
5
0
发在那边,版权已经不是我的了。。哈哈

过阵子去MDCC和ISF讲完,我会慢慢在secmobi上发的。
雪    币: 99
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
dEARMoON 活跃值 2012-9-20 10:58
6
0
顶泉哥,顶LS,学习。
雪    币: 55
活跃值: 活跃值 (10)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
后恋 活跃值 2 2012-9-20 11:17
7
0
DroidAppAuditter 这个东西哪里有啊?
雪    币: 19
活跃值: 活跃值 (581)
能力值: ( LV17,RANK:1820 )
在线值:
发帖
回帖
粉丝
riusksk 活跃值 41 2012-9-20 20:34
8
0
关键代码已经给出,工具就不开源了,授人以鱼不如授人以渔
雪    币: 19
活跃值: 活跃值 (581)
能力值: ( LV17,RANK:1820 )
在线值:
发帖
回帖
粉丝
riusksk 活跃值 41 2012-9-20 20:37
9
0
坐等PPT/PDF分享……
雪    币: 944
活跃值: 活跃值 (5559)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
kanxue 活跃值 8 2012-9-20 21:54
10
0
感谢分享,好文章!
雪    币: 318
活跃值: 活跃值 (183)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
我是土匪 活跃值 4 2012-9-20 22:36
11
0
感谢分享,膜拜楼主
雪    币: 2299
活跃值: 活跃值 (331)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
非虫 活跃值 7 2012-9-21 14:33
12
0
感谢分享,好文章!
雪    币: 3
活跃值: 活跃值 (117)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
king少 活跃值 2012-9-21 18:12
13
0
好东西 就是写的太少。可以多写些深入的嘛。。。。。。。。
雪    币: 19
活跃值: 活跃值 (581)
能力值: ( LV17,RANK:1820 )
在线值:
发帖
回帖
粉丝
riusksk 活跃值 41 2012-9-21 18:27
14
0
这些内容其实都是2011年搞的了,更多的思路,大家可以继续去扩展和补充,记得到时也一并分享下。
雪    币: 2
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
uwmnth 活跃值 2012-9-23 02:12
15
0
就安全性来看,手机没有电脑安全对吗?
雪    币: 346
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
YwdxY 活跃值 2012-9-27 09:47
16
0
非常感谢分享~
雪    币: 34607
活跃值: 活跃值 (151664)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
linhanshi 活跃值 2012-10-2 15:22
17
0
Thanks for share.
雪    币: 132
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
davidtps 活跃值 2012-11-22 11:20
18
0
学习了
游客
登录 | 注册 方可回帖
返回