Android安全漏洞挖掘技术综述

安全漏洞在Android系统的安全性中处于核心地位,因此如何有效挖掘Android系统安全漏洞,已成为增强移动终端安全性、保护用户安全和隐私的重要技术手段,具有重要的理论和现实意义.首先对Android领域2008—2015年间漏洞数量趋势和种类进行了汇总,然后分类分析了Android安全领域顶级会议上2012—2014年间的学术研究进展.在此基础上,给出了Android漏洞挖掘技术的总体概览,并针对漏洞挖掘领域中使用较多的污染流传播分析、可达路径分析、符号执行、Fuzzing测试等技术进行详细阐述,还对混合符号执行和定向Fuzzing等动静态结合的技术进行了介绍.最后对Android漏洞挖掘领域的开源工具进行了总结,并讨论了值得进一步深入研究的安全问题.     

软件安全漏洞的静态检测技术

软件安全漏洞问题日益严重,静态漏洞检测提供从软件结构和代码中寻找漏洞的方法。该文研究软件漏洞静态检测的两个主要方面：静态分析和程序验证,重点分析词法分析、规则检查、类型推导、模型检测、定理证明和符号执行等方法,将常用的静态检测工具按方法归类,讨论、总结静态检测技术的优势、适用性和发展趋势。     

Android操作系统浏览器安全漏洞的分析

本文对Android操作系统中浏览器引擎WebKit工作原理进行分析,并介绍了WebView工作流程中存在安全漏洞,会造成用户个人信息丢失的隐患。根据Android操作系统中浏览器工作原理的分析,仿真验证了在WebView中确实存在用户人隐私信息丢失的危险。     

软件安全漏洞检测技术

软件安全漏洞检测技术是提高软件质量和安全性、减少软件安全漏洞的重要方法和基本手段,受到学术界和工业界的广泛关注和高度重视.其主要途径包括软件测试、程序分析、模型检验与符号执行等.近年来,综合利用多种研究方法和技术手段来检测软件安全漏洞已成为软件安全领域的研究热点.文中首先回顾了程序分析与软件安全漏洞检测的基本概念、核心问题和传统手段.然后重点介绍该领域的最新进展,主要包括轻量级动态符号执行、自动化白盒模糊测试以及其实现技术和相应的工具.最后,指出了其所面临的挑战和发展趋势.     

论软件安全漏洞挖掘技术

软件安全漏洞测试技术属于信息安全领域中一个非常重要的内容,本文对其概念进行了分析,并在此基础上探讨了当前的软件安全漏洞挖掘技术以及其流程,最终总结了其发展方向,希望给我们的工作起到一定的指导和促进作用。     

Android系统外部SDK安全漏洞检测研究

SDK是面向Android应用程序开发人员的工具集合,包括硬件平台基础信息、软件协议框架、操作系统等,其宗旨在于提高Android应用程序的开发效率。许多Android软件供应商提供的大多数Android App的开发普遍基于已有的SDK,在此基础上二次开发做出产品,如果所采用的SDK中存在安全风险或者漏洞,将导致所有基于此SDK开发的App都面临潜在攻击威胁,将对用户的隐私信息保护和Android系统的安全性产生严重的负面影响。本研究选择了35个使用较为广泛的非官方SDK,结合污点追踪、二进制插值方法,并使用FlowDroid和Droidbox软件工具分析了应用于外部SDK开发的应用程序。研究结果表明,在35个外部SDKS开发工具中,19个(54. 3%)存在SSL/TLS错误配置、不合理的敏感数据权限分配、HTTP的非必要调用、用户日志泄漏、开发人员考虑不周等漏洞和威胁,造成用户隐私数据面临较高的安全风险。     

基于K-means算法的Android权限检测机制研究

为了能够有效保护用户的个人隐私,设计了一种针对Android权限的检测机制。该机制采用静态分析技术研究不同类别应用程序的权限特征,首先,根据权限的使用频度设置权限组,并借鉴TF-IDF思想为权限赋予权值;然后建立相应的数据库,计算应用程序的敏感值;最后使用K-means算法进行聚类分析,将应用程序进行分类。实验结果表明,该机制能够有效地检测出未知应用程序的危险程度。     

浏览器软件的异型安全漏洞挖掘技术研究

面对日益复杂的网络应用,浏览器软件的功能变得越发复杂。浏览器软件额外的功能辅助了用户的使用,方便了用户的操作,但受制于软件开发者的安全认识水平,这些额外的功能也将新型的安全漏洞引入到了浏览器软件当中。新型的安全漏洞不同于以往的安全漏洞类型,其具有很强的隐蔽性,需要结合特定的功能才能得以实现。文章结合具体漏洞挖掘案例,给出了如何发现浏览器软件新型安全漏洞的方法。     

Android应用安全缺陷的静态分析技术研究

随着移动互联网的快速发展,智能手机特别是Android智能手机的用户日益增多,Android应用的安全缺陷层出不穷。将Android应用安全缺陷分为漏洞缺陷、组件缺陷和配置缺陷等三方面,针对这些安全缺陷,对字节码文件进行静态分析,将解析的Android字节码作为检查载体,采用访问者模式为每一种脆弱性检测设计检测器。最后给出了部分代码实现,实践证明能够满足Android应用安全缺陷的静态检测需求。     

基于Android平台的海岛地名服务软件

为了促进社会各界对海岛地名信息的了解,针对移动终端,设计并实现一种基于Android平台的海岛地名服务软件。客户端基于HTTP通信方式与服务器交互,重点研究基于改进方格和距离的点聚合算法的地图聚合功能以及构建客户端图片的二级缓存机制,以改善用户体验,最终实现用户对海岛地名信息查看。测试和初步应用的效果显示,应用具有实用性和界面友好性,有较强的应用推广前景。     

基于Android平台的阅读学习软件

近年来,随着生活节奏的加快,移动手持设备的普及,以及电子图书行业的发展,基于移动手持设备的电子图书阅读软件需求量增加。针对目前需求现状,借助Android系统的用户界面编程、SQLite数据库存储、以及Android网络与通信等技术,设计一款多功能图书阅读学习软件。该软件基于目前流行的Android开源操作系统,实现了多关键字图书搜索、不局限格式的图书阅读、重力感应翻页设置、背景音乐设置等功能。通过运行评测该系统具有功能完善、实用性强、操作简单等优点,此外该系统可以促进用户的学习,并为移动学习提供了基础。     

软件脆弱性影响模式研究初步

软件脆弱性是威胁系统安全的根本原因,当软件脆弱性被利用时,会造成各种危害系统安全的影响。本文说明了软件脆弱性的本质,分析了与脆弱性造成影响相关的典型软件脆弱性分类性,提出了基于脆弱性造成的直接和间接影响、受脆弱性影响的对象、实施影响的方法等方面的脆弱性影响模式框架。     

信号与系统分析软件研究

信号与系统分析中很多方法较为抽象,计算繁琐,借助Visual Basic（VB）和MATLAB程序设计语言的强大功能,设计并开发出了信号与系统分析软件平台。软件平台包括了连续信号与系统的时域分析方法和变换域分析方法,以及离散时间信号的时域和Z域分析方法等信号与系统中的主要内容。此外,还包括了滤波器设计等内容。对软件功能的设计、以及实现中的关键技术等进行了详述。软件的研制,使得信号与系统分析中复杂抽象的理论变得简单直观,软件界面友好,功能完善,实际应用取得了良好效果。     

基于Android平台的行为分析系统研究

针对中小学生上课玩手机下课去网吧的现象屡禁不止的问题,设计并研发了一种基于Android平台的行为分析系统。系统基于监护人客户端、服务器和被监护人客户端的三层架构设计,综合运用百度地图API、自适应DBSCAN聚类算法和专家系统等关键技术,实现了短信、通话、流量和软件使用情况实时查看、轨迹聚类分析、专家系统分析等多项功能,使得监护人可以直观地了解到被监护人的行为动态和问题并采用科学有效的方法进行教育和引导,解决了学生过度使用手机、上网成瘾、沉迷游戏等问题,给作为监护人的家长和老师带来很大方便。     

基于Android软件开发组件化研究

"互联网+"与智能物联网技术的兴起,促进移动应用软件开发的发展。针对当前Android软件合作开发耦合度高、版本升级效率低、工程大编译慢等问题,提出采用组件化思想优化Android工程开发。使用Android Studio自带的Modules开发功能以及阿里的ARouter路由框架,将整体工程划分为多个组件应用;使用Gradle编译插件根据全局变量控制组件的单独开发、调试与集成发布;采用ARouter在编译期生成模块路由,简化模块间通信。组件划分有利于降低工程中各个模块的耦合,提高软件的协同开发效率和工程编译速度,利用组件化还能解决资源复用问题。     

程序缺陷分析与安全保护技术研究

程序安全是信息安全研究的一个重要方向,主要研究程序缺陷分析和安全保护技术等.介绍程序缺陷分析研究及其分类方法,然后将程序安全保护研究分为三类主要途径进行重点阐述和分析,最后讨论程序安全研究的发展趋势.     

基于自修改字节码的Android软件保护技术研究

随着侵权现象的不断发生,加强Android软件的保护已成为一个研究热点。对软件逆向工程及其对抗措施进行分析和评价,指出重点的研究领域;针对Android软件逆向工程,在研究APK安装原理及dex文件格式的基础上,采取软件运行时自修改dalvik字节码的方案有效改变了代码的执行流程,增加了代码的迷惑性。通过实验实现对软件关键模块的隐藏,使分析者无法得到正确的代码流程,证明了该方法在软件保护领域具有可行性,为软件保护提供了新的思路。     

基于Android平台的维-汉双语显示和播放方法

为解决少数民族地区语言障碍的问题,并综合考虑当前新疆本地的实际情况,针对维-汉双语普及学习的需求,提出了基于Android平台的维-汉双语学习方式的研究。该研究以Android手机作为维-汉双语学习的载体,有效地改善了传统维-汉双语学习方式所带来的时间和空间不足等问题,加大了维-汉双语的普及力度。为广大维-汉双语学习者提供方便,同时对其它少数民族语言学习具有重要的借鉴和推广意义。     

电机设计与仿真平台的软件安全设计

为了防止电机设计与仿真平台泄露企业的核心技术,构建了一套严谨的安全设计方案。在系统架构方面,采用三层分布式架构和.Net Remoting技术,设计了系统配置管理与主业务分离机制;在登录认证方面,除了用户登录认证和监控、日志记录、密码保护外,特别采用了多层防护的注册授权机制;在权限应用方面,实行基于角色的功能权限应用和多级审批确认机制,并有针对性地提出基于部门与基于项目组的数据权限应用设计和涉密等级过滤机制;在软件技术方面,采用程序集混淆加密、数据完整性验证、事务回滚、动态菜单和动态按钮等技术,尤其强调了文件上传下载加密及压缩技术的应用。企业实际应用表明,多方面安全设计提高了系统安全性及保密强度。