写点什么

DidFail:一款用于信息泄漏检测的免费 Android 工具

  • 2014-07-11
  • 本文字数:776 字

    阅读完需:约 3 分钟

近日, CERT Secure Coding 团队发布了一款免费工具,它能够分析Android 应用程序中的敏感信息泄漏。CERT 的研究人员称,他们的工具“是一款面向Android 应用程序的、最准确的污染流静态分析工具。”

CERT 的工作解决了从敏感源到受限接收点的信息泄漏问题。敏感信息泄漏可能发生在,比如,用户安装应用程序时,它将用户的联系人列表(源)泄漏给了一些未经许可的第三方(接收点)。这是信息流分析的典型问题。安全问题也可能发生在数据流反向流动的过程中,比如,不可信数据发送到一个只该存储由特许源发送的高可信数据的地方。

为了解决此类问题,CERT 的研究人员设计并实现了 DidFail (Droid Intent Data Flow Analysis for Information Leakage),用户可以免费下载。它整合并增强了两款现有的 Android 数据流分析工具 FlowDroid Epicc ,前者识别组件内的污染流,后者识别诸如动作字符串这样的 intents 属性。

CERT 的研究人员 Will Kiebler 说,与 FlowDroid 相比,DidFail 的优势在于它“分析应用程序之间或者单个应用程序的多个组件之间的潜在污染流”,而 FlowDroid 只侧重于“应用程序单个组件内的信息流”。按照 Kiebler 说法,可以这样描述 DidFail 的行为,它“取得原始的 APK,并在代码中每个 APK 发送 intent 的地方添加一个唯一标识”。这个唯一标识之后会用于“匹配 Epicc 和 FlowDroid 的输出”。

有关 DidFail 的工作尚未完成,Kiebler 说,“由于应用程序之间信息流的检测采用了一种粗粒度的方法,它可能会产生误报”。更重要的是,DidFail 只关注作为跨应用程序数据通信方法的 Android intents,而并不考虑其它 Android IAP 机制,如直接查询内容提供商,从SD 卡读取数据及向SD 卡写入数据,使用由底层Android Linux 操作系统实现的通信渠道(如sockets 或 Binder )。

查看英文原文:**** DidFail: a Free Android Tool to Detect Information Leakage

2014-07-11 09:432697
用户头像

发布了 256 篇内容, 共 97.2 次阅读, 收获喜欢 12 次。

关注

评论

发布
暂无评论
发现更多内容

资深大牛带你了解源码!面试题解析已整理成文档,已拿offer

欢喜学安卓

android 程序员 面试 移动开发

太简单了!看完这篇还能不会SpringCloud+Nginx高并发?

Java架构追梦

Java nginx 架构 面试 SpringCloud

美团工作7年,精华全在这份学习笔记里了,已成功帮助多位朋友拿到5个大厂Offer

Java架构之路

Java 程序员 架构 面试 编程语言

使用Hadoop相关框架进行网站流量日志分析

五分钟学大数据

大数据 hadoop 28天写作 3月日更

2021字节面经最新整理: 面试真经/思维导图/学习笔记!火遍全网

比伯

Java 编程 架构 面试 计算机

浅谈数仓、数仓模型分层

白贺BaiHe

大数据 解决方案 通用设计模型 数仓

沟通视窗:改善人际沟通

石云升

28天写作 职场经验 管理经验 3月日更 沟通模型

BI币掌柜量化自动交易机器人开发

#区块链#

量化合约跟单交易系统开发软件

#区块链#

如何在子线程中使用Toast显示消息

Geek_416be1

竞价实例一小时亏损21万

jinjin

阿里云 抢占式实例 竞价实例 spot

对话微众和红枣:预言机是区块链提供可信数据的基础设施

CECBC

区块链

如何实现可靠UDP传输

赖猫

计算机网络 udp TCP/IP

说说RPC架构

Kylin

读书笔记 3月日更 日常积累 RPC架构

5年Java开发,面试4大厂(阿里、拼多多、字节、美团)后,我总结出大厂高频面试真题及解析

Java架构之路

Java 程序员 架构 面试 编程语言

为什么在做微服务设计的时候需要DDD?

xcbeyond

微服务 DDD 3月日更

马特量化炒币机器人APP系统开发详情介绍

#区块链#

币BI掌柜量化交易策略APP开发(系统案例)

滚雪球学 Python 之怎么玩转时间和日期库

梦想橡皮擦

28天写作 3月日更

熟练使用SSH客户端常用工具SecureCRT

xiezhr

Linux SSH securecrt SSH工具

资深大牛带你了解源码!最详细的docker中安装并配置redis,实战解析

欢喜学安卓

android 程序员 面试 移动开发

谈产品和创业方向

Ryan Zheng

创业 产品

阿里Java岗个人面经分享(技术三面+技术HR面):Java基础+Spring+JVM+并发编程+算法+缓存

Java架构之路

Java 程序员 架构 面试 编程语言

去年,蚂蚁一面的一道笔试题,中等难度

yes

面试

代码审查:从 ArrayList 说线程安全

mzlogin

Java 代码审查

寻找被遗忘的勇气(十三)

Changing Lin

3月日更

Day01:VBA和Python入门

披头

办公自动化 IT蜗壳教学 数据科学探究

net.coobird.thumbnailator.tasks.UnsupportedFormatException: No suitable ImageReader found for source data.

wjchenge

种春草肥禾,织数字天下

脑极体

基于SparkMLlib智能课堂教学评价系统-相关研究及文献分析(二)

大数据技术指南

大数据 智能时代 28天写作 3月日更

2021年金三银四全新版互联网大厂Java面试题,分类65份PDF,累计2340页

Java 架构 面试

DidFail:一款用于信息泄漏检测的免费Android工具_Java_Sergio De Simone_InfoQ精选文章