写点什么

DidFail:一款用于信息泄漏检测的免费 Android 工具

  • 2014-07-11
  • 本文字数:776 字

    阅读完需:约 3 分钟

近日, CERT Secure Coding 团队发布了一款免费工具,它能够分析Android 应用程序中的敏感信息泄漏。CERT 的研究人员称,他们的工具“是一款面向Android 应用程序的、最准确的污染流静态分析工具。”

CERT 的工作解决了从敏感源到受限接收点的信息泄漏问题。敏感信息泄漏可能发生在,比如,用户安装应用程序时,它将用户的联系人列表(源)泄漏给了一些未经许可的第三方(接收点)。这是信息流分析的典型问题。安全问题也可能发生在数据流反向流动的过程中,比如,不可信数据发送到一个只该存储由特许源发送的高可信数据的地方。

为了解决此类问题,CERT 的研究人员设计并实现了 DidFail (Droid Intent Data Flow Analysis for Information Leakage),用户可以免费下载。它整合并增强了两款现有的 Android 数据流分析工具 FlowDroid Epicc ,前者识别组件内的污染流,后者识别诸如动作字符串这样的 intents 属性。

CERT 的研究人员 Will Kiebler 说,与 FlowDroid 相比,DidFail 的优势在于它“分析应用程序之间或者单个应用程序的多个组件之间的潜在污染流”,而 FlowDroid 只侧重于“应用程序单个组件内的信息流”。按照 Kiebler 说法,可以这样描述 DidFail 的行为,它“取得原始的 APK,并在代码中每个 APK 发送 intent 的地方添加一个唯一标识”。这个唯一标识之后会用于“匹配 Epicc 和 FlowDroid 的输出”。

有关 DidFail 的工作尚未完成,Kiebler 说,“由于应用程序之间信息流的检测采用了一种粗粒度的方法,它可能会产生误报”。更重要的是,DidFail 只关注作为跨应用程序数据通信方法的 Android intents,而并不考虑其它 Android IAP 机制,如直接查询内容提供商,从SD 卡读取数据及向SD 卡写入数据,使用由底层Android Linux 操作系统实现的通信渠道(如sockets 或 Binder )。

查看英文原文:**** DidFail: a Free Android Tool to Detect Information Leakage

2014-07-11 09:432602
用户头像

发布了 256 篇内容, 共 94.6 次阅读, 收获喜欢 12 次。

关注

评论

发布
暂无评论
发现更多内容

软件质量的守门人——接口测试

霍格沃兹测试开发学社

GPT-4o 引领人机交互新风向,向量数据库赛道沸腾了

Zilliz

Zilliz GPT 向量数据库 GPT-4 gpt4o

BOE(京东方)携全场景AI智慧显示等前沿技术亮相2024国际显示周 “科技+绿色”引领行业发展风向标

爱极客侠

Python中的封装与访问控制权限

测吧(北京)科技有限公司

测试

软件测试 | 多表查询:外连接查询详解

测吧(北京)科技有限公司

测试

软件测试 | Pytest 参数化与基本装饰器用法

测吧(北京)科技有限公司

测试

软件测试学习笔记丨Spring Boot 统一返回结果模版

测试人

软件测试

BOE(京东方)董事长陈炎顺获2024年“David Sarnoff产业成就奖” “屏之物联”引领产业高质发展新变革

爱极客侠

什么是大模型微调 (Fine-tuning)?

澳鹏Appen

人工智能 大模型 大模型微调 模型微调 大模型微调实践

Python类的构造方法与字符串表示

测吧(北京)科技有限公司

测试

【内容推荐】一课毕业,IoTDB 从入门到精通!

Apache IoTDB

软件测试 | Redis:性能最快的内存数据库及其基础使用

测吧(北京)科技有限公司

测试

交互式数字展厅能否成为智慧城市规划的下一个风口?

点量实时云渲染

智慧城市 数字孪生 实时云渲染 3D实时云渲染 线上展厅

Pencils Protocol 获合作伙伴 Galxe 投资,加快了生态进展

西柚子

Python实现词频统计:利用列表、字符串操作和字典

测吧(北京)科技有限公司

测试

Python实现水仙花数的查找与验证

测吧(北京)科技有限公司

测试

软件测试 | 关系型与非关系型数据库的区别

测吧(北京)科技有限公司

测试

字节跳动大模型家族全员亮相,火山引擎全栈AI服务助力企业智能化转型

ToB行业头条

火山引擎 #大模型

Linux上执行内存中的脚本和程序

不在线第一只蜗牛

Linux 运维 服务器

数据驱动制造:EMQX ECP 指标监测功能增强生产透明度

EMQ映云科技

mqtt emqx EMQX ECP

Galxe已投资Pencils Protocol,投资者阵营正不断扩大

BlockChain先知

用 Python 实现猜拳游戏:结合分支语句、运算符和列表

测吧(北京)科技有限公司

测试

深挖中建信息2023年年报,用数智化“创造价值”

脑极体

数智化

精通Python推导式:元组、列表、字典、集合

测吧(北京)科技有限公司

测试

软件测试 | Pytest 测试用例调度与运行

测吧(北京)科技有限公司

测试

DidFail:一款用于信息泄漏检测的免费Android工具_Java_Sergio De Simone_InfoQ精选文章