9 月 13 日,2025 Inclusion・外滩大会「开源嘉年华」正在限量报名中! 了解详情
写点什么

DidFail:一款用于信息泄漏检测的免费 Android 工具

  • 2014-07-11
  • 本文字数:776 字

    阅读完需:约 3 分钟

近日, CERT Secure Coding 团队发布了一款免费工具,它能够分析Android 应用程序中的敏感信息泄漏。CERT 的研究人员称,他们的工具“是一款面向Android 应用程序的、最准确的污染流静态分析工具。”

CERT 的工作解决了从敏感源到受限接收点的信息泄漏问题。敏感信息泄漏可能发生在,比如,用户安装应用程序时,它将用户的联系人列表(源)泄漏给了一些未经许可的第三方(接收点)。这是信息流分析的典型问题。安全问题也可能发生在数据流反向流动的过程中,比如,不可信数据发送到一个只该存储由特许源发送的高可信数据的地方。

为了解决此类问题,CERT 的研究人员设计并实现了 DidFail (Droid Intent Data Flow Analysis for Information Leakage),用户可以免费下载。它整合并增强了两款现有的 Android 数据流分析工具 FlowDroid Epicc ,前者识别组件内的污染流,后者识别诸如动作字符串这样的 intents 属性。

CERT 的研究人员 Will Kiebler 说,与 FlowDroid 相比,DidFail 的优势在于它“分析应用程序之间或者单个应用程序的多个组件之间的潜在污染流”,而 FlowDroid 只侧重于“应用程序单个组件内的信息流”。按照 Kiebler 说法,可以这样描述 DidFail 的行为,它“取得原始的 APK,并在代码中每个 APK 发送 intent 的地方添加一个唯一标识”。这个唯一标识之后会用于“匹配 Epicc 和 FlowDroid 的输出”。

有关 DidFail 的工作尚未完成,Kiebler 说,“由于应用程序之间信息流的检测采用了一种粗粒度的方法,它可能会产生误报”。更重要的是,DidFail 只关注作为跨应用程序数据通信方法的 Android intents,而并不考虑其它 Android IAP 机制,如直接查询内容提供商,从SD 卡读取数据及向SD 卡写入数据,使用由底层Android Linux 操作系统实现的通信渠道(如sockets 或 Binder )。

查看英文原文:**** DidFail: a Free Android Tool to Detect Information Leakage

2014-07-11 09:432686
用户头像

发布了 256 篇内容, 共 96.9 次阅读, 收获喜欢 12 次。

关注

评论

发布
暂无评论
发现更多内容

airasia Superapp × HMS Core:便捷出行,悦享全程

HarmonyOS SDK

HMS Core

元宇宙链游系统开发搭建技术

Congge420

区块链

“中国法研杯”司法人工智能挑战赛:基于UTC的多标签/层次分类小样本文本应用,Macro F1提升13%+

汀丶人工智能

人工智能 nlp 文本分类 小样本学习

TIDB General Log抓取分析神器

TiDB 社区干货传送门

管理与运维 故障排查/诊断

技术同学如何快速熟悉业务

老张

系统架构 业务

上海丨阿里云 Serverless 技术实战营邀你来玩!

阿里巴巴云原生

阿里云 Serverless 云原生

速下载!交通业数据安全政策汇编发布

极盾科技

数据安全

mate云端元宇宙系统智能合约链游开发技术

Congge420

区块链

智能合约DAPP挖矿系统开发应用

Congge420

区块链

顶会ICSE-2023发布LIBRO技术,缺陷自动重现率达33%

华为云开发者联盟

人工智能 华为云 大模型 华为云开发者联盟 企业号 5 月 PK 榜

软件测试 | 开源Web性能测试

测吧(北京)科技有限公司

测试

Java常用对象映射工具的介绍和使用

echoes

NFT盲盒卡牌游戏系统开发搭建

Congge420

区块链

Midjourney|文心一格prompt教程[技巧篇]:生成多样性、增加艺术风格、图片二次修改、渐进优化、权重、灯光设置等17个技巧等你来学

汀丶人工智能

人工智能 AI绘画 MidJourney prompt learning

2023我的前端面试小结

loveX001

JavaScript 前端

性价比提升15%,阿里云发布第八代企业级计算实例g8a和性能增强型实例g8ae

云布道师

4.0 功能抢先看 | 读懂一个项目的研发效能 之 项目质量表现

思码逸研发效能

研发效能 项目质量

软件测试 | JMeter

测吧(北京)科技有限公司

测试

全球分布式云大会:AntDB超融合流式实时数仓,打造分布式数据库新纪元

亚信AntDB数据库

AntDB AntDB数据库 企业号 5 月 PK 榜

js事件循环与macro&micro任务队列-前端面试进阶

loveX001

JavaScript 前端

文档还能这么写?GreptimePlay 邀你免费玩!

Greptime 格睿科技

数据库 云原生 时序数据库 Playground

Cloud Studio 内核升级之持续优化

CODING DevOps

DevOps 软件工程 Cloud Studio 云端IDE

为什么 GPU 更适用于时域算法,而 CPU 更适用于频域算法?

思茂信息

gpu cpu 计算机 电脑 电脑硬件

“数据进化论”2023数智科技大会官宣:从看、用到智能,与客户共进化

奇点云

发布会 奇点云 数据云 数智科技大会

PAG动效框架源码笔记 (三)播放流程

olinone

ios android 特效

社招前端二面必会react面试题及答案

beifeng1996

前端 React

面试官让你说说react状态管理?

beifeng1996

前端 React

软件测试 | 如何运行JMeter

测吧(北京)科技有限公司

测试

基于Jmeter 的接口自动化测试实践探讨

jackwang

结合实例,解读华为云数字工厂信息模型配置器

华为云开发者联盟

云计算 后端 华为云 华为云开发者联盟 企业号 5 月 PK 榜

软件测试 | 认识性能测试

测吧(北京)科技有限公司

测试

DidFail:一款用于信息泄漏检测的免费Android工具_Java_Sergio De Simone_InfoQ精选文章