写点什么

DidFail:一款用于信息泄漏检测的免费 Android 工具

  • 2014-07-11
  • 本文字数:776 字

    阅读完需:约 3 分钟

近日, CERT Secure Coding 团队发布了一款免费工具,它能够分析Android 应用程序中的敏感信息泄漏。CERT 的研究人员称,他们的工具“是一款面向Android 应用程序的、最准确的污染流静态分析工具。”

CERT 的工作解决了从敏感源到受限接收点的信息泄漏问题。敏感信息泄漏可能发生在,比如,用户安装应用程序时,它将用户的联系人列表(源)泄漏给了一些未经许可的第三方(接收点)。这是信息流分析的典型问题。安全问题也可能发生在数据流反向流动的过程中,比如,不可信数据发送到一个只该存储由特许源发送的高可信数据的地方。

为了解决此类问题,CERT 的研究人员设计并实现了 DidFail (Droid Intent Data Flow Analysis for Information Leakage),用户可以免费下载。它整合并增强了两款现有的 Android 数据流分析工具 FlowDroid Epicc ,前者识别组件内的污染流,后者识别诸如动作字符串这样的 intents 属性。

CERT 的研究人员 Will Kiebler 说,与 FlowDroid 相比,DidFail 的优势在于它“分析应用程序之间或者单个应用程序的多个组件之间的潜在污染流”,而 FlowDroid 只侧重于“应用程序单个组件内的信息流”。按照 Kiebler 说法,可以这样描述 DidFail 的行为,它“取得原始的 APK,并在代码中每个 APK 发送 intent 的地方添加一个唯一标识”。这个唯一标识之后会用于“匹配 Epicc 和 FlowDroid 的输出”。

有关 DidFail 的工作尚未完成,Kiebler 说,“由于应用程序之间信息流的检测采用了一种粗粒度的方法,它可能会产生误报”。更重要的是,DidFail 只关注作为跨应用程序数据通信方法的 Android intents,而并不考虑其它 Android IAP 机制,如直接查询内容提供商,从SD 卡读取数据及向SD 卡写入数据,使用由底层Android Linux 操作系统实现的通信渠道(如sockets 或 Binder )。

查看英文原文:**** DidFail: a Free Android Tool to Detect Information Leakage

2014-07-11 09:432592
用户头像

发布了 256 篇内容, 共 94.3 次阅读, 收获喜欢 12 次。

关注

评论

发布
暂无评论
发现更多内容

模型推理耗时降低98%!PaddleTS又双叒叕带来重磅升级!

飞桨PaddlePaddle

paddle

代码质量与安全 | 开发人员必备的安全编码实践指南

龙智—DevSecOps解决方案

代码安全 静态代码扫描

ITSM | 限时优惠,帮助您的团队终结不良服务管理!

龙智—DevSecOps解决方案

Jira ITSM IT服务管理

全板电镀与图形电镀,到底有什么区别?

华秋电子

PCB PCB生产

JVM说--直接内存的使用

京东科技开发者

JVM io nio 虚拟机 企业号 2 月 PK 榜

带你动手做AI版的垃圾分类

华为云开发者联盟

人工智能 华为云 企业号 2 月 PK 榜 华为云开发者联盟 垃圾分类

如何在 Web 端实现一个多人数独游戏

声网

Vue 互动白板 RTE

Java程序员:为了跳槽刷完1000道真题,想不到老板直接给我升职了

程序知音

Java java面试 Java面试题 Java面试八股文 后端面试

DAAM:首次利用视觉语言学解释大型扩散模型

Zilliz

在线研讨会邀请 | 赋能“大”研发,助力“快”交付

龙智—DevSecOps解决方案

版本控制 线上研讨会 研讨会 数字资产管理

云端智创 | 基于视频AI原理的音视频智能处理技术

阿里云CloudImagine

云计算 音视频

模块1作业

王琨琨

架构实战营

舞台LED显示屏对灯光设计产生了哪些影响

Dylan

LED显示屏 全彩LED显示屏 led显示屏厂家

快速入门API Explorer

华为云开发者联盟

云计算 华为云 API Explorer平台 企业号 2 月 PK 榜 华为云开发者联盟

剖析字节案例,火山引擎A/B测试DataTester如何“嵌入”技术研发流程

字节跳动数据平台

大数据 AB testing实战 企业号 2 月 PK 榜

Fastjson踩“坑”记录和“深度”学习

阿里技术

Fastjson

一文详解数GaussDB(DWS)函数出参带出方式

华为云开发者联盟

数据库 后端 华为云 企业号 2 月 PK 榜 华为云开发者联盟

职场IT老手教你3步教你玩转可视化大屏设计,让领导眼前一亮!

葡萄城技术团队

MASA Stack 1.0 发布会讲稿——实践篇

MASA技术团队

.net MASA MAUI MASA Stack

龙智宣布与Incredibuild建立战略合作伙伴关系

龙智—DevSecOps解决方案

DevSecOps 加速编译

选择等保测评机构需要注意的几个点-行云管家

行云管家

等保 等级保护 等保测评

产研指南针的量化指标实践笔记

车江毅

项目管理 研发管理 降本增效 北极星指标 效能度量

DidFail:一款用于信息泄漏检测的免费Android工具_Java_Sergio De Simone_InfoQ精选文章