Android漏洞库的设计与实现

doi:10.3969/j.issn.1671-1122.2015.09.053

信息网络安全 ›› 2015, Vol. 15 ›› Issue (9): 240-244.doi: 10.3969/j.issn.1671-1122.2015.09.053

Android漏洞库的设计与实现

杨刚¹(), 温涛², 张玉清^1,²

1.中国科学院大学国家计算网络入侵防范中心,北京 101408
2.西安电子科技大学综合业务网理论及关键技术国家重点实验室,陕西西安 710071

收稿日期:2015-07-15 出版日期:2015-09-01 发布日期:2015-11-13
作者简介:
作者简介：杨刚（1991-）,男,河北,硕士研究生,主要研究方向：网络与信息系统安全;温涛（1986-）,男,内蒙古,博士研究生,主要研究方向：网络信息安全;张玉清（1966-）,男,陕西,博士生导师,博士,主要研究方向：网络信息安全。

接下来本文通过对2009—2014年Android漏洞类型分布的变化趋势进行分析。通过分析发现,近几年增加的Android漏洞类型大多属于认证安全,许可、权限和访问控制等方面,其中2014年的增加趋势尤为明显。这是由于上文提到的大量不规范的第三方应用程序涌入市场,这些应用有超过90%都在获取手机隐私权限,尤其是对位置、通话记录、联系人等核心隐私权限进行越界获取。大量的Android应用在获取这些权限的同时,也会同时获取一些程序不必要的权限,如访问联系人、发送短信、读取短信记录、拨打电话、读取通话记录、监听手机通话、使用话筒录音、打开数据开关、打开蓝牙等隐私权限。第三方应用拥有越多的权限,越容易成为Android设备安全性能的短板。虽然这些类型的Android漏洞危害等级大多为中度危害,但是不规范的第三方应用往往会成为攻击者攻击用户Android设备的便捷入口,带来严重的后果。
基金资助:
国家自然科学基金[61272481]

Design and Implementation of Android Vulnerability Database

Gang YANG¹(), Tao WEN², Yu-qing ZHANG^1,²

1. National Computer Network Intrusion Protection Center, Beijing 101408, China
2. State Key Laboratory of Integrated Services Networks, Xidian University, Xian Shanxi 710071, China

Received:2015-07-15 Online:2015-09-01 Published:2015-11-13

摘要/Abstract

摘要：

随着移动互联网的持续发展,移动终端设备的安全问题越来越值得关注。Android设备的盛行也带来了诸多安全问题,而Android漏洞是其安全问题的关键所在。文章从国内外知名漏洞数据库和安全论坛收集了已经公布的Android漏洞数据,结合漏洞分析技术,构建了Android漏洞库,对现有Android漏洞信息进行了整理、发布和通报。基于现有的Android漏洞数据,总结了Android漏洞的发展规律。

关键词: 安卓, 漏洞, 漏洞库, 安全发展, 规律分析

Abstract:

With the continuous development of mobile Internet, the security problem of mobile terminal equipment is more and more worthy of our attention. The popularity of android devices has also brought a lot of security problems. Android vulnerability is the key to this security problems. In this paper, we collected Android vulnerability from the domestic and foreign well-known vulnerability database and safety BBS. With vulnerability analysis technology, we are actively building and improving the android vulnerability database (AVD). We can come to the conclusion that the development of the relevant security issues of android.

Key words: Android, vulnerability, vulnerability database, security development, regular analysis

中图分类号:

TP309

杨刚, 温涛, 张玉清. Android漏洞库的设计与实现[J]. 信息网络安全, 2015, 15(9): 240-244.

Gang YANG, Tao WEN, Yu-qing ZHANG. Design and Implementation of Android Vulnerability Database[J]. Netinfo Security, 2015, 15(9): 240-244.

图/表 6

图1

图2

表1

图3

图4

表2

参考文献 16

[1]	YAN L K, YIN Heng.DroidScope:seamlessly reconstructing the OS and Dalvik semantic views for dynamic Android malware analysis[C] //Proc of the 21st USENIX Security Symposium. Berkeley:USENIX Association, 2012:135-146.
[2]	The Open Source Vulnerability Database (OSVDB) [EB/OL]. .
[3]	张金鑫,杨晓辉. 基于权限分析的Android应用程序检测系统[J]. 信息网络安全,2014,(7):30-34.
[4]	National security vulnerability database[EB/OL]. .
[5]	高岳,胡爱群. 基于权限分析的Android隐私数据泄露动态检测方法[J]. 信息网络安全,2014,(2):27-31.
[6]	NSFocus [EB/OL]. .
[7]	张玉清,吴舒平,刘奇旭,等. 国家安全漏洞库的设计与实现[J]. 通信学报,2011,32(6): 93-100.
[8]	ZHAO D Y, FURNELL S M, AL-AYED A.The Research on a Patch Management System for Enterprise Vulnerability Update. Proc of Information Engineering, 2009. ICIE '09. WASE International Conference: 2[C]. Taiyuan, Chanxi: IEEE, 2009: 250-253.
[9]	王晓甜,张玉清. 安全漏洞自动收集系统的设计与实现[J]. 计算机工程. 2006(20):177-179
[10]	张玉清,王凯,杨欢,等. Android安全综述[J]. 计算机研究与发展. 2014,(07)
[11]	赵洋,胡龙,熊虎,等. 基于沙盒的Android恶意软件动态分析方案[J]. 信息网络安全,2014,(12):21-26.
[12]	CHEN Z Q, ZHANG Y, CHEN Z R.A Categorization Framework for Common Computer Vulnerabilities and Exposures[J]. The Computer Journal, 2010, 53(5): 551-580.
[13]	WU W, YIP F, YIU E, et al.Integrated Vulnerability Management System for Enterprise Networks. Proc of e-Technology, e-Commerce and e-Service, 2005. EEE '05. Proceedings. The 2005 IEEE International Conference[C]. IEEE, 2005: 698-703.
[14]	包佳敏,胡爱群. Android系统文件监听技术的研究[J]. 信息网络安全,2014,(3):46-51.
[15]	翟钰,张玉清,武维善,等. 系统安全漏洞研究及数据库实现[J]. 计算机工程, 2004, 30(8): 68-70.
[16]	徐剑,武爽,孙琦,等. 面向Android应用程序的代码保护方法研究[J]. 信息网络安全,2014,(10):11-17.

Android漏洞库的设计与实现

Design and Implementation of Android Vulnerability Database

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 6

参考文献 16

相关文章 15

编辑推荐

Metrics

本文评价

[1]	赵志岩, 纪小默. 智能化网络安全威胁感知融合模型研究[J]. 信息网络安全, 2020, 20(4): 87-93.
[2]	段斌, 李兰, 赖俊, 詹俊. 基于动态污点分析的工控设备硬件漏洞挖掘方法研究[J]. 信息网络安全, 2019, 19(4): 47-54.
[3]	胡建伟, 赵伟, 闫峥, 章芮. 基于机器学习的SQL注入漏洞挖掘技术的分析与实现[J]. 信息网络安全, 2019, 19(11): 36-42.
[4]	文伟平, 李经纬, 焦英楠, 李海林. 一种基于随机探测算法和信息聚合的漏洞检测方法[J]. 信息网络安全, 2019, 19(1): 1-7.
[5]	秦中元, 张峻瑞, 张群芳, 宋志勇. 基于Inject和Hook的安卓终端管控技术[J]. 信息网络安全, 2018, 18(9): 66-73.
[6]	赵健, 王瑞, 李思其. 基于污点分析的智能家居漏洞挖掘技术研究[J]. 信息网络安全, 2018, 18(6): 36-44.
[7]	陈震杭, 王张宜, 彭国军, 夏志坚. 针对未知PHP反序列化漏洞利用的检测拦截系统研究[J]. 信息网络安全, 2018, 18(4): 47-55.
[8]	任晓贤, 陈洁, 李晨阳, 杨义先. 基于风险矩阵的物联网系统漏洞关联性危害评估[J]. 信息网络安全, 2018, 18(11): 81-88.
[9]	达小文, 毛俐旻, 吴明杰, 郭敏. 一种基于补丁比对和静态污点分析的漏洞定位技术研究[J]. 信息网络安全, 2017, 17(9): 5-5.
[10]	徐威扬, 李尧, 唐勇, 王宝生. 一种跨指令架构二进制漏洞搜索技术研究[J]. 信息网络安全, 2017, 17(9): 21-25.
[11]	王夏菁, 胡昌振, 马锐, 高欣竺. 二进制程序漏洞挖掘关键技术研究综述[J]. 信息网络安全, 2017, 17(8): 1-13.
[12]	彭建山, 奚琪, 王清贤. 二进制程序整型溢出漏洞的自动验证方法[J]. 信息网络安全, 2017, 17(5): 14-21.
[13]	朱帅, 罗森林, 柯懂湘. Windows Shellcode自动构建方法研究[J]. 信息网络安全, 2017, 17(4): 15-25.
[14]	刘峰宇, 解炜. 基于签名认证的DLL加载漏洞防御技术研究[J]. 信息网络安全, 2017, 17(11): 62-66.
[15]	黄娜娜, 万良, 邓烜堃, 易辉凡. 一种基于序列最小优化算法的跨站脚本漏洞检测技术[J]. 信息网络安全, 2017, 17(10): 55-62.