請用此 Handle URI 來引用此文件:
http://tdr.lib.ntu.edu.tw/jspui/handle/123456789/62769
標題: | 針對手機特有資訊為輸入點的Android應用程式測試平台 Systematic Detection of Injection Vulnerability of Android application |
作者: | Hung-Chi Su 蘇宏麒 |
指導教授: | 陳彥仰(Mike Chen) |
關鍵字: | 資訊安全,手機,系統安全, Android,Mobile,Security, |
出版年 : | 2013 |
學位: | 碩士 |
摘要: | 現今智慧型手機逐漸普及,而其手機中所具備的功能越來越多樣化,智慧
型手機開始被使用者作為隨身電腦所用,手機中含有的隱私資訊也越來越多,如 電話簿、簡訊等。這些資訊大量儲存於手機上,私密資訊的管理與存取的安全性 也逐漸浮現。 為了讓應用程式間能分享手機中的各式資訊,Google定義了一種Android元 件來管理資訊,並透過權限來控管其他應用程式能否存取此資訊,但Google卻未 驗證其寫入的資訊合法性與正確性。 在此篇研究中,我們將針對此元件作為測試輸入點,嘗試輸入一些非預期 性的資料來針對應用程式進行攻擊。為了加速測試流程,我們開發了Android應用 程式分析工具,透過分析所獲得的攻擊路徑以及讀取資料後的程式執行流程,從 中取出幾種具有淺在危險的應用程式,對其製作可能的攻擊模式來檢測其應用程 式。 測試結果中發現,市面上6種大廠牌的智慧型手機所內建的應用程式與 Google Play上熱門的應用程式皆具有此漏洞:攻擊者可以透過寫入惡意的非預期 性資料,迫使目標應用程式執行惡意行為,甚至盜取使用者資料等而不需要擁有 其行為所需要的權限。 Mobile operating systems, such as Android and iOS, are designed to provide strong isolation across apps. An app must request permission to access user data or phone features, which requires the user to grant. Sandboxes isolate apps but do not validate external data read by each app. In addition, fine-grained permissions are used to sandbox apps to manage their access to shared data. This paper presents Shared Data Injection Attack. A malicious app injects carefully-designed content into shared data sources, such as address books, SMS messages, and photos. When another app reads this content without first checking, the app may leak its capabilities which the malicious app has not been granted. We demonstrate several attacks on top Android apps that each has more than 10 million installs, including making calls, sending SMS, and cross-site scripting. To help guard against this type of attacks, we recommend that developers program defensively and mobile platforms providing strong data type checking and data validation. |
URI: | http://tdr.lib.ntu.edu.tw/jspui/handle/123456789/62769 |
全文授權: | 有償授權 |
顯示於系所單位: | 資訊工程學系 |
文件中的檔案:
檔案 | 大小 | 格式 | |
---|---|---|---|
ntu-102-1.pdf 目前未授權公開取用 | 4.63 MB | Adobe PDF |
系統中的文件,除了特別指名其著作權條款之外,均受到著作權保護,並且保留所有的權利。