应用软件漏洞静态挖掘技术应用

1、报告提纲 一，问题背景 二，二进制逆向分析 三，中间代码静态分析 四，漏洞检测 五，评价IDC Lab, HUST0问题背景漏洞危害：漏洞可能被攻击者用以实现拒绝服务攻击、 权限提升、窃取应用数据和用户隐私等漏洞形式多样：组件间通信,网络通信,数据存储, 混合应用漏洞等动态分析代码覆盖率低、静态分析速度快代码混淆等对抗分析技术流行Android程序独特的生命周期 二进制逆向分析 将应用安装文件成功转化为语义完整的可分析代码是本研究关键的第一步 解析AndroidManifest文件：权限、组件信息 dex字节码文件 与 java字节码的转换 代码包的层次关系 SAAF，AXMLPrinter2

2、，baksmali等一些 开源逆向项目中间代码静态分析Android应用与通常的Java程序不同,不存在主函数,应用的运行以及函数之间的调用是通过事件回调函数来实现的,并且回调时机与组建的生命周期相关Android应用程序生命周期图中间代码静态分析 设置source，sink，entrypoint 生成伪主函数（FlowDroid、soot） 构建过程间控制流图 遍历过程间控制流图（污点跟踪）中间代码静态分析根据生成的应用伪主函数和应用的函数调用关系图,可以构建应用的ICFG(过程间控制流图),ICFG中每个节点表示一个函数或代码块,图中的边表示可能的节点之间的调用关系. 过程间调用关系图漏洞

3、检测l基于指纹特征的Android应用软件漏洞检测l漏洞类别：数据泄露，未知代码执行，注入漏 洞，内容共享与代码加载，编码失效l检测方式：规则库匹配l研究其漏洞模式和产生的原理,提取漏洞特征,编 写漏洞检测规则.l覆盖15种常见漏洞常见漏洞类别类别子类别特征数据泄露 敏感数据外部存储敏感信息存储在sdcard敏感数据明文存储数据存储未经过加密处理敏感数据明文传输网络传输时,数据未经过加密处理日志泄露敏感数据敏感数据通过logcat以日志的形式输出未知代码执行WebView远程代码执行WebView组件将本地对象暴露给JS脚本Shell命令执行使用Runtime.exec来执行shell命令注入

4、漏洞SQL代码注入sql语句接收未经校验的参数输入Intent注入包含export为true的组件,且存在可能被注入的Intent-filter内容共享与代码加载Package资源共享存在Package contexts资源共享，使应用可以在运行时加载别的应用的资源文件和代码ClassLoaders执行未知代码使用classloader加载未知代码Native未知代码执行使用NDK等开发技术，加载本地库文件ApkInstall加载外部包代码调用PackageManager下载和安装指定的APK编码失效可逆编码应用程序使用的编码函数过于简单硬编码将密钥以字符串形式写入代码弱密码不安全的伪随机数生成器或错误的密钥设置IDC Lab, HUST7评价u 测试集：113个Android应用(包含10个样本应用,103个 市场流行应用)u 二进制代码逆向分析模块的成功率明显优于不能对抗 代码混淆的系统，达到92% ；失败原因是无法绕过某 些应用所采取的加固处理u 能对特征库种包含的15种漏洞进行检测u 人工分析加以验证评价IDC Lab, HUST9构造的应用伪main函数图评价IDC Lab, HUST10以伪主函数为入口,分析函数调用关系,构建应用