[原创]浅谈Android软件安全自动化审计-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]浅谈Android软件安全自动化审计

发表于: 2012-9-19 21:03 20732

[原创]浅谈Android软件安全自动化审计

riusksk

2012-9-19 21:03

20732

2011年写的工具DroidAppAuditter，用于实现Android软件自动化安全测试，文章也是之前写的了，扔出来与各位分享。

在线阅读版见TSRC博客：http://security.tencent.com/index.php/blog/msg/6

PDF文档见下方附件。

【标题】：浅谈Android软件安全自动化审计
【作者】：riusksk（泉哥）
【邮箱】：riusksk@qq.com
【博客】：http://hi.baidu.com/riusksk
【微博】：http://t.qq.com/riusksk

【目录】
0x00 前言
0x10 Android软件常见漏洞原理及检测
0x11 敏感信息明文保存
0x12 程序文件及进程权限问题
0x13 网络数据明文传输
0x14 组件权限安全问题
0x15 其它
0x20 自动化审计工具——DroidAppAuditter
0x30 业界Android软件安全现状
0x40 总结
0x50 关于我们

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

浅谈Android软件安全自动化审计.pdf （779.42kb，693次下载）

收藏・15

免费・6

支持

最新回复 (17)
Claud 雪币： 1413 活跃值： (401) 能力值： (RANK：270 ) 在线值：发帖 34 回帖 278 粉丝 43 关注私信	Claud 6 2 楼不错，终于有人在做这些了。组件调用问题，还得多看这两年的会议论文。组件暴露只是其中一方面。（要多读英文资料啊）我在下个月的《程序员》文章上简单列出了一些资源，建议参考： Android的开发文档Best Practices: Designing for Security和源码文档Tech Info: Security分别从开发和系统实现的角度介绍了系统的安全机制，值得逐句地阅读。另外，viaForensics提供了名为42+ Best Practices: Secure mobile development for iOS and Android的在线教程，更详细地介绍了移动软件面临的安全威胁，并给出了安全开发实践策略。社区方面，从Android安全开发的角度，StackOverflow并不一定是很好的选择——其中一些最佳回答没有考虑安全，直接使用可能产生问题。Google Group的anroid-security-discuss讨论组则更为专业和准确。OWASP成立了一个Mobile Security工作组，目前已经发布Top Ten Mobile Risks等多份白皮书，并举办了AppSec会议。这个工作组的效率虽然不高，但产出质量非常棒。学术方面，2011和2012年的四大会议及其workshop上均有移动软件漏洞挖掘和攻击阻止的论文出现，从它们的related works部分可以综合快速地了解学术界的思路。另外，笔者创办了网站secmobi.com，用于分享移动安全领域来自学术界和产业界的资讯和资源。 2012-9-19 22:27 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 3 楼其实这些问题在国外很早就在搞，国内也有人在搞，只是分享少，公开的资料很少，国外的英文资料是最佳的获取路径。这审计工具2011年写的，一些新增的检测功能可能没有写进paper里面，大家如有其它好的安全审计点也提出来分享下，共同研究学习！ PS：Claud，顺便把你的文章也发出来吧 2012-9-20 00:03 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 4 楼顺便打个广告：上传的附件： QQ截图20120920001228.png （88.29kb，410次下载） 2012-9-20 00:13 0
Claud 雪币： 1413 活跃值： (401) 能力值： (RANK：270 ) 在线值：发帖 34 回帖 278 粉丝 43 关注私信	Claud 6 5 楼发在那边，版权已经不是我的了。。哈哈过阵子去MDCC和ISF讲完，我会慢慢在secmobi上发的。 2012-9-20 10:23 0
dEARMoON 雪币： 106 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 95 粉丝 0 关注私信	dEARMoON 6 楼顶泉哥，顶LS，学习。 2012-9-20 10:58 0
后恋雪币： 72 活跃值： (60) 能力值： ( LV7，RANK：100 ) 在线值：发帖 12 回帖 95 粉丝 0 关注私信	后恋 2 7 楼 DroidAppAuditter 这个东西哪里有啊？ 2012-9-20 11:17 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 8 楼关键代码已经给出，工具就不开源了，授人以鱼不如授人以渔 2012-9-20 20:34 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 9 楼坐等PPT/PDF分享…… 2012-9-20 20:37 0
kanxue 雪币： 47147 活跃值： (20460) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 10 楼感谢分享，好文章！ 2012-9-20 21:54 0
我是土匪雪币： 546 活跃值： (1672) 能力值： ( LV12，RANK：210 ) 在线值：发帖 75 回帖 787 粉丝 7 关注私信	我是土匪 4 11 楼感谢分享，膜拜楼主 2012-9-20 22:36 0
非虫雪币： 2307 活跃值： (1013) 能力值： (RANK：350 ) 在线值：发帖 31 回帖 412 粉丝 129 关注私信	非虫 7 12 楼感谢分享，好文章！ 2012-9-21 14:33 0
king少雪币： 5 活跃值： (374) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 189 粉丝 0 关注私信	king少 13 楼好东西就是写的太少。可以多写些深入的嘛。。。。。。。。 2012-9-21 18:12 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 14 楼这些内容其实都是2011年搞的了，更多的思路，大家可以继续去扩展和补充，记得到时也一并分享下。 2012-9-21 18:27 0
uwmnth 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 126 粉丝 0 关注私信	uwmnth 15 楼就安全性来看，手机没有电脑安全对吗？ 2012-9-23 02:12 0
YwdxY 雪币： 347 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 201 粉丝 0 关注私信	YwdxY 16 楼非常感谢分享~ 2012-9-27 09:47 0
linhanshi 雪币： 97697 活跃值： (200834) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27947 粉丝 453 关注私信	linhanshi 17 楼 Thanks for share. 2012-10-2 15:22 0
davidtps 雪币： 132 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 1 关注私信	davidtps 18 楼学习了 2012-11-22 11:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

riusksk

169

发帖

2648

回帖

1820

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
Claud 雪币： 1413 活跃值： (401) 能力值： (RANK：270 ) 在线值：发帖 34 回帖 278 粉丝 43 关注私信	Claud 6 2 楼不错，终于有人在做这些了。组件调用问题，还得多看这两年的会议论文。组件暴露只是其中一方面。（要多读英文资料啊）我在下个月的《程序员》文章上简单列出了一些资源，建议参考： Android的开发文档Best Practices: Designing for Security和源码文档Tech Info: Security分别从开发和系统实现的角度介绍了系统的安全机制，值得逐句地阅读。另外，viaForensics提供了名为42+ Best Practices: Secure mobile development for iOS and Android的在线教程，更详细地介绍了移动软件面临的安全威胁，并给出了安全开发实践策略。社区方面，从Android安全开发的角度，StackOverflow并不一定是很好的选择——其中一些最佳回答没有考虑安全，直接使用可能产生问题。Google Group的anroid-security-discuss讨论组则更为专业和准确。OWASP成立了一个Mobile Security工作组，目前已经发布Top Ten Mobile Risks等多份白皮书，并举办了AppSec会议。这个工作组的效率虽然不高，但产出质量非常棒。学术方面，2011和2012年的四大会议及其workshop上均有移动软件漏洞挖掘和攻击阻止的论文出现，从它们的related works部分可以综合快速地了解学术界的思路。另外，笔者创办了网站secmobi.com，用于分享移动安全领域来自学术界和产业界的资讯和资源。 2012-9-19 22:27 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 3 楼其实这些问题在国外很早就在搞，国内也有人在搞，只是分享少，公开的资料很少，国外的英文资料是最佳的获取路径。这审计工具2011年写的，一些新增的检测功能可能没有写进paper里面，大家如有其它好的安全审计点也提出来分享下，共同研究学习！ PS：Claud，顺便把你的文章也发出来吧 2012-9-20 00:03 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 4 楼顺便打个广告：上传的附件： QQ截图20120920001228.png （88.29kb，410次下载） 2012-9-20 00:13 0
Claud 雪币： 1413 活跃值： (401) 能力值： (RANK：270 ) 在线值：发帖 34 回帖 278 粉丝 43 关注私信	Claud 6 5 楼发在那边，版权已经不是我的了。。哈哈过阵子去MDCC和ISF讲完，我会慢慢在secmobi上发的。 2012-9-20 10:23 0
dEARMoON 雪币： 106 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 95 粉丝 0 关注私信	dEARMoON 6 楼顶泉哥，顶LS，学习。 2012-9-20 10:58 0
后恋雪币： 72 活跃值： (60) 能力值： ( LV7，RANK：100 ) 在线值：发帖 12 回帖 95 粉丝 0 关注私信	后恋 2 7 楼 DroidAppAuditter 这个东西哪里有啊？ 2012-9-20 11:17 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 8 楼关键代码已经给出，工具就不开源了，授人以鱼不如授人以渔 2012-9-20 20:34 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 9 楼坐等PPT/PDF分享…… 2012-9-20 20:37 0
kanxue 雪币： 47147 活跃值： (20460) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 10 楼感谢分享，好文章！ 2012-9-20 21:54 0
我是土匪雪币： 546 活跃值： (1672) 能力值： ( LV12，RANK：210 ) 在线值：发帖 75 回帖 787 粉丝 7 关注私信	我是土匪 4 11 楼感谢分享，膜拜楼主 2012-9-20 22:36 0
非虫雪币： 2307 活跃值： (1013) 能力值： (RANK：350 ) 在线值：发帖 31 回帖 412 粉丝 129 关注私信	非虫 7 12 楼感谢分享，好文章！ 2012-9-21 14:33 0
king少雪币： 5 活跃值： (374) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 189 粉丝 0 关注私信	king少 13 楼好东西就是写的太少。可以多写些深入的嘛。。。。。。。。 2012-9-21 18:12 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 14 楼这些内容其实都是2011年搞的了，更多的思路，大家可以继续去扩展和补充，记得到时也一并分享下。 2012-9-21 18:27 0
uwmnth 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 126 粉丝 0 关注私信	uwmnth 15 楼就安全性来看，手机没有电脑安全对吗？ 2012-9-23 02:12 0
YwdxY 雪币： 347 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 201 粉丝 0 关注私信	YwdxY 16 楼非常感谢分享~ 2012-9-27 09:47 0
linhanshi 雪币： 97697 活跃值： (200834) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27947 粉丝 453 关注私信	linhanshi 17 楼 Thanks for share. 2012-10-2 15:22 0
davidtps 雪币： 132 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 1 关注私信	davidtps 18 楼学习了 2012-11-22 11:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复