[原创]浅谈Android软件安全自动化审计-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]浅谈Android软件安全自动化审计

2012-9-19 21:03 20245

[原创]浅谈Android软件安全自动化审计

riusksk

2012-9-19 21:03

20245

2011年写的工具DroidAppAuditter，用于实现Android软件自动化安全测试，文章也是之前写的了，扔出来与各位分享。

在线阅读版见TSRC博客：http://security.tencent.com/index.php/blog/msg/6

PDF文档见下方附件。

【标题】：浅谈Android软件安全自动化审计
【作者】：riusksk（泉哥）
【邮箱】：riusksk@qq.com
【博客】：http://hi.baidu.com/riusksk
【微博】：http://t.qq.com/riusksk

【目录】
0x00 前言
0x10 Android软件常见漏洞原理及检测
0x11 敏感信息明文保存
0x12 程序文件及进程权限问题
0x13 网络数据明文传输
0x14 组件权限安全问题
0x15 其它
0x20 自动化审计工具——DroidAppAuditter
0x30 业界Android软件安全现状
0x40 总结
0x50 关于我们

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

浅谈Android软件安全自动化审计.pdf （779.42kb，693次下载）

收藏・15

点赞・3

打赏

最新回复 (17)
Claud 雪币： 1413 活跃值： (401) 能力值： (RANK：270 ) 在线值：发帖 33 回帖 304 粉丝 36 关注私信	Claud 6 2012-9-19 22:27 2 楼 0 不错，终于有人在做这些了。组件调用问题，还得多看这两年的会议论文。组件暴露只是其中一方面。（要多读英文资料啊）我在下个月的《程序员》文章上简单列出了一些资源，建议参考： Android的开发文档Best Practices: Designing for Security和源码文档Tech Info: Security分别从开发和系统实现的角度介绍了系统的安全机制，值得逐句地阅读。另外，viaForensics提供了名为42+ Best Practices: Secure mobile development for iOS and Android的在线教程，更详细地介绍了移动软件面临的安全威胁，并给出了安全开发实践策略。社区方面，从Android安全开发的角度，StackOverflow并不一定是很好的选择——其中一些最佳回答没有考虑安全，直接使用可能产生问题。Google Group的anroid-security-discuss讨论组则更为专业和准确。OWASP成立了一个Mobile Security工作组，目前已经发布Top Ten Mobile Risks等多份白皮书，并举办了AppSec会议。这个工作组的效率虽然不高，但产出质量非常棒。学术方面，2011和2012年的四大会议及其workshop上均有移动软件漏洞挖掘和攻击阻止的论文出现，从它们的related works部分可以综合快速地了解学术界的思路。另外，笔者创办了网站secmobi.com，用于分享移动安全领域来自学术界和产业界的资讯和资源。
riusksk 雪币： 431 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 232 关注私信	riusksk 41 2012-9-20 00:03 3 楼 0 其实这些问题在国外很早就在搞，国内也有人在搞，只是分享少，公开的资料很少，国外的英文资料是最佳的获取路径。这审计工具2011年写的，一些新增的检测功能可能没有写进paper里面，大家如有其它好的安全审计点也提出来分享下，共同研究学习！ PS：Claud，顺便把你的文章也发出来吧
riusksk 雪币： 431 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 232 关注私信	riusksk 41 2012-9-20 00:13 4 楼 0 顺便打个广告：上传的附件： QQ截图20120920001228.png （88.29kb，410次下载）
Claud 雪币： 1413 活跃值： (401) 能力值： (RANK：270 ) 在线值：发帖 33 回帖 304 粉丝 36 关注私信	Claud 6 2012-9-20 10:23 5 楼 0 发在那边，版权已经不是我的了。。哈哈过阵子去MDCC和ISF讲完，我会慢慢在secmobi上发的。
dEARMoON 雪币： 106 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 96 粉丝 0 关注私信	dEARMoON 2012-9-20 10:58 6 楼 0 顶泉哥，顶LS，学习。
后恋雪币： 72 活跃值： (60) 能力值： ( LV7，RANK：100 ) 在线值：发帖 12 回帖 97 粉丝 0 关注私信	后恋 2 2012-9-20 11:17 7 楼 0 DroidAppAuditter 这个东西哪里有啊？
riusksk 雪币： 431 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 232 关注私信	riusksk 41 2012-9-20 20:34 8 楼 0 关键代码已经给出，工具就不开源了，授人以鱼不如授人以渔
riusksk 雪币： 431 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 232 关注私信	riusksk 41 2012-9-20 20:37 9 楼 0 坐等PPT/PDF分享……
kanxue 雪币： 32403 活跃值： (18860) 能力值： (RANK：350 ) 在线值：发帖 1826 回帖 15216 粉丝 488 关注私信	kanxue 8 2012-9-20 21:54 10 楼 0 感谢分享，好文章！
我是土匪雪币： 576 活跃值： (1359) 能力值： ( LV12，RANK：210 ) 在线值：发帖 72 回帖 786 粉丝 7 关注私信	我是土匪 4 2012-9-20 22:36 11 楼 0 感谢分享，膜拜楼主
非虫雪币： 2307 活跃值： (968) 能力值： (RANK：350 ) 在线值：发帖 31 回帖 408 粉丝 127 关注私信	非虫 7 2012-9-21 14:33 12 楼 0 感谢分享，好文章！
king少雪币： 5 活跃值： (359) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 193 粉丝 0 关注私信	king少 2012-9-21 18:12 13 楼 0 好东西就是写的太少。可以多写些深入的嘛。。。。。。。。
riusksk 雪币： 431 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 232 关注私信	riusksk 41 2012-9-21 18:27 14 楼 0 这些内容其实都是2011年搞的了，更多的思路，大家可以继续去扩展和补充，记得到时也一并分享下。
uwmnth 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 127 粉丝 0 关注私信	uwmnth 2012-9-23 02:12 15 楼 0 就安全性来看，手机没有电脑安全对吗？
YwdxY 雪币： 347 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 201 粉丝 0 关注私信	YwdxY 2012-9-27 09:47 16 楼 0 非常感谢分享~
linhanshi 雪币： 85485 活跃值： (198795) 能力值： (RANK：10 ) 在线值：发帖 9005 回帖 25618 粉丝 425 关注私信	linhanshi 2012-10-2 15:22 17 楼 0 Thanks for share.
davidtps 雪币： 132 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 1 关注私信	davidtps 2012-11-22 11:20 18 楼 0 学习了
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

riusksk

166

发帖

2652

回帖

1820

RANK

关注

私信

他的文章

[调查]未来针对个人电脑的商业杀毒软件是否会被替代或消亡？

[原创] honggfuzz漏洞挖掘技术深究系列

[原创]《漏洞战争》配套资料下载

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
Claud 雪币： 1413 活跃值： (401) 能力值： (RANK：270 ) 在线值：发帖 33 回帖 304 粉丝 36 关注私信	Claud 6 2012-9-19 22:27 2 楼 0 不错，终于有人在做这些了。组件调用问题，还得多看这两年的会议论文。组件暴露只是其中一方面。（要多读英文资料啊）我在下个月的《程序员》文章上简单列出了一些资源，建议参考： Android的开发文档Best Practices: Designing for Security和源码文档Tech Info: Security分别从开发和系统实现的角度介绍了系统的安全机制，值得逐句地阅读。另外，viaForensics提供了名为42+ Best Practices: Secure mobile development for iOS and Android的在线教程，更详细地介绍了移动软件面临的安全威胁，并给出了安全开发实践策略。社区方面，从Android安全开发的角度，StackOverflow并不一定是很好的选择——其中一些最佳回答没有考虑安全，直接使用可能产生问题。Google Group的anroid-security-discuss讨论组则更为专业和准确。OWASP成立了一个Mobile Security工作组，目前已经发布Top Ten Mobile Risks等多份白皮书，并举办了AppSec会议。这个工作组的效率虽然不高，但产出质量非常棒。学术方面，2011和2012年的四大会议及其workshop上均有移动软件漏洞挖掘和攻击阻止的论文出现，从它们的related works部分可以综合快速地了解学术界的思路。另外，笔者创办了网站secmobi.com，用于分享移动安全领域来自学术界和产业界的资讯和资源。
riusksk 雪币： 431 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 232 关注私信	riusksk 41 2012-9-20 00:03 3 楼 0 其实这些问题在国外很早就在搞，国内也有人在搞，只是分享少，公开的资料很少，国外的英文资料是最佳的获取路径。这审计工具2011年写的，一些新增的检测功能可能没有写进paper里面，大家如有其它好的安全审计点也提出来分享下，共同研究学习！ PS：Claud，顺便把你的文章也发出来吧
riusksk 雪币： 431 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 232 关注私信	riusksk 41 2012-9-20 00:13 4 楼 0 顺便打个广告：上传的附件： QQ截图20120920001228.png （88.29kb，410次下载）
Claud 雪币： 1413 活跃值： (401) 能力值： (RANK：270 ) 在线值：发帖 33 回帖 304 粉丝 36 关注私信	Claud 6 2012-9-20 10:23 5 楼 0 发在那边，版权已经不是我的了。。哈哈过阵子去MDCC和ISF讲完，我会慢慢在secmobi上发的。
dEARMoON 雪币： 106 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 96 粉丝 0 关注私信	dEARMoON 2012-9-20 10:58 6 楼 0 顶泉哥，顶LS，学习。
后恋雪币： 72 活跃值： (60) 能力值： ( LV7，RANK：100 ) 在线值：发帖 12 回帖 97 粉丝 0 关注私信	后恋 2 2012-9-20 11:17 7 楼 0 DroidAppAuditter 这个东西哪里有啊？
riusksk 雪币： 431 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 232 关注私信	riusksk 41 2012-9-20 20:34 8 楼 0 关键代码已经给出，工具就不开源了，授人以鱼不如授人以渔
riusksk 雪币： 431 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 232 关注私信	riusksk 41 2012-9-20 20:37 9 楼 0 坐等PPT/PDF分享……
kanxue 雪币： 32403 活跃值： (18860) 能力值： (RANK：350 ) 在线值：发帖 1826 回帖 15216 粉丝 488 关注私信	kanxue 8 2012-9-20 21:54 10 楼 0 感谢分享，好文章！
我是土匪雪币： 576 活跃值： (1359) 能力值： ( LV12，RANK：210 ) 在线值：发帖 72 回帖 786 粉丝 7 关注私信	我是土匪 4 2012-9-20 22:36 11 楼 0 感谢分享，膜拜楼主
非虫雪币： 2307 活跃值： (968) 能力值： (RANK：350 ) 在线值：发帖 31 回帖 408 粉丝 127 关注私信	非虫 7 2012-9-21 14:33 12 楼 0 感谢分享，好文章！
king少雪币： 5 活跃值： (359) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 193 粉丝 0 关注私信	king少 2012-9-21 18:12 13 楼 0 好东西就是写的太少。可以多写些深入的嘛。。。。。。。。
riusksk 雪币： 431 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 232 关注私信	riusksk 41 2012-9-21 18:27 14 楼 0 这些内容其实都是2011年搞的了，更多的思路，大家可以继续去扩展和补充，记得到时也一并分享下。
uwmnth 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 127 粉丝 0 关注私信	uwmnth 2012-9-23 02:12 15 楼 0 就安全性来看，手机没有电脑安全对吗？
YwdxY 雪币： 347 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 201 粉丝 0 关注私信	YwdxY 2012-9-27 09:47 16 楼 0 非常感谢分享~
linhanshi 雪币： 85485 活跃值： (198795) 能力值： (RANK：10 ) 在线值：发帖 9005 回帖 25618 粉丝 425 关注私信	linhanshi 2012-10-2 15:22 17 楼 0 Thanks for share.
davidtps 雪币： 132 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 1 关注私信	davidtps 2012-11-22 11:20 18 楼 0 学习了
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复