安卓APP漏洞的静态检测方法
讲师:
所属专题:
安卓系统凭借其灵活和开放的特性获得了市场的青睐,但开放性也意味着APP开发者需要为安全负更大的责任。一方面在安卓APP这个快速发展的领域有大量新手开发者的加入,另一方面即使经验丰富的开发者也难免犯错误,安卓应用的漏洞层出不穷,值得我们深入研究。
由于安卓APP的功能越来越多,代码逻辑越来越复杂,漏洞常常隐藏在深处,只有触发到一系列特定条件后才会被触发。因此通过常规的测试流程来找出这些藏在深处的漏洞越来越难,对此,我们的一个思路是,通过静态程序分析来挖掘安卓应用中存在的漏洞,并构造出能够触发这些漏洞的条件。
希望通过这些分享帮助开发者制作出更安全的应用,帮助安全研究者开拓漏洞研究的思路。
碁震(上海)云计算科技有限公司 高级研究员
Flanker毕业于浙江大学,曾在香港科技大学软件工程研究所做学术交流。在学生时代他就迷上了信息安全,是CTF竞赛的爱好者,blue-lotus战队成员之一并随队征战了DEFCON 21 CTF决赛。从此之后他就在安全的“不归路”上越走越远,关注内容包括过Web安全、入侵检测、移动平台恶意软件检测、甲方应急响应/漏洞处理等,目前他专注于移动应用安全和程序分析领域,通过程序分析方法挖掘并报告了数以百计的安卓应用漏洞。他于2014年加入碁震云计算及其研究团队Keen Team,致力于移动应用漏洞挖掘和程序分析方法在其中应用的研究。
