1.
土耳其Abant Izzet Baysal大学和Gazi大学的研究人员针对现有Android权限管理无法动态调整、用户难以理解权限意义等问题,提出了一种基于权限的Android恶意软件检测方法,并实现了其原型系统APKAuditor。APKAuditor的服务器端可以对用户设备中的应用和Google
Play应用商店中的应用进行权限分析,并基于概率论方法对每个权限的安全性进行打分,通过公式给出应用为恶意应用的可能性分数,并通过Logistic回归方法确定恶意应用分数临界值。实验数据集采用公开的contagiomobile、Drebin、Android
Malware GenomeProject等数据集,共8762个应用。实验结果表明APK
Auditor的恶意软件检测率高达88%,误报率0.46%。并且相比其他工作,APKAuditor全部在服务器端完成分析工作,不需要占用手机资源,并且该方法时间开销小,因此对APK大小不做限制。在线分析地址为:http://app.ibu.edu.tr:8080/apkinspectoradmin,用户名、密码为“guest/Guest1”。该成果可用于手机应用商店中,以更好地改善手机生态的安全性。(APK
Auditor: Permission-based Android malwaredetection system, Digital Investigation(SCI, IF=0.986), June 2015)
2.
加拿大麦吉尔大学和上海交通大学的研究人员针对现有Android应用存在用户隐私数据泄露的问题,提出了一种基于静态分析和动态分析相结合的应用审计方法——AppAudit,静态分析采用一种粗略的判断方法,保证分析的速度,关于动态分析本文提出了一种基于Approximated Execution(近似执行)的动态分析方法,在只执行应用一部分代码的同时,有效猜测未知变量,保证分析路径尽可能完全。在三个公开数据集(共1400个)的实验结果表明,AppAudit方法的隐私泄露检测率高达99.3%,并实现了0误报。相比现有工作,AppAudit方法的检测速度提高了8.3倍,并且内存占用减少了90%。AppAudit在实际应用中发现了30个数据泄露漏洞,其中很大一部分是由于第三方广告模块通过非加密HTTP连接传输用户数据导致的,充分说明了该AppAudit对应用商店、应用开发者和终端用户的意义。该成果可用于手机应用商店中,以更好地改善手机生态的安全性。(Effective
Real-time Android Application Auditing, S&P '15 (2015 IEEE Symposium on Security andPrivacy) , May 2015)
3.
加州大学圣塔芭芭拉分校计算机科学学院的研究人员,针对一些恶意的AndroidApp会伪装成正常程序,从而迷惑用户使其提供相应隐私信息(比如钓鱼攻击),而导致的隐私泄露问题,提出了一套实现攻击的方案,以及进行应对的对系统进行加固和对用户进行提醒的方案。本框架通过对android源代码利用自动化工具进行分析,找出了有隐患的攻击向量并进行分类(它们会可能允许APP进行钓鱼攻击或点击劫持攻击),提出了一套进行攻击的方案。为了应对这些威胁,1)在应用市场层面,研究人员建立了一个工具,使用静态分析去识别那些可能发起GUI攻击的代码;2)在终端层面,通过在navigationbar上增加指示器等方法,使得用户可以被告知运行着的程序的真实来源并与正常来源进行对比从而提醒用户。通过对308位用户的访问和测试,我们的工具可以很好地帮助用户阻止此类威胁的发生。项目的攻击代码和防御的原型代码已经开源(https://github.com/ucsb-seclab/android_ui_deception)。(What
the App is That? Deception and Countermeasures in the Android User Interface, 2015 IEEE Symposium on Security and Privacy,May 2015)