Android和iOS应用软件密码误用漏洞的分析.docVIP

Ａｎｄｒｏｉｄ和ｉｏＳ应用软件密码误用漏洞分析  邵  帅１  王眉林１  时志伟１  杨天长２  韩继登２ （１．中国信息安全测评中心，北京１０００８５‘ ２．北京邮电大学，北京１００８７６） 摘要：大量Ａｎｄｒｏｉｄ和ｉ（）Ｓ应用程序存在密码误用漏洞，但是目前针对密码误用 漏洞的研究较少，本文在已有研究的基础上，完善了密码误用漏洞模型，提出了 动静结合的密码误用漏洞分析方法，并且设计并实现了用于Ａｎｄｍｉｄ和ｉＯＳ平台 的密码误用漏洞分析的原型工具，该工具首先通过静态分析得出应用软件调用 的密码相关函数集合和执行路径分支，然后通过动态分析记录密码相关函数的 运行时参数，最后分析动态分析生成的记录以判定该应用软件是否存在密码误 用漏洞。实验表明，工具对Ａｎｄｒｏｉｄ应用软件的密码误用分析效果较好，ｉ（）Ｓ应 用软件由于存在大量自定义函数，对分析工具提出了更高的要求。 关键词：Ａｎｄｒｏｉｄ；ｉ０Ｓ；密码误用；漏洞分析 中图分类号：ＴＰ ３１４ 文献标识号：Ａ  Ｃｒｙｐｔｏｇｒａｐｈｉｃ  Ｍｉｓｕｓｅ Ａｎａｌｙｓｉｓ ｉｎ Ａｎｄｒｏｉｄ ａｎｄ ｉＯＳ Ａｐｐｌｉｃａｔｉｏｎｓ ＳＨＡｏ Ｓ＾“ｎｉｌ ＷＡＮＧ ＭＦ”１ ＳＨＪ Ｚ＾ｊ训Ｐｉｌ ｙＡ．ＮＧ丁施ｗ＾Ｈｇ ２ ＨＡ＼，．，ｉｄ跏ｇ ２ （１．Ｃｈｉｎａ Ｉｎｆｏｒｍａｔｉｏｎ Ｔｅｃｈｎｏｌｏｇｙ Ｓｅｃｕｒｉｔｙ Ｅｖａｌｕａｔｉｏｎ Ｃｅｎｔｅｒ，Ｂｅｉｊｉｎｇ １０００８５，Ｃｈｉｎａ； ２．Ｂｅｉｊｉｎｇ Ｕｎｉｖｅｒｓｉｔｙ ｏｆ ｐ。ｓｔｓ ａｎｄ ｔｅｌｅｃｏｍｍｕｎｉｃａｔｉｏｎｓ，Ｂｅ巧ｉｎｇ １００８７６，Ｃｈｉｎａ）  Ａｌ硌ｔＩ’ａｃｔ：Ａ  ｓｊｚｅａｂ】ｅ ｐ。ｒｔｉｏｎ ｏｆ Ａｎｄｒｏｉｄ  ａｎｄ  ｊ０Ｓ ａｐｐｌｊｃａｔｉｏｎｓ  ａｒｅ  ａｆｆｅｃｔｅｄ ｂｙｃｒｙｐｔｏｇｒａｐｈｉｃ ｍｉｓｕｓｅ． Ｂｕｔ ｔｈｅ ｓｔｕｄｉｅｓ ｏｎ ｃｒｙｐｔｏｇｒａｐｈｉｃ ｍｉｓｕｓｅ ｆｏｃｕｓ ｏｎ ＳＳＩ。ｏｒ ｂａｓｅｄ ｏｎ ｅｍｐｉｒｉｃａｌ ｓｔｕｄｙ． Ｉｎ ｔｈｉｓ ｐａｐｅｒ，ｗｅ ｉｍｐｒｏｖｅ ｔｈｅ ｃｒｙｐｔｏｇｒａｐｈｉｃ ｍｉｓｕｓｅ ｍｏｄｅｌ ａｎｄ ｐｒｏｐｏｓｅ ａ ｃｒｙｐｔｏｇｒａｐｈｉｃ ｍｉｓｕｓｅｄｅｔｅｃ— ｔｉｏｎ ｍｅｔｈｏｄ ｂａｓｅｄ ｏｎ ｔｈｅ ｃｏｍｂｉｎａｔｉｏｎ ｏｆｓｔａｔｉｃ ａｎｄ ｄｙｎａｍｉｃ ａｎａｌｙｓｉｓ． Ｗｅ ａｌｓｏ ｉｍｐｌｅｍｅｎｔ ａ ｐｒｏｔｏ— ｔｙｐｅ ｔｏｏｌ Ｃｒｙｐｔｏ Ｍｉｓｕｓｅ Ａｎａｌｙｓｅｒ（ＣＭＡ）ｔｈａｔ ｃａｎ ｂｅ ｕｓｅｄ ｏｎ ｂｏｔｈ Ａｎｄｒｏｉｄ ａｎｄ ｉ０Ｓ ｐｌａｔｆｏｒｍ． Ｔｈｅ ＣＭＡ ｃａｎ ｐｅｒｆｏｒｍ ｓｔａｔｉｃ ａｎａｌｙｓｉｓ ｓｏ ｔｈａｔ ｔｈｅ ｃｒｙｐｔｏｇｒａｐｈｉｃ ｆｕｎｃｔｉｏｎｓ ａｎｄ ｔｈｅ ｂｒａｎｃｈｅｓ ｔｈａｔ ｉｎｖｏｋｅ ｔｈｅｓｅｆｕｎｃｔｉｏｎｓ ｃａｎ ｂｅ ｓｅｌｅｃｔｅｄ． １、ｈｅｎ ｉｔ ｒｕｎｓ ｔｈｅ ａｐｐ ｆｏｌｌｏｗｉｎｇ ｔｈｅ ｔａｒｇｅｔ ｂｒａｎｃｈ ａｎｄ ｔｈｅ ｃｒｙｐｔｏｇｒａｐｈｉｃ ｆｕｎｃｔｉｏｎｓ’ｒｕｎｔｉｍｅ ｐａｒａｍｅｔｅｒｓ ａｒｅ ｒｅｃｏｒｄｅｄ． Ａｔ ｌａｓｔ，ｔｈｅ ＣＭＡ ａｎａｌｙｚｅｓｔｈｅ ｒｅｃｏｒｄｓ ｔｏ ｄｅｃｉｄｅ ｉｆ ｔｈｅ ａｐｐ ｉｓ ａｆｆｅｃｔｅｄ ｂｙｃｒｙｐｔｏｇｒａｐｈｉｃ ｍｉｓｕｓｅ． Ｔｈｅ ｅｘｐｅｒｉｍｅｎｔ ｓｈｏｗｓ ｔｈａｔ ＣＭＡ ｅｘｅ— ｃｕｔｅｓ ｂｅｔｔｅｒ ｏｎ Ａｎｄｒｏｉｄ ａｎｄ ｉｔ ｎｅｃｄ ｔｏ ｂｅ ｉｍｐｒｏｖｅｄ ｏｎ ｉ（）Ｓ ｆｏｒ ｔｈｅｒｅ ａｒｅ ｓｏ ｍａｎｙ ｕｓｅｒ—ｄｅ“ｎｅｄ  基金项目：ｌ＿国家自然科学基金项目； ２．国家高技术研究发展计划（２０１２ＡＡ０１２９０３） 作者简介：邵帅（１９８４一）．男（汉）．河南，助理研究员。 通信作者：邵帅，ｓｈａｏｓｈｕａｉｂ＠１ ６３．ｃｏｍ ４０６第七届信息安全漏洞分析与风险评估大会（ＶＡＲＡ２０１ ４）论文集 ｃｒｙｐｔｏｇｒａｐｈｉｃ ｆｕｎｃｔｉｏｎｓ． Ｋｅｙ Ｗｏｒｄｓ：Ａｎｄｒｏｉｄ；ｉ０Ｓ；ｃｒｙｐｔｏｇｒａｐｈｉｃ ｍｉｓｕｓｅ；ｖｕｌｎｅｒａｂｉｌｉｔｙ ａｎａｌｙｓｉｓ  １