GoSSIP 論文推薦（2017-05-21）

本周我們在移動安全方面推薦四篇論文，都和Android平台應用程序分析相關。隨著技術的發展，Android平台的基礎應用程序分析技術已經基本成熟，在靜態分析和動態分析方面都有比較好用的工具可以使用。這四篇文章的研究方向具有一定的相似性，都是使用已有的程序分析技術去分析一些特殊的應用程序群體，以此來進行一些特殊場景下的應用程序安全分析。

Stack Overflow Considered Harmful,The Impact of Copy&Paste on Android Application Security

第一篇論文Stack Overflow Considered Harmful,The Impact of Copy&Paste on Android Application Security來自著名的Saarland University的CISPA研究組，發表在今年的Oakland上，CISPA是一個在計算機安全領域非常活躍的研究組，在Android安全方面有大量的文章發表。該論文的研究點來自於作者觀察到的一個事實，作者發現現在的程序員在開發程序時普遍存在從網上摘抄代碼的行為，作者認為這種行為會導致一些存在於公開代碼中的安全問題被大規模的擴散到其他程序中。作者針對StackOverflow上有關Android平台開發的代碼案例進行了研究，作者進行了一系列的實驗，試圖分析這些代碼片段中的安全問題是否會擴散到現實的應用程序中。作者分析了StackOverflow上所有和Android有關的代碼片段，提取了4019個和安全相關的代碼片段。之後使用人工標記和機器學習的方法將這4019個代碼片段分為安全和不安全兩組。最後作者基於這4019個代碼片段，對130萬個Android應用程序進行了靜態分析，發現有15.4%包含了這些摘抄自StackOverflow、同時和安全相關的代碼，這些代碼中有97.9%存在安全問題。此外，作者所設計的整個分析流程都能夠自動化完成。

Breaking Ad-hoc Runtime Integrity Protection Mechanisms in Android Financial Apps

第二篇論文Breaking Ad-hoc Runtime Integrity Protection Mechanisms in Android Financial Apps是首爾大學和三星的研究人員合作的文章，發表在今年的ASIACCS上。本篇文章主要分析了目前韓國地區的金融類App的自我保護機制的部署情況。本文所涉及的自我保護機制主要包括檢查設備是否被root和檢查程序自身有沒有被篡改。本文針對金融類App進行了以下幾個方面的分析：1）這些App如何來獲取設備被root或app被篡改的信息？2)如何通過程序分析的方法在代碼中識別這些自我保護機制？3）如何去繞過這些自我保護機制？作者開發了一個叫MERCIDroid的框架，通過修改Android源碼，定製了一個可以記錄App運行時信息的Android系統。通過該系統記錄的API等信息來找出APP中檢測環境和終止運行的行為。本文的實驗從韓國的Google Play下載了200個金融類應用程序，使用MERCIDroid對他們進行分析。發現其中有73個檢查了設備是否被root，有44個檢查了app代碼的完整性。之後作者使用多種繞過技術去繞過這些自我保護機制，最終發現有67/73個和39/44個可以被繞過。此外他們還發現許多app用了相同的自我保護的庫，作者針對其中的5個庫進行了人工的分析。

To Update or Not to Update Insights From a Two Year Study of Android App Evolution

第三篇論文To Update or Not to Update Insights From a Two Year Study of Android App Evolution來自牛津大學計算機系，發表在今年的ASIACCS上，一直以來我們很少在計算機安全方向的會議上看到牛津大學的文章。這篇所選擇的切入點是目前市場上應用程序更新和應用程序安全之間的相關性。作者選取的研究對象是Google Play上的應用程序，在過去的兩年時間（2014,10——2016,09）中，作者持續的對Google Play市場上APP的信息進行多次「快照提取」（3個月一次），每次快照會記錄App的許可權信息，以此來分析應用程序更新給應用程序所申請的許可權所帶來的變化。其次，作者收集了30000個App樣本（15000個應用，每個應用2個版本，下載自不同時間），通過對App進行靜態分析，來分析應用程序在漏洞方面的變化。這裡的漏洞包括了信息泄露、網路連接安全、密碼學誤用、可調試、root檢測等多個方面。作者的實驗證明:隨著APP版本的更新，其申請的許可權以及包含的安全漏洞是越來越多的，其中越是使用量高的APP越是明顯。

LibD Scalable and Precise Third-party Library Detection in Android Markets

最後一篇論文LibD Scalable and Precise Third-party Library Detection in Android Markets是中科院和PSU合作的論文，發表在今年的軟工類會議ICSE上。這篇文章針對目前Android應用程序中第三方庫的使用情況進行研究。作者從45個第三方市場上下載了1427395個應用程序樣本作為分析對象。本文所提出的分析方法主要用來識別應用程序中使用到的第三方庫的身份。首先，通過對代碼類之間的繼承關係以及調用關係的分析，將代碼中的第三方庫切割出來。之後對這些第三庫進行特徵提取，這裡的特徵是指每一個代碼基本塊所包含的opcode以及基本塊之間的調用關係，以此形成一個特徵樹。作者認為這種特徵提取方式可以有效的對抗代碼突變和代碼混淆。最後通過特徵樹去匹配識別應用程序中的第三方庫。

推薦閱讀：