背景
- 出處:NDSS ’16, 21-24 February 2016, San Diego, CA, USA
- 作者:Vitor Afonso?, Antonio Bianchiy, Yanick Fratantonioy, Adam Doup′ez, Mario Polinox, Paulo de Geus, Christopher Kruegely, and Giovanni Vignay
概述
論文主要觀點
對大量app的native code進行了統計分析,提出了一種新型的可以自動生成策略的native code沙箱。
成果
- 開發了一個可以用來監控本地代碼部分執行的工具,并且使用這個工具做了大批量的分析;
- 對收集來的數據進行了系統性分析,發現良性應用是如何使用native code的,并放出了全部數據;
- 結果顯示完全去除native code的權限是不理想的,利用動態分析系統可自動生成native 沙箱策略,以限制惡意應用的行為。
方法模型
分析基礎
只取有使用native code跡象的app來分析;
分析工具記錄native code的全部事件和操作,工具以Androguard tool為基礎修改了一些模塊;
為了區別java和native code的行為,觀察從java到native和native到java的切換;
同時監控數據交換。
數據分析
使用Google Monkey用一些隨機事件(或連續)去刺激app的全部組件。
分析了native code的行為,java與native code直接的交互,super user權限的使用,JNI調用統計,Binder調用,外部lib的使用。
安全策略生成
所謂安全策略就是正常的行為,其實就是個白名單;
安全策略生成關鍵是給一個參數(迭代次數)。選擇一個大多數app都有的系統調用,迭代這個過程,直到生成一個系統調用的list可以使百分之所給閾值的應用都能正常執行native code。
實驗
簡單說明了下安全策略的影響和一些發現。
總結
優點
大量數據分析
不足
方法較為單薄,本質還是數據分析
我的想法
。。。
