背景

• 出處：NDSS ’16, 21-24 February 2016, San Diego, CA, USA
• 作者：Vitor Afonso?, Antonio Bianchiy, Yanick Fratantonioy, Adam Doup′ez, Mario Polinox, Paulo de Geus, Christopher Kruegely, and Giovanni Vignay

概述

論文主要觀點

對大量app的native code進(jìn)行了統(tǒng)計分析，提出了一種新型的可以自動生成策略的native code沙箱。

成果

• 開發(fā)了一個可以用來監(jiān)控本地代碼部分執(zhí)行的工具，并且使用這個工具做了大批量的分析；
• 對收集來的數(shù)據(jù)進(jìn)行了系統(tǒng)性分析，發(fā)現(xiàn)良性應(yīng)用是如何使用native code的，并放出了全部數(shù)據(jù)；
• 結(jié)果顯示完全去除native code的權(quán)限是不理想的，利用動態(tài)分析系統(tǒng)可自動生成native 沙箱策略，以限制惡意應(yīng)用的行為。

方法模型

分析基礎(chǔ)

只取有使用native code跡象的app來分析；
分析工具記錄native code的全部事件和操作，工具以Androguard tool為基礎(chǔ)修改了一些模塊；
為了區(qū)別java和native code的行為，觀察從java到native和native到j(luò)ava的切換；
同時監(jiān)控數(shù)據(jù)交換。

數(shù)據(jù)分析

使用Google Monkey用一些隨機事件（或連續(xù)）去刺激app的全部組件。
分析了native code的行為，java與native code直接的交互，super user權(quán)限的使用，JNI調(diào)用統(tǒng)計，Binder調(diào)用，外部lib的使用。

安全策略生成

所謂安全策略就是正常的行為，其實就是個白名單；
安全策略生成關(guān)鍵是給一個參數(shù)（迭代次數(shù)）。選擇一個大多數(shù)app都有的系統(tǒng)調(diào)用，迭代這個過程，直到生成一個系統(tǒng)調(diào)用的list可以使百分之所給閾值的應(yīng)用都能正常執(zhí)行native code。

實驗

簡單說明了下安全策略的影響和一些發(fā)現(xiàn)。

總結(jié)

優(yōu)點

大量數(shù)據(jù)分析

不足

方法較為單薄，本質(zhì)還是數(shù)據(jù)分析

我的想法

。。。