主页期刊介绍编委会编辑部服务介绍道德声明在线审稿编委办公编辑办公English
2018-2019年专刊出版计划 微信服务介绍 最新一期:2018年第12期
     
在线出版
各期目录
纸质出版
分辑系列
论文检索
论文排行
综述文章
专刊文章
美文分享
各期封面
E-mail Alerts
RSS
旧版入口
中国科学院软件研究所
  
投稿指南 问题解答 下载区 收费标准 在线投稿
王持恒,陈晶,苏涵,何琨,杜瑞颖.基于宿主权限的移动广告漏洞攻击技术.软件学报,2018,29(5):1392-1409
基于宿主权限的移动广告漏洞攻击技术
Mobile Advertising Loophole Attack Technology Based on Host APP's Permissions
投稿时间:2017-06-22  修订日期:2017-08-29
DOI:10.13328/j.cnki.jos.005494
中文关键词:  移动广告生态系统  宿主权限  中间人攻击  攻击载荷自动生成  能力描述语言
英文关键词:mobile advertising ecosystem  host permission  man-in-the-middle attack  automatic attack code generation  capabilit description language
基金项目:国家自然科学基金(61572380,61772383,61702379);国家重点基础研究发展计划(973)(2014CB340600)
作者单位E-mail
王持恒 国家网络安全学院(武汉大学), 湖北 武汉 430072 chenjing@whu.edu.cn 
陈晶 国家网络安全学院(武汉大学), 湖北 武汉 430072  
苏涵 国家网络安全学院(武汉大学), 湖北 武汉 430072  
何琨 国家网络安全学院(武汉大学), 湖北 武汉 430072  
杜瑞颖 国家网络安全学院(武汉大学), 湖北 武汉 430072
地球空间信息技术协同创新中心, 湖北 武汉 430079 
 
摘要点击次数: 726
全文下载次数: 746
中文摘要:
      移动广告作为市场营销的一种重要手段,越来越受到应用开发者的青睐,其市场规模也日趋增大.但是,为了追求广告的精准投放和其他非法利益,移动广告给用户的隐私与财产安全也带来了很大的威胁.目前,众多学者关注广告平台、广告主和移动应用的安全风险,还未出现在广告网络中直接发起攻击的案例.提出了一种基于宿主权限的移动广告漏洞攻击方法,能够在移动应用获取广告内容时,在流量中植入攻击代码.通过对广告流量的拦截,提取出宿主应用的标识和客户端相关信息,间接得到宿主应用的权限列表和当前设备的WebView漏洞.另外,提出了一种攻击者的能力描述语言,能够自动生成定制化的攻击载荷.实验结果表明,所提出的攻击方法能够影响到大量含有移动广告的应用.几个攻击实例的分析也证明了自动生成攻击载荷的可行性.最后,提出了几种防护方法和安全增强措施,包括应用标识混淆、完整性校验和中间人攻击防护技术等.
英文摘要:
      As an important channel for mobile marketing,mobile advertising has become more and more popular among app developers.However,in pursuit of targeted ads delivery and other illegal tactics,mobile ads may introduce serious threat to users' privacy and property.Recently,many researches have paid attention on the threat of advertisement platforms,advertisement providers,and mobile apps,though few studies put focus on the security of advertisement network.In this paper,based on the automatic analysis of host app's permissions,a man-in-the-middle (MITM) attack scheme is proposed to inject malicious code into the ads' traffic.Through analyzing network traffic,this method can identify the name of host app and extract the permissions from the official app market.Moreover,it also extracts the device information such as system version and sensors,which is helpful to excavate the loophole of corresponding WebView.To generate the attack code automatically,a capability description language (CDL),which can describe the attacker's ability in a standardized format,is also developed.The distribution of loopholes among different Android versions are studied.Experimental results show that the proposed attack scheme can affect many apps,and the attack cases also illustrate the feasibility of this work.In the end,several protection methods and security enhance schemes,including host app name confusion,ads content integrity check,and the remission technologies of MITM attacks,are put forward.
HTML  下载PDF全文  查看/发表评论  下载PDF阅读器
 

京公网安备 11040202500064号

主办单位:中国科学院软件研究所 中国计算机学会
编辑部电话:+86-10-62562563 E-mail: jos@iscas.ac.cn
Copyright 中国科学院软件研究所《软件学报》版权所有 All Rights Reserved
本刊全文数据库版权所有,未经许可,不得转载,本刊保留追究法律责任的权利