基于宿主权限的移动广告漏洞攻击技术
CSTR:
作者:
作者单位:

作者简介:

王持恒(1990-),男,河南漯河人,博士生,CCF学生会员,主要研究领域为移动安全,恶意软件检测,隐私保护;何琨(1986-),男,博士,主要研究领域为网络安全,云安全;陈晶(1981-),男,博士,教授,博士生导师,CCF专业会员,主要研究领域为网络安全,分布式系统安全;杜瑞颖(1964-),女,博士,教授,博士生导师,主要研究领域为网络安全,密码学;苏涵(1994-),男,硕士生,主要研究领域为移动安全,漏洞挖掘.

通讯作者:

陈晶,E-mail:chenjing@whu.edu.cn

中图分类号:

基金项目:

国家自然科学基金(61572380,61772383,61702379);国家重点基础研究发展计划(973)(2014CB340600)


Mobile Advertising Loophole Attack Technology Based on Host APP's Permissions
Author:
Affiliation:

Fund Project:

National Natural Science Foundation of China (61572380, 61772383, 61702379); National Program on Key Basic Research Project (973) (2014CB340600)

  • 摘要
  • |
  • 图/表
  • |
  • 访问统计
  • |
  • 参考文献
  • |
  • 相似文献
  • |
  • 引证文献
  • |
  • 资源附件
  • |
  • 文章评论
    摘要:

    移动广告作为市场营销的一种重要手段,越来越受到应用开发者的青睐,其市场规模也日趋增大.但是,为了追求广告的精准投放和其他非法利益,移动广告给用户的隐私与财产安全也带来了很大的威胁.目前,众多学者关注广告平台、广告主和移动应用的安全风险,还未出现在广告网络中直接发起攻击的案例.提出了一种基于宿主权限的移动广告漏洞攻击方法,能够在移动应用获取广告内容时,在流量中植入攻击代码.通过对广告流量的拦截,提取出宿主应用的标识和客户端相关信息,间接得到宿主应用的权限列表和当前设备的WebView漏洞.另外,提出了一种攻击者的能力描述语言,能够自动生成定制化的攻击载荷.实验结果表明,所提出的攻击方法能够影响到大量含有移动广告的应用.几个攻击实例的分析也证明了自动生成攻击载荷的可行性.最后,提出了几种防护方法和安全增强措施,包括应用标识混淆、完整性校验和中间人攻击防护技术等.

    Abstract:

    As an important channel for mobile marketing,mobile advertising has become more and more popular among app developers.However,in pursuit of targeted ads delivery and other illegal tactics,mobile ads may introduce serious threat to users' privacy and property.Recently,many researches have paid attention on the threat of advertisement platforms,advertisement providers,and mobile apps,though few studies put focus on the security of advertisement network.In this paper,based on the automatic analysis of host app's permissions,a man-in-the-middle (MITM) attack scheme is proposed to inject malicious code into the ads' traffic.Through analyzing network traffic,this method can identify the name of host app and extract the permissions from the official app market.Moreover,it also extracts the device information such as system version and sensors,which is helpful to excavate the loophole of corresponding WebView.To generate the attack code automatically,a capability description language (CDL),which can describe the attacker's ability in a standardized format,is also developed.The distribution of loopholes among different Android versions are studied.Experimental results show that the proposed attack scheme can affect many apps,and the attack cases also illustrate the feasibility of this work.In the end,several protection methods and security enhance schemes,including host app name confusion,ads content integrity check,and the remission technologies of MITM attacks,are put forward.

    参考文献
    相似文献
    引证文献
引用本文

王持恒,陈晶,苏涵,何琨,杜瑞颖.基于宿主权限的移动广告漏洞攻击技术.软件学报,2018,29(5):1392-1409

复制
分享
文章指标
  • 点击次数:
  • 下载次数:
  • HTML阅读次数:
  • 引用次数:
历史
  • 收稿日期:2017-06-22
  • 最后修改日期:2017-08-29
  • 录用日期:2017-11-21
  • 在线发布日期: 2018-01-09
  • 出版日期:
文章二维码
您是第位访问者
版权所有:中国科学院软件研究所 京ICP备05046678号-3
地址:北京市海淀区中关村南四街4号,邮政编码:100190
电话:010-62562563 传真:010-62562533 Email:jos@iscas.ac.cn
技术支持:北京勤云科技发展有限公司

京公网安备 11040202500063号