Ruian Duan(佐治亚理工学院)、Ashish Bijlani(佐治亚理工学院,Wenke Lee(佐治亚理工学院)
移动应用程序开发人员严重依赖开源软件(OSS)
卸载常见功能,例如
协议和媒体格式播放。过去几年
在流行的开源库中发现了漏洞,如
OpenSSL和FFmpeg。包含此类库的移动应用程序
继承这些使他们脆弱的缺陷。幸运的是
开源社区响应迅速,补丁可用
天内。然而,移动应用程序开发人员往往被留下来
没有意识到这些缺陷。应用程序安全改进计划(ASIP)是
谷歌向应用程序开发人员通报这些信息的努力值得称赞
缺陷,但最近的工作表明,许多开发人员没有对此采取行动
信息。
我们的工作通过自动
OSS维护人员提供的源补丁的二进制补丁
不涉及开发人员。我们提出了新的技术
克服诸如修补可行性分析之类的困难挑战,
源代码到二进制代码的匹配,以及内存中的补丁。我们的
该技术使用了一种新颖的变量感知方法,我们将其实现为
OSSPatcher。我们使用39个OSS和一组
1000个使用易受攻击版本的Android应用程序。OSS捕捉器
生成了675个功能级补丁,修复了受影响的手机
应用程序不会破坏其二进制代码。此外,我们评估了
Chrome等热门应用程序中存在10个漏洞,
OSSPatcher能够缓解和阻止他们的利用。