拉维·博拉斯卡,微软研究与华盛顿大学;Seungyeop Han,华盛顿大学;Jinseong Jeon,马里兰大学帕克分校;坦齐鲁·阿齐姆,加州大学河滨分校;Shuo Chen、Jaeyeon Jung、Suman Nath和Rui Wang,微软研究院;David Wetherall,华盛顿大学
我们提供了一个名为Brahmastra的应用程序自动化工具,用于帮助应用程序商店和安全研究人员在运行时测试移动应用程序中的第三方组件。主要的挑战是调用第三方代码的调用站点可能会深深嵌入到应用程序中,超出了传统GUI测试工具的范围。我们的方法使用静态分析来构建页面转换图,并发现调用第三方代码的执行路径。然后,我们按照执行路径执行二进制重写,以“启动”第三方代码,有效地删除不需要的执行。与核心GUI测试工具相比,Brahmastra能够在2.7倍多的应用程序中成功分析第三方代码,并将测试持续时间缩短了7倍。我们使用Brahmastra来发现两个用例的有趣结果:在我们测试的220个儿童应用程序中,有175个显示了指向试图收集个人信息的网页的广告,这可能违反了《儿童在线隐私保护法》(COPPA);在我们测试的200个带有Facebook SDK的应用程序中,有13个容易受到已知的访问令牌攻击。
USENIX致力于开放访问我们活动上展示的研究。活动开始后,所有人都可以免费获得论文和会议记录。活动结束后发布的任何视频、音频和/或幻灯片也免费向所有人开放。支持USENIX以及我们对开放存取的承诺。
下载音频