Android软件安全.pdf

Android软件安全 攻防研究现状 肖梓航(Claud) ISF2012•上海 关于我 肖梓航（Claud） 安天实验室 高级研究员 – 移动反病毒、移动软件安全研发 – 提供移动安全资源、资讯和知识 ISF2012•上海 Android软件安全攻防研究现状 - 肖梓航 2 纲要 攻 统计数据 案例学习 防 安全开发方法 发现安全漏洞 自动化漏洞挖掘 研 攻击缓解技术 究 开放问题 ISF2012•上海 Android软件安全攻防研究现状 - 肖梓航 3 统计数据 ISF2012•上海 Android软件安全攻防研究现状 - 肖梓航 4 CVE 80 69 70 60 50 40 Android软件漏洞数 30 25 20 10 5 0 2010年 2011年 2012年 ISF2012•上海 Android软件安全攻防研究现状 - 肖梓航 5 乌云 60 53 50 40 30 Android软件漏洞数 24 iOS软件漏洞数 20 10 2 3 3 0 0 2010年 2011年 2012年 ISF2012•上海 Android软件安全攻防研究现状 - 肖梓航 6 CCS’12论文 • 使用SSL通信的流行软件中： – 1074个接受所有证书或主机名，可以MITM – 约41%可以有效攻击 – 影响3950万-1.85亿用户 – 包括American Express, Diners Club, Paypal, bank accounts, Facebook, Twitter, Google, Yahoo, Microsoft Live ID, Box, WordPress等 来源：S. Fahl, M. Harbach, T. Muders, M. Smith, L. Baumgärtner, and B. Freisleben, “Why eve and mallory love android: an analysis of andr