基于宿主权限的移动广告漏洞攻击技术
移动广告作为市场营销的一种重要手段,越来越受到应用开发者的青睐,其市场赧模也日趋增大.但是,为了追求广告的精准投放和其他非法利益,移动广告给用户的隐私与财产安全也带来了很大的威胁.目前,众多学者关注广告平台、广告主和移动应用的安全风险,还未出现在广告网络中直接发起攻击的案例.提出了一种基于宿主权限的移动广告漏洞攻击方法,能够在移动应用获取广告内容时,在流量中植入攻击代码.通过对广告流量的拦截,提取出宿主应用的标识和客户端相关信息,间接得到宿主应用的权限列表和当前设备的WebView漏洞.另外,提出了一种攻击者的能力描述语言,能够自动生成定制化的攻击载荷.实验结果表明,所提出的攻击方法能够影响到大量含有移动广告的应用.几个攻击实例的分析也证明了自动生成攻击载荷的可行性.最后,提出了几种防护方法和安全增强措施,包括应用标识混淆、完整性校验和中间人攻击防护技术等.
移动广告生态系统、宿主权限、中间人攻击、攻击载荷自动生成、能力描述语言
29
TP309(计算技术、计算机技术)
国家自然科学基金61572380,61772383,61702379;国家重点基础研究发展计划9732014CB340600National Natural Science Foundation of China61572380,61772383,61702379;National Program on Key Basic Research Project 9732014CB340600
2018-06-19(万方平台首次上网日期,不代表论文的发表时间)
共18页
1392-1409
