从广义上讲,智能终端的安全主要涉及硬件、通信、软件、信息等4个层面,其中硬件的安全包括设备的跟踪/定位、防摔、防尘、防水、防震、Flash的防磨损、电磁兼容、触摸屏防划等;通信的安全主要指通信链路的安全,涉及蜂窝、WiFi、BT、互联网等的通信,相关的技术包括防窃听、防拦截、防病毒、防入侵等;软件的安全包括防破解、防反编译、防抄袭等;信息的安全包括隐私保护、敏感数据的保护、数据加密等。随着移动互联...
分类:
移动开发 时间:
2015-07-01 10:01:53
阅读次数:
193
Android扩展了Linux内核安全模型的用户与权限机制,将多用户操作系统的用户隔离机制巧妙地移植为应用程序隔离。在linux中,一个用户标识(UID)识别一个给定用户;在Android上,一个UID则识别一个应用程序。在安装应用程序时向其分配UID。应用程序在设备上存续期间内,其UID保持不变。...
分类:
移动开发 时间:
2015-06-26 12:22:49
阅读次数:
152
业界新闻1)从数据来看,Android 还是挺安全的Google 近日公布了一份白皮书,详细记载了 Android 安全小组去年一整年的工作内容。2)Mac中国市场报告腾讯ISUX用户研究中心出品的一份Mac中国市场使用报告。3)GitHub账户被黑:旧漏洞导致弱密钥大量留存Cartwright-Cox在GitHub上发现了大约94个包括Debian衍生缺陷的密...
分类:
移动开发 时间:
2015-06-20 15:47:19
阅读次数:
173
1. SEAndroid社区&资源
Google发布的SEAndroid安全特性
https://source.android.com/devices/tech/security/enhancements/
订阅SEAndroid公邮:
http://seandroid.bitbucket.org/ForMoreInformation.html
SEAndroid公邮:
seandroid-list-join@tycho.nsa.gov
SEAndroid公邮Archive:
http://marc....
分类:
移动开发 时间:
2015-06-13 17:15:08
阅读次数:
157
土耳其Abant Izzet Baysal大学和Gazi大学的研究人员针对现有Android权限管理无法动态调整、用户难以理解权限意义等问题,提出了一种基于权限的Android恶意软件检测方法,并实现了其原型系统APK Auditor。APK Auditor的服务器端可以对用户设备中的应用和Google Play应用商店中的应用进行权限分析,并基于概率论方法对每个权限的安全性进行打分,通过公式给出应用为恶意应用的可能性分数,并通过Logistic回归方法确定恶意应用分数临界值。
APK A...
分类:
移动开发 时间:
2015-05-24 15:51:55
阅读次数:
355
移动应用程序现在变得更复杂,有许多第三方库和成千上万的功能,并且可以访问个人敏感数据和网络,这也导致了个人隐私数据泄露的不断增多。当前应用审计方法主要是静态分析。静态分析由于不可扩展的分析结构,可能遇到代码库的可扩展问题。因此,静态分析通常很耗时,尤其是大型应用。同时,静态分析可能产生误报,因为在实际执行时有一些分析代码路径不可能发生。这些缺点限制了应用审计方法的可用性。因此,针对现有Android应用存在用户隐私数据泄露的问题。
加拿大麦吉尔大学和上海交通大学的研究人员提出了一种基于静态...
分类:
移动开发 时间:
2015-05-24 15:51:48
阅读次数:
2703
1.1. 背景
纽约州立大学布法罗分校、密歇根州立大学、马萨诸塞大学卢维尔分校、香港城市大学的研究人员针对现有NFC(Near Field Communication)技术需要额外硬件支持、容易被监听和中间人攻击的安全问题,提出了一种安全的基于二维码的可见光通信系统,可用于移动支付、身份鉴别、加密数据传输、手机间便捷传输数据等场景。本文可作为手机间无需借助WIFI进行数据传输的新方法。
VLC(可见光通信,Visible Light Communication)是最近兴起的一...
分类:
其他好文 时间:
2015-05-24 11:39:19
阅读次数:
1371
1. 土耳其Abant Izzet Baysal大学和Gazi大学的研究人员针对现有Android权限管理无法动态调整、用户难以理解权限意义等问题,提出了一种基于权限的Android恶意软件检测方法,并实现了其原型系统APKAuditor。APKAuditor的服务器端可以对用户设备中的应用和Google Play应用商店中的应用进行权限分析,并基于概率论方法对每个权限的安全性进行打分,通过公式给出应用为恶意应用的可能性分数,并通过Logistic回归方法确定恶意应用分数临界值。实验数据集采用公开的cont...
分类:
移动开发 时间:
2015-05-24 11:36:36
阅读次数:
1136
普渡大学的研究人员针对BYOD场景中Android终端内恶意软件泄露用户敏感数据的问题,提出了一种基于情境的访问控制模型(Context-BasedAccess Control, CBAC)。CBAC模型能够对不同的应用在不同的情境(时间、地点)中实施不同的授权策略,策略能够实现对硬件资源、隐私数据、系统边界开关、应用间通信和用户安全功能的限制。
BYOD(Bring Your Own Device)指携带自己的设备办公,这些设备包括个人电脑、手机、平板等(而更多的情况指手机或平板这样的移动智...
分类:
移动开发 时间:
2015-05-05 14:28:15
阅读次数:
244
宾夕法尼亚州立大学的研究人员针对传感器数据可能造成用户数据泄露的问题,提出了一种基于策略的传感器权限管理框架——SemaDroid。该方案引入了QoS的理论,允许对传感器相关权限进行非常细粒度的控制,并且能提供各种级别的(如接近真实、或完全虚假的)传感器数据、甚至很逼真的伪造传感器数据,以防止利用传感器数据的应用崩溃或察觉到是伪造数据。实验结果表明该方案能有效抵御基于传感器的攻击。
SemaDroid的架构如图1所示,其主要实现位于应用层和框架层。
SemaDroid能够指定具体...
分类:
移动开发 时间:
2015-05-05 14:27:48
阅读次数:
382
