flowdroid 简介

1、整理自论文：

FlowDroid: Precise Context, Flow, Field, Object-sensitive and Lifecycle-aware Taint Analysis for Android Apps

主页见：https://blogs.uni-paderborn.de/sse/tools/flowdroid/

下载见：https://github.com/secure-software-engineering/soot-infoflow-android

安装运行见：https://github.com/secure-software-engineering/soot-infoflow-android/wiki

下一篇写一个构建运行的博客。

已写完，见http://www.cnblogs.com/zlz099/p/6972805.html

2、基于污点的静态分析，目的是发现是否有从source到sink的路径

　　分析信息流所有可能的路径，但不需要运行app 生成控制流图CFG，追踪从source到sink的数据流

　　设置污点追踪敏感信息流的泄露路径。

　　敏感数据的source是账号密码、联系人、短信、数据库、IMEI sink是因特网、存储卡、进程通信、短信发送等

　　静态分析的难点主要在于安卓程序不是独立的封闭程序，而是在安卓framework中运行的。安卓的回调函数机制增加了app生命周期的复杂度。

3、上下文敏感，流、字段、对象敏感

　　apk文件作为静态污点分析的输入

　　模拟了完整的Android应用生命周期来处理回调

　　source、sink的检测通过解析从apk文件中抽取的manifest文件、dalvik虚拟机字节码文件和xml布局文件

　　生成一种dummy main函数，模拟activity生命周期，建立函数调用控制流图CFG

　　设计DroidBench测试高效性与准确性

　　不足是对于复杂的系统调用追踪困难，不能检测多线程引发的信息泄露

4、论文贡献：

• FlowDroid，学术界第一个context/object/flow sensitive的针对安卓全生命周期的污点分析方法。
• 基于上述方法的开源工具的实现。
• DroidBench，一个新的、开源的、全面的测试程序集。
• 将FlowDroid与商业工具AppScan和Fortify进行对比，比较这些工具在精确度precision和召回率recall。

5、activity生命周期

　　由此导致的结果是，分析安卓程序构建调用图时不能简单的从寻找main方法着手。必须对安卓生命周期中所有可能的传递关系进行建模。FlowDroid采用dummy main的方法来对生命周期进行仿真。然而生命周期并非这么简单。存在某些函数来保存和恢复状态。回调函数也可以造成额外的状态变化。

6、

7、multiple entry point：Android 没有main函数，但每个组件有lifestyle。

flowdroid生成一个dummy main方法精确模仿lifestyle。

asynchronously executing component:

　　一个app可能有多个activity和service，flowdroid假定所有的项都能异步执行，分析所有dummy main方法中提到的生命周期。

　　具有path不敏感性，不需要考虑所有可能的在lifecycle中的执行顺序。

callbacks：两种注册方式，

　　XML中注册：XML文件被映射到多个控件中，设定标识符，跟踪生成映射

　　用命令的方式：在class文件中跟踪函数调用路径，生成函数调用控制流图

8、

　　1) w作为被污染了的变量，被向前传递给了heap中的x.f。

　　2) 继续追踪x.f　　

　　3）每当heap中有成员被污染，使用向后分析找出相关对象的各种别名。如发现x和z.g是引用的heap中的同一位置

　　4-6）z是作为参数传递进来的，继续向后找看到caller的a即called的z，再往后发现b也是别名。

　　7)对b.f做前向分析，判断出其被传递到sink，从而展现了从source到sink的整个路径。

9、flowdroid框架：

Manifest.xml: 应用全局配置文件，

*.dex: Dalvik虚拟机字节码（应用程序）

layout xml 布局配置文件

Android在运行程序时首先需要解压apk文件，然后获取编译后的androidmanifest.xml文件中配置信息，执行dex程序。

解压apk文件后，flowdroid生命周期相关的函数、回调函数，以及作为source和sink的函数。

然后为生命周期和回调函数产生main方法。main方法用来产生调用图以及inter-procedural control-flow graph(ICFG)

　　1）unzipping apk文件，通过解析XML、dex、manifest文件，追踪activity，service的生命周期

　　2）flowdroid根据lifestyle和callback方法生成dummy main方法，建立ICFG控制流图

　　3）report所有从source到sink的流，包含整个路径的信息

　　4）忽略了动态加载的代码和反射机制，它将JNI代码当作黑盒来处理，信息跟踪比较困难

　　5）缺少对app之间和app内部组件通信的分析，对于多线程问题只能模拟成任意顺序序列，不能并行处理

10、DroidBench测试准确性与高效性：

　　 flowdroid检测到93%的泄露，精确度高达86%

　　成功检测Google Play的500app中隐私泄露

　　识别大约1000种已知病毒库中的恶意软件

　　性能优于商业性检测工具AppScan Source和Fortify SCA

11、

RQ1 FlowDroid和商业的安卓污点分析工具在精度和召回率的比较情况？

RQ2 FlowDroid在Insecure Bank测试集上的效果如何？Insecure Bank是一个用来测试安卓分析工具的能力和性能的测试集。

RQ3 FlowDroid可以用于实际应用程序的泄漏检测吗？速度如何？

RQ4 FlowDroid在纯java程序的污点分析问题的效果如何？

1） 与商业污点测试工具的比较

由于没有专门针对安卓的测试集，因此，论文作者开发了DroidBench。该测试集包含了39个小的安卓应用程序，可用于安卓污点静态、动态分析的评估。

比较对象：

IBM AppScan Source v8.7

HP Fortify SCA

结论：

AppScan和Fortify为了降低误报，牺牲了回召率，因此漏报了一些实际存在的隐私泄漏错误。而FlowDroid回召率比上述两个工具有显著提高，精度上也有小幅优势。

2） RQ2: Performance on InsecureBank

InsecureBank是Paladion Inc.制作的用于评估分析工具水平的安卓程序。它包含了许多种与实际应用程序类似的漏洞和数据泄漏。

测试环境：

• Intel Core 2 Centrino CPU
• 4 GB 物理内存
• Windows 7
• Oracle JRE V1.7 64 bit

笔记本电脑

测试结果：

FlowDroid找到了所有的数据泄漏缺陷，既没有误报，也没有漏报。用时31s。

3） 在实际应用程序中的测试情况

GOOGLE PLAY

论文作者将FlowDroid应用于超过500个Google Play中的应用程序。

精度：

没有发现恶意软件。检测到的主要问题是敏感数据例如位置信息泄漏在logs或者是preference文件中。

效率：

绝大多数检测在1分钟内完成。用时最长的app是Sumsang’s Push Service，用时4.5分钟。

VIRUSSHARE

在VirusShare项目中测试。该项目包含了约1000个已知的恶意程序样本。平均运行时间为16s，最短用时5s，最长用时71s。大部分app含有2个数据泄漏问题（平均每个app含1.85个）。

12、Android隐私安全研究进展