Understanding Malicious Cross-library Data Harvesting on Android

作者:Jice Wang, Yue Xiao, Xueqiang Wang, Yuhong Nan, Luyi Xing, Xiaojing Liao, Jinwei Dong, Nicolas Serrano, Haoran Lu, Xiaofeng Wang, Yuqing Zhang
单位:University of Chinese Academy of Sciences, Indiana University Bloomington, Purdue University, Xidian University, Hainan University
出处:USENIX Security 2021
原文:https://www.usenix.org/system/files/sec21-wang-jice.pdf
Contributor: FRH
笔记:https://jbox.sjtu.edu.cn/l/E1cD9I

移动应用通常会集成第三方库(用于数据分析、广告、应用变现等),在丰富其功能的同时也带来了安全威胁。已有的工作都关注三方库从应用中收集隐私数据的行为,这篇文章中作者提出一种新的攻击方式Cross-Library Data Harvesting (XLDH),即恶意的三方库从应用集成的其他厂商的库中收集数据,例如,恶意三方库可以调用Facebook SDK的API获取当前用户的凭证、数据等敏感信息,这会使得大量用户的数据面临泄露的威胁。这篇文章中,作者提出XFinder这一方案,能够识别Google Play中应用是否集成了此类恶意的三方库。XFinder利用NLP技术分析SDK的ToS (Terms of Service)以确定其第三方数据分享政策,并在此基础上检测应用中集成的其他三方库是否违反了这些政策。XFinder在超过100万个App上进行检测,发现了42个恶意的三方库,精度达到86%。作者进一步对XLDH背后的生态进行了探究。