$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

안드로이드 장치 드라이버에 대한 효과적 취약점 탐지 기법
An Effective Technique for Detecting Vulnerabilities in Android Device Drivers

정보과학회논문지 = Journal of KIISE, v.43 no.11, 2016년, pp.1179 - 1187  

정영기 (단국대학교 컴퓨터학과) ,  조성제 (단국대학교 컴퓨터학과)

초록
AI-Helper 아이콘AI-Helper

안드로이드리눅스 기반 임베디드 시스템에서는 디바이스 드라이버가 커널 함수로 포함되는 구조로 되어 있다. 어떤 디바이스 드라이버들의 경우, 여러 Third-party에 의해 제공되는 소프트웨어(펌웨어)가 포함되는데, 그 보안 수준에 대해 검토되지 않고 사용되는 경우가 많다. 보안 취약점 분석을 위해 일반적으로 사용되는 정적 분석의 경우, 오탐 가능성으로 인하여 실제 권한상승과 같은 주요 취약점을 확인하는데 많은 비용이 발생한다. 본 논문에서는 안드로이드 시스템에서 사용되는 디바이스 드라이버를 대상으로 정적 및 동적 분석 기반의 효과적인 보안 취약점 탐지 기법을 제시하고 그 효용성을 확인한다.

Abstract AI-Helper 아이콘AI-Helper

Android- and Linux-based embedded systems require device drivers, which are structured and built in kernel functions. However, device driver software (firmware) provided by various 3rd parties is not usually checked in terms of their security requirements but is simply included in the final products...

주제어

#디바이스 드라이버   #정적 분석   #동적 분석   #취약점   #안드로이드  

참고문헌 (19)

  1. Common Vulnerabilities and Exposures (CVE) for Android. [Online]. Available: https://cve.mitre.org/cgibin/cvekey.cgi?keywordAndroid 

  2. SEI CERT secure coding standards. [Online]. Available: https://www.securecoding.cert.org 

  3. ETSI standards. [Online]. Available: http://www.etsi.org 

  4. L. Wu, "Vulnerability Detection and Mitigation in Commodity Android Devices," Ph.D. dissertation, Dept. of Computer Science, North Carolina State University, 2015. 

  5. J. H. Bang, "Development Trend for Open Source Code Security Weakness Analysis Tools," Internet & Security Focus, May 2014. (in Korean) 

  6. W.T. Sim, J. Kim, J. Ryou, and B. Noh, "Android Application Analysis Method for Malicious Activity Detection," Journal of the Korean Institute of Information Security and Cryptology, Vol. 21, No. 1, pp. 213-219, Feb. 2011. (in Korean) 

  7. L. Batyuk, M. Herpich, S.A. Camtepe, K. Raddatz, A. Schmidt, S. Albayrak, "Using Static Analysis for Automatic Assessment and Mitigation of Unwanted and Malicious Activities within Android Applications," 2011 6th International Conference on Malicious and Unwanted Software, pp. 66-72, 2011. 

  8. H. Cho, D. Weon, and J. Kim, "A Study on the Security Vulnerability of Android," Asia-pacific Journal of Multimedia Services Convergent with Art, Humanities, and Sociology, Vol. 5, No. 6, pp. 1-8, Dec. 2015. (in Korean) 

    상세보기 crossref

  9. Y. Choi, and E.M. Choi, "Analysing Weak Point of Android Applications Using Static Analysis based on Anti-patterns," KIISE Transactions on Computing Practices, Vol. 18, No. 4, pp. 316-320, Apr. 2012. (in Korean) 

  10. M. Sutton, A. Greene, and P. Amini, Fuzzing: Brute Force Vulnerability Discovery, Addison-Wesley, 2007. 

  11. B. Cui, Y. Ni, Y. Fu, "ADDFuzzer: A New Fuzzing Framework of Android Device Drivers," The 10th International Conference on Broadband and Wireless Computing, Communication and Applications (BWCCA), pp. 88-91, Nov. 2015. 

  12. L.K. Yan, H. Yin, "DroidScope: Seamlessly Reconstruction the OS and Dalvik Semantic Views for Dynamic Android Malware Analysis," Proc. of the 21st USENIX Security Symposium, pp. 569-584, Aug. 2012. 

  13. C. Wright, C. Cowan, S. Smalley, J. Morris, G. Kroah-Hartman, "Linux Security Modules: General Security Support for the Linux Kernel," USENIX Security Symposium, Vol. 2, pp. 1-14, 2002. 

  14. S. Bugiel, S. Heuser, A. Sadeghi, "Flexible and Fine-grained Mandatory Access Control on Android for Diverse Security and Privacy Policies," Proc. of the 22nd USENIX Security Symposium, pp. 131-146, Aug. 2013. 

  15. Common Weakness Enumeration (CWE). [Online]. Available: https://cwe.mitre.org/ 

  16. Y. Younan, "25 Years of Vulnerabilities: 1988-2012," Research Report, Sourcefire Vulnerability Research Team (VRT). [Online]. Available: https://courses.cs.washington.edu/courses/cse484/14au/reading/25-years-vulnerabilities.pdf 

  17. IBM AppScan. [Online]. Available: http://www-03.ibm.com/software/products/en/appscan 

  18. Explorer. [Online]. Available: http://mogua.us 

  19. NIST, Source Code Security Analyzer. [Online]. Available: https://samate.nist.gov/index.php/Source_Code_Security_Analyzers.html 

저자의 다른 논문 :

관련 콘텐츠

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로