著者

川端 秀明 磯原 隆将 竹森 敬祐 窪田 歩

雑誌

研究報告コンピュータセキュリティ(CSEC)

巻号頁・発行日

vol.2011-CSEC-53, no.3, pp.1-6, 2011-05-05

---

Android OS の特徴として,利便性の高いアプリケーション (以下,アプリ) を実現するパーミッションという機構があり,アプリケーションのインストール時にユーザが承認することで,端末の情報や機能へのアクセス権を制御している.また,アプリの可用性の向上のために web 機能をアプリに内包する webkit を搭載している.これを用いることで,Android アプリと HTML,CSS,JavaScript など Web アプリとを柔軟に連携できる.しかし,webkit を利用したアプリが,外部サーバから JavaScript を受け取り実行した場合,アプリに与えられたパーミッションの範囲で実行される脅威がある.要するに,アプリ単体では不正な動作をしないが,後から送り込まれた悪意の JavaScript によって端末を操作されてしまう.そこで本研究では,アプリの静的解析により得られるコードの特徴から,後から送り込まれる JavaScript の機能を把握し,潜在的な脅威を推定する手法を提案する.これはアプリの実行コードの逆コンパイルによるコード解析であり,外部サーバの JavaScript から呼び出されるメソッドを特定することで,情報漏洩や端末の不正操作を推定する.