软件供应链安全研究成果在国际顶会ICSE 2022上发表

日前，由奇安信星图实验室研究人员与山东大学科研团队合作完成的关于软件供应链的研究成果在ICSE 2022上发表。ICSE是软件工程领域顶级学术会议，也是中国计算机学会CCF-A类会议之一。

该论文题为《Large-scale Security Measurements on the Android Firmware Ecosystem》，作者分别为：侯勤胜、刁文瑞、王衍豪、刘晓峰、刘松、应凌云、郭山清、李远志、聂眉宁、段海新。该论文针对Android固件生态系统的安全性进行了大规模的综合测量，是目前为止业界最大规模的Android软件供应链安全分析工作。该项研究工作是奇安信“天问”软件供应链分析平台的一部分，也是《互联网基础设施与软件安全年度发展研究报告（2020）》（人民邮电出版社2021年5月出版）一书中部分内容的扩展和深化。

Android系统是当前最受欢迎的智能操作系统，拥有超过85%的市场份额。Android系统的成功主要建立在其开放性之上，手机供应商可以利用Android系统源代码定制出具有独特软硬件功能的产品。与此同时，Android系统的碎片化和定制化也带来了诸多的安全风险。在这项工作中，研究团队对Android固件生态系统的安全性进行了大规模的综合测量，研究对象涵盖来自150多家厂商的6000多个固件镜像文件和600多个相关的CVE漏洞信息，对这些固件的多个方面进行了深度测量，包括漏洞、补丁、安全更新和预装APP等一系列安全问题。为了自动化分析过程，该研究设计了一个分析框架来完成ROM爬取、ROM解析、补丁分析和预装APP分析。

通过海量数据分析和案例探索，论文中得出了一些有趣的发现。例如，研究发现补丁延迟和缺失问题在Android固件中普遍存在。几款Android手机的最新固件文件中仍然集成了存在已披露安全漏洞的预装APP，甚至相应的漏洞已公开披露了很长时间。除了数据测量之外，研究团队还通过对若干案例的深入研究，探究了这些安全威胁背后的原因，并在15家知名厂商设备中新发现了38个0day漏洞，其中32个获得了CVE/CNVD漏洞编号。

目前该论文的Preprint版本和Presentation视频已上传至ICSE会议网站。

论文详情链接：

https://conf.researchr.org/details/icse-2022/icse-2022-papers/36/Large-scale-Security-Measurements-on-the-Android-Firmware-Ecosystem