Analizador de intents en Android

Abstract

Existen numerosos reportes de vulnerabilidades detectadas en el sistema operativo Android. Si bien muchas de estas vulnerabilidades fueron solucionadas rápidamente, se detecto una, que hasta la fecha, no ha sido solucionada: vulnerabilidades por el uso de "Intent" explícitos. Un "Intent" explícito es un método que puede ser utilizado en aplicaciones Android para invocar desde una aplicación a otra aplicación o servicio determinado explícitamente. Esta invocación puede incluir el paso de algún tipo de información (posiblemente sensible o confidencial). Esta forma de invocar Intents puede ocasionar una vulnerabilidad, ya que, la aplicación o servicio que se invoca puede ser modificada (de forma maliciosa o no) y esta modificación puede permitir manipular de manera indeseada la información recibida. Por ejemplo, una aplicación que envía un intent que agregue un contacto de la agenda o un mensaje para publicar en una red social y la aplicación de destino no es la esperada se puede filtrar información sensible o confidencial sin el consentimiento del usuario. En este trabajo se presenta una herramienta para garantizar que esta vulnerabilidad no pueda ser explotada. El enfoque utilizado sigue los lineamientos de la técnica conocida como integridad de control de flujo.