Android系統(tǒng)下應(yīng)用程序的安全性研究.pdf

1、隨著智能終端在全球范圍內(nèi)的熱銷(xiāo),眾多廠商投身其中。以Google為首的手機(jī)開(kāi)放聯(lián)盟也推出了自己的系統(tǒng) Android。Google對(duì) Android系統(tǒng)的大力推廣使得Android應(yīng)用呈現(xiàn)爆炸式的增長(zhǎng),而隨之而來(lái)的則是針對(duì)Android應(yīng)用的惡意程序的泛濫。
　　本文旨在通過(guò)對(duì)Android內(nèi)核、安全機(jī)制、漏洞挖掘方面的分析,研究Android應(yīng)用程序的準(zhǔn)確和可靠的安全性分析,提出Android應(yīng)用安全漏洞的檢測(cè)技術(shù)和方法,并實(shí)現(xiàn)

2、相應(yīng)的工具。
　　本文首先分析了國(guó)內(nèi)外針對(duì)Android平臺(tái)及Android應(yīng)用的安全研究現(xiàn)狀。接著,研究了基于控制流和數(shù)據(jù)流的Android應(yīng)用安全分析方法和技術(shù):1)提出了Android應(yīng)用權(quán)限檢測(cè)方法,針對(duì)Android應(yīng)用中API、Content Provider和Intent的不同權(quán)限應(yīng)用情況,實(shí)現(xiàn)了對(duì)Android應(yīng)用權(quán)限申請(qǐng)和使用的分析。2)提出了Android應(yīng)用通信系統(tǒng)檢測(cè)方法,根據(jù)接收和發(fā)出消息的不同特點(diǎn),從靜

3、態(tài)和動(dòng)態(tài)兩個(gè)角度來(lái)檢測(cè)消息發(fā)送和接收的安全性。3)提出了基于控制流和數(shù)據(jù)流的Android應(yīng)用分析技術(shù),為權(quán)限檢測(cè)和通信系統(tǒng)分析提供了可靠的數(shù)據(jù)。本文使用了迭代式的補(bǔ)全方法來(lái)提供更加準(zhǔn)確的程序控制流圖,而且針對(duì)Android代碼定制的分析策略和IDA Pro的使用使得對(duì)Android應(yīng)用分析更加準(zhǔn)確。
　　在此基礎(chǔ)上,本文開(kāi)發(fā)了信息抓取工具,為安全分析提供所需要的Android版本相關(guān)數(shù)據(jù);開(kāi)發(fā)了靜態(tài)分析工具,分析Android應(yīng)