Android應用的權限泄露分析.pdf

1、隨著智能移動終端功能和用戶體驗的日益完善，智能手機已經(jīng)被越來越多的用戶使用。研究數(shù)據(jù)表明，Android手機的購買量正在逐步超越個人電腦。Android系統(tǒng)被應用在越來越多的智能手機上面，但是由于Android系統(tǒng)出現(xiàn)時間比較短，Android系統(tǒng)上的權限機制并不完善，所以出現(xiàn)了Android應用權限泄露的現(xiàn)象。
　　Android權限泄露的現(xiàn)象是指擁有某種權限的應用中的權限被沒有相應權限的應用非法使用的現(xiàn)象。Android應用包

2、含有四類的組件：活動、服務、內(nèi)容提供者和廣播。由于Android系統(tǒng)有意圖的功能。一個應用可以通過意圖調(diào)用其他應用的組件，來實現(xiàn)本應用所不包含的某種功能。因此一個不合法的意圖調(diào)用有可能產(chǎn)生權限泄露的現(xiàn)象。權限泄露有兩個必要條件：被調(diào)用的組件中包含有某種權限，被調(diào)用的組件在調(diào)用的過程中沒有對調(diào)用方進行相應權限的驗證。
　　本文研究提出了一種靜態(tài)分析的方法來檢測Android應用的權限泄露。本方法首先分析應用所包含的入口，生成每個入口

3、的控制流圖和數(shù)據(jù)流圖，并通過別名分析的辦法來使控制流圖更加精確。本方法將所研究的權限轉(zhuǎn)化為相應的規(guī)則，應用這些規(guī)則對控制流圖進行搜索，通過搜索的結(jié)果來分析應用每個組件所包含的權限。然后分析應用的配置文件，查看每個組件是否對該組件包含的權限進行驗證，根據(jù)組件包含的權限和組件驗證的權限之間的匹配關系生成權限泄露報告。
　　基于上述方法，本文采用java語言開發(fā)了一個Android應用的權限泄露自動檢測工具，并對研究提出的Android