Android應(yīng)用的安全性檢測(cè)與分析方法研究.pdf

1、隨著移動(dòng)互聯(lián)網(wǎng)時(shí)代的到來(lái)，Android系統(tǒng)迅速得到普及。作為移動(dòng)終端的主要平臺(tái)，Android系統(tǒng)上的應(yīng)用程序所存在的安全問(wèn)題越來(lái)越受到人們的關(guān)注。由于目前移動(dòng)終端存儲(chǔ)了大量的用戶隱私數(shù)據(jù)，特別是隨著社交網(wǎng)絡(luò)和手機(jī)支付的興起，越來(lái)越多有關(guān)用戶個(gè)人隱私和個(gè)人財(cái)產(chǎn)的信息存儲(chǔ)在移動(dòng)設(shè)備上。很多能夠訪問(wèn)用戶敏感數(shù)據(jù)的應(yīng)用程序，通常都會(huì)連接到網(wǎng)絡(luò)上或者會(huì)與其他軟件進(jìn)行通信，這樣就很容易將用戶隱私數(shù)據(jù)泄露給第三方。相比普通的Java應(yīng)用程序，An

2、droid應(yīng)用程序通常分析起來(lái)更為困難，這是由Android組件生命周期狀態(tài)轉(zhuǎn)換復(fù)雜并且具有多路回調(diào)函數(shù)等特殊性決定的。目前用于檢測(cè)用戶隱私信息泄露的方法主要是污點(diǎn)分析，污點(diǎn)分析是通過(guò)分析應(yīng)用程序，將可能的惡意數(shù)據(jù)流向提交給用戶分析，或者將檢測(cè)數(shù)據(jù)提交給自動(dòng)化軟件安全檢測(cè)工具，從而作為用戶進(jìn)行安全防護(hù)的依據(jù)。由于Android應(yīng)用程序中的Activity組件生命周期的復(fù)雜性和多路回調(diào)函數(shù)的特點(diǎn)，使得在 Android應(yīng)用程序上執(zhí)行污點(diǎn)分

3、析時(shí)較為困難，因此在污點(diǎn)分析過(guò)程中常出現(xiàn)漏報(bào)和誤報(bào)的情況，影響分析的準(zhǔn)確性。
　　本研究主要內(nèi)容包括：⑴提出了一種模擬Android應(yīng)用程序生命周期狀態(tài)轉(zhuǎn)換過(guò)程和回調(diào)函數(shù)執(zhí)行過(guò)程的方法，克服了對(duì)Android應(yīng)用程序分析困難的問(wèn)題；⑵利用污點(diǎn)分析技術(shù)來(lái)檢測(cè)敏感數(shù)據(jù)的泄露，并將污點(diǎn)傳播問(wèn)題轉(zhuǎn)化為IFDS問(wèn)題，以流函數(shù)的形式將前向分析和后向分析相結(jié)合對(duì)應(yīng)用程序進(jìn)行數(shù)據(jù)流分析，有效的減少了隱私泄露的漏報(bào)和誤報(bào)，為用戶提供安全性防護(hù)依據(jù)；