摘要:
随着移动互联网时代的到来,Android系统迅速得到普及。作为移动终端的主要平台,Android系统上的应用程序所存在的安全问题越来越受到人们的关注。由于目前移动终端存储了大量的用户隐私数据,特别是随着社交网络和手机支付的兴起,越来越多有关用户个人隐私和个人财产的信息存储在移动设备上。很多能够访问用户敏感数据的应用程序,通常都会连接到网络上或者会与其他软件进行通信,这样就很容易将用户隐私数据泄露给第三方。相比普通的Java应用程序,Android应用程序通常分析起来更为困难,这是由Android组件生命周期状态转换复杂并且具有多路回调函数等特殊性决定的。目前用于检测用户隐私信息泄露的方法主要是污点分析,污点分析是通过分析应用程序,将可能的恶意数据流向提交给用户分析,或者将检测数据提交给自动化软件安全检测工具,从而作为用户进行安全防护的依据。由于Android应用程序中的Activity组件生命周期的复杂性和多路回调函数的特点,使得在Android应用程序上执行污点分析时较为困难,因此在污点分析过程中常出现漏报和误报的情况,影响分析的准确性。本文分析研究了Android应用程序的生命周期状态转换过程和回调函数执行过程,并利用基于控制流和数据流的静态程序分析方法设计实现了增加改进方法后的Android应用的安全性检测系统。本论文的主要工作包括:1.提出了一种模拟Android应用程序生命周期状态转换过程和回调函数执行过程的方法,克服了对Android应用程序分析困难的问题;2.利用污点分析技术来检测敏感数据的泄露,并将污点传播问题转化为IFDS问题,以流函数的形式将前向分析和后向分析相结合对应用程序进行数据流分析,有效的减少了隐私泄露的漏报和误报,为用户提供安全性防护依据;3.在原有系统上实现了新的改进方法,并对扩展后的系统进行了试验测试,验证系统检测漏洞的准确率。通过对实现增加改进方法后的系统进行试验测试,表明本文设计实现的检测系统能够有效的克服Android应用程序分析的困难,对程序的漏洞分析结果的准确率高于一般静态程序分析平均标准值,达到了预期的设计目标和要求。
展开
2327
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
