Android应用隐私泄露若干问题的研究.doc

Android应用隐私泄露若干问题的研究.docAndroid应用隐私泄露若干问题的研究
Android应用隐私泄露若干问题的研究
1 / 4
Android应用隐私泄露若干问题的研究
Android 应用隐私泄露若干问题的研究
随着移动互联网的快速发展 , 使用 Android 设备进行互联网活动的网民数量急剧增长。 Android 已经成为当今市场占有率最高、最受欢迎的智能手机操作系统。 Android 用户可以方便地从 Android 应用市场中下载自己喜爱的 App(Application, 应用 ), 以满足自己的工作、娱乐、学习等多方面的需求。然而 ,Android 手机和应用在给用户提供极大便利的同时 , 也带来了许多安全问题 , 威胁着用户的个人信息安全 , 其中隐私泄露便是当前 Android 手机用户面临的最主要安全威胁之一。当前 Android 隐私泄露问题泛滥 , 不管是恶意应用还是非恶意应用 , 都存在隐私泄露问题 , 恶意应用常常以侵犯用户的隐私作为目的 , 为恶意应用制造者或传播者提供非法利益。非恶意应用为了实
现一些特定功能或服务 , 也存在侵犯用户隐私的问题 , 而广泛存在于 Android 系统和 Android 应用中的安全漏洞更是加深了隐私泄露问题给用户造成的安全威胁。 对 Android 隐私泄露问题的研究已经成为当
前移动安全领域研究的热点。因此 , 本文以 Android 应用隐私泄露问
题为中心展开研究 , 主要工作和创新点包括以下几个方面 :(1) 对现有
的基于静态污点分析的 Android 应用隐私泄露的检测方法进行了改
进, 解决了现有的静态污点分析方法在处理动态加载和反射机制问题上的难题。对 Android 源码进行了修改 , 使 Android 系统能够对
Android 应用实际运行中加载的 dex 文件和反射调用信息进行实时存
储, 并利用这些信息引导 Android 应用的静态污点分析过程。以当前领先的静态污点分析工具 FlowDroid 为基础 , 对其进行了改进 , 提出
了使用非反射调用语句替换反射调用语句的策略 , 实现了一个能够对
Android 动态加载和反射机制进行有效污点分析的工具——
DyLoadDroid, 并通过实验验证了其在处理 Android 动态加载和反射机制的污点分析问题上的有效性。 (2) 提出了新的、有效的 Android 应用定向行为测试工具 OA3E,可以对 Android 应用中与隐私泄露相关的敏感行为进行自动化定向触发。 针对现有的大多数 GUI遍历工具仅仅追求高代码覆盖率 , 而不追求以最快捷有效的方式触发 Android 应用的特定行为的问题 , 提出了基于组件过滤和控件过滤的 Android 应用定向行为触发方法 , 并对现有的 GUI遍历工具 A3E进行了改进 , 实现了定向行为测试工具 OA3E。OA3E以目标 API 调用近似代表目标程序行为 , 通过静态分析的方法找到抵达目标 API 调用所需要遍历的有效
的 Android 组件和控件 , 并在动态遍历的过程中 , 只对有效的组件和控件进行遍历 , 而不对无