Android应用隐私泄露若干问题研究.doc

该【Android应用隐私泄露若干问题研究 】是由【泰山小桥流水】上传分享，文档一共【4】页，该文档可以免费在线阅读，需要了解更多关于【Android应用隐私泄露若干问题研究 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。Android应用隐私泄漏若干问题的研究
Android应用隐私泄漏若干问题的研究
1/4
Android应用隐私泄漏若干问题的研究
Android应用隐私泄漏若干问题的研究
跟着挪动互联网的快速发展,使用Android设备进行互联网活动的网民数目急剧增加。Android已经成为此刻市场据有率最高、最受欢迎的智好手机操作系统。Android用户可以方便地从Android应用市场中下载自己喜欢的App(Application,应用),以满足自己的工作、娱乐、学习等多方面的需求。可是,Android手机和应用在给用户供给极大便利的同时,也带来了好多安全问题,威迫着用户的个人信息安全,此中隐私泄漏即是当前Android手机用户面对的最主要安全威迫之一。当前Android隐私泄漏问题泛滥,无论是歹意应用还是非歹意应用,都存在隐私泄漏问题,歹意应用常常以入侵用户的隐私作为目的,为歹意应用制造者或流传者供给非法利益。非歹意应用为了实
现一些特定功能或服务,也存在入侵用户隐私的问题,而广泛存在于Android系统和Android应用中的安全漏洞更是加深了隐私泄漏问题给用户造成的安全威迫。对Android隐私泄漏问题的研究已经成为当
前挪动安全领域研究的热门。所以,本文以Android应用隐私泄漏问
题为中心睁开研究,主要工作和创新点包含以下几个方面:(1)对现有
的基于静态污点解析的Android应用隐私泄漏的检测方法进行了改
进,解决了现有的静态污点解析方法在办理动向加载和反射体系问题上的难题。对Android源码进行了更正,使Android系统可以对
Android应用实质运转中加载的dex文件和反射调用信息进行及时存
储,并利用这些信息指引Android应用的静态污点解析过程。以当前当先的静态污点解析工具FlowDroid为基础,对其进行了改进,提出
了使用非反射调用语句替代反射调用语句的策略,实现了一个可以对
Android动向加载和反射体系进行有效污点解析的工具——
DyLoadDroid,并经过实验考据了其在办理Android动向加载和反射体系的污点解析问题上的有效性。(2)提出了新的、有效的Android应用定向行为测试工具OA3E,可以对Android应用中与隐私泄漏相关的敏感行为进行自动化定向触发。针对现有的大多数GUI遍历工具不过追求高代码覆盖率,而不追求以最快捷有效的方式触发Android应用的特定行为的问题,提出了基于组件过滤和控件过滤的Android应用定向行为触发方法,并对现有的GUI遍历工具A3E进行了改进,实现了定向行为测试工具OA3E。OA3E以目标API调用近似代表目标程序行为,经过静态解析的方法找到抵达目标API调用所需要遍历的有效
的Android组件和控件,并在动向遍历的过程中,只对有效的组件和控件进行遍历,而不对无效的组件和控件进行遍历,从而极大的节约了GUI遍历的时间,更加高效的触发Android应用的特定行为。经过对100个流行App的测试结果表示,OA3E在Android应用定向行为触发方面拥有明显的优势。(3)提出和研究了Android应用广泛存在的
端口开放漏洞的问题,并研究了由端口开放所以致的用户隐私泄漏等
问题。提出了端口开放漏洞(Port-OpeningVulnerability)的看法,研究了Android应用市场中App开放端口的广泛性,Android应用开
放端口的目的和可能受到的攻击,并揭穿隐私泄漏是端口开放漏洞可以以致的最大安全问题。提出了Android应用端口开放漏洞的静态检测方法,并将该方法付诸实践,实现了一个静态检测工具——
Android应用隐私泄漏若干问题的研究
Android应用隐私泄漏若干问题的研究
2/4
Android应用隐私泄漏若干问题的研究
APOVD(AndroidPort-OpeningVulnerabilityDetection)。APOVD
第一经过可达性解析和污点解析的方法判断一个开放的网络端口能否可以以致敏感行为的发生,而后经过静态程序切片的方法判断在抵达敏感行为的程序路径上能否存在强接见控制。假如某一个开放的网络端口存在抵达敏感行为的程序路径,而且在该路径上缺乏强接见控制,则该App被以为存在端口开放漏洞。经过对15600个真实的App的检测结果表示,APOVD可以有效的检测Android应用的端口开放漏洞。(4)研究了网络直播App存在的主播地理地址隐私泄漏的问题。当前好多网络直播类挪动应用(App)都有找寻周边的主播的功能,在某一地址找寻周边的主播时,服务器会返回周边的主播信息以及主播与当前地址的距离。我们从排名前15的直播类App中找到了7个拥有这类功能的App,经过研究发现,这7个App在“周边的主播”功能实现上都存在泄漏主播地理地址的漏洞。论文第一对App开发者常用的距离计算方法进行了解析和总结,而后针对各种距离计算方法提出
了相应的主播地址定位方法。并从漏洞利用的简略性和高效性出发,提出了三套漏洞利用方案。经过实验考据了论文所提出的地址定位方法和漏洞利用方案的有效性。最后,论文提出了漏洞防守方案。(5)研究了中台YY的挪动应用存在的任意用户地理地址和手机号码泄漏的问题,并提出了基于地理地址的手机号码破解的崭新网络攻击形式。借助于YY存在的一系列安全漏洞,提出了破解任意YY用户的正确地理地址和手机号码的方法。第一,基于三点定位的方法对用户的正确地理地址进行破解,而后依据用户的地理地址推
Android应用隐私泄漏若干问题的研究
Android应用隐私泄漏若干问题的研究
3/4
Android应用隐私泄漏若干问题的研究
测用户的手机号码归属地,并依据三大运营商号段分配状况,构造电
话号码测试集,而后使用暴力破解的方式破解用户的手机号码。对于
手机号码没法直接破解成功的YY账号,论文提出了基于频道般配和
地理地址般配的小号般配技术进行破解。最后,经过实验考据了YY用
户地理地址破解对手机号码破解的巨大作用,并给出了漏洞危害和漏
洞修复建议。
Android应用隐私泄漏若干问题的研究
Android应用隐私泄漏若干问题的研究
4/4
Android应用隐私泄漏若干问题的研究