Android應(yīng)用的權(quán)限泄露分析.pdf

1、隨著智能移動(dòng)終端功能和用戶體驗(yàn)的日益完善，智能手機(jī)已經(jīng)被越來(lái)越多的用戶使用。研究數(shù)據(jù)表明，Android手機(jī)的購(gòu)買量正在逐步超越個(gè)人電腦。Android系統(tǒng)被應(yīng)用在越來(lái)越多的智能手機(jī)上面，但是由于Android系統(tǒng)出現(xiàn)時(shí)間比較短，Android系統(tǒng)上的權(quán)限機(jī)制并不完善，所以出現(xiàn)了Android應(yīng)用權(quán)限泄露的現(xiàn)象。
　　Android權(quán)限泄露的現(xiàn)象是指擁有某種權(quán)限的應(yīng)用中的權(quán)限被沒(méi)有相應(yīng)權(quán)限的應(yīng)用非法使用的現(xiàn)象。Android應(yīng)用包

2、含有四類的組件：活動(dòng)、服務(wù)、內(nèi)容提供者和廣播。由于Android系統(tǒng)有意圖的功能。一個(gè)應(yīng)用可以通過(guò)意圖調(diào)用其他應(yīng)用的組件，來(lái)實(shí)現(xiàn)本應(yīng)用所不包含的某種功能。因此一個(gè)不合法的意圖調(diào)用有可能產(chǎn)生權(quán)限泄露的現(xiàn)象。權(quán)限泄露有兩個(gè)必要條件：被調(diào)用的組件中包含有某種權(quán)限，被調(diào)用的組件在調(diào)用的過(guò)程中沒(méi)有對(duì)調(diào)用方進(jìn)行相應(yīng)權(quán)限的驗(yàn)證。
　　本文研究提出了一種靜態(tài)分析的方法來(lái)檢測(cè)Android應(yīng)用的權(quán)限泄露。本方法首先分析應(yīng)用所包含的入口，生成每個(gè)入口

3、的控制流圖和數(shù)據(jù)流圖，并通過(guò)別名分析的辦法來(lái)使控制流圖更加精確。本方法將所研究的權(quán)限轉(zhuǎn)化為相應(yīng)的規(guī)則，應(yīng)用這些規(guī)則對(duì)控制流圖進(jìn)行搜索，通過(guò)搜索的結(jié)果來(lái)分析應(yīng)用每個(gè)組件所包含的權(quán)限。然后分析應(yīng)用的配置文件，查看每個(gè)組件是否對(duì)該組件包含的權(quán)限進(jìn)行驗(yàn)證，根據(jù)組件包含的權(quán)限和組件驗(yàn)證的權(quán)限之間的匹配關(guān)系生成權(quán)限泄露報(bào)告。
　　基于上述方法，本文采用java語(yǔ)言開發(fā)了一個(gè)Android應(yīng)用的權(quán)限泄露自動(dòng)檢測(cè)工具，并對(duì)研究提出的Android