基于滲透測試的安卓應(yīng)用信息安全評估.pdf

1、隨著安卓系統(tǒng)的迭代更新和發(fā)展，運(yùn)行安卓操作系統(tǒng)的智能手機(jī)在智能手機(jī)市場中有很高占有率，同時，安卓操作系統(tǒng)也是最受人們喜歡的智能手機(jī)操作系統(tǒng)。得益于手機(jī)硬件的快速發(fā)展和安卓操作系統(tǒng)的不斷完善，安卓應(yīng)用程序的數(shù)量跟種類也在快速增長,種類豐富的安卓應(yīng)用程序涉及到我們生活和工作的方方面面，給我們的日常生活和工作帶來了前所未有的便利。
　　安卓應(yīng)用家族的不斷壯大，使其面臨的信息安全威脅越來越多，主要包括以下三方面：第一，病毒和惡意代碼竊取應(yīng)

2、用或用戶隱私數(shù)據(jù)給用戶帶來財產(chǎn)損失；第二，安卓系統(tǒng)自身的系統(tǒng)設(shè)計缺陷造成的漏洞引起的信息安全問題；第三，應(yīng)用開發(fā)人員開發(fā)的應(yīng)用自身維護(hù)信息安全威脅能力薄弱而被惡意軟件利用造成的信息泄露。
　　對于維護(hù)安卓應(yīng)用的信息安全，常規(guī)方法以檢測外界惡意應(yīng)用和代碼為主，比如手機(jī)殺毒軟件和手機(jī)衛(wèi)士等。這些傳統(tǒng)技術(shù)雖能夠起到保護(hù)手機(jī)信息不受木馬、病毒等外界惡意代碼的侵害，一定程度上維護(hù)了安卓系統(tǒng)和用戶的信息安全，但不能增強(qiáng)安卓應(yīng)用自身信息安全防護(hù)

3、能力。這種只兼外不顧內(nèi)的傳統(tǒng)維護(hù)信息安全的方式在信息安全威脅頻發(fā)的今天，不能及時全面的應(yīng)對不斷出現(xiàn)的信息安全威脅。
　　本文針對如何提高安卓應(yīng)用自身維護(hù)信息安全的能力做了深入的研究。通過分析安卓系統(tǒng)信息安全機(jī)制以及近些年對安卓應(yīng)用信息安全造成廣泛影響的漏洞和設(shè)計缺陷，總結(jié)歸納出其中的15項作為安卓應(yīng)用程序信息安全評估準(zhǔn)則以及對應(yīng)的滲透測試內(nèi)容。本文設(shè)計實(shí)現(xiàn)針對安卓應(yīng)用的C/S架構(gòu)的滲透測試系統(tǒng)，基于消息會話機(jī)制以及反射機(jī)制遠(yuǎn)程調(diào)用

4、Agent端應(yīng)用數(shù)據(jù)對象實(shí)現(xiàn)滲透測試功能，滲透測試系統(tǒng)采用插件模式，針對新的信息安全漏洞可以動態(tài)的不斷豐富拓展新的滲透測試功能。
　　安卓應(yīng)用程序運(yùn)行在基于Linux2.6內(nèi)核的安卓操作系統(tǒng)中，針對安卓應(yīng)用信息安全的滲透測試技術(shù)，除常規(guī)的使用在Linux系統(tǒng)的文件遍歷、SQL注入等滲透測試技術(shù)外，本文研究設(shè)計了針對安卓應(yīng)用特性的一系列滲透測試技術(shù)，主要包括：針對頻發(fā)信息安全問題的安卓組件的滲透測試技術(shù)；針對近年來造成廣泛影響的We

5、bview滲透測試技術(shù)以及針對動態(tài)庫文件滲透測試技術(shù)等，這些滲透測試技術(shù)的增加能夠覆蓋目前安卓應(yīng)用程序中由于自身脆弱性而造成信息安全問題的主要項目。
　　在對安卓應(yīng)用維護(hù)信息安全能力進(jìn)行評估方面，本文設(shè)計以層次分析法為理論基礎(chǔ)的評估模型。層次分析法將定性問題量化分析的核心在于構(gòu)造的判斷矩陣滿足客觀真實(shí)性與一致性的要求，為使本文的評估模型滿足客觀真實(shí)性，本文先建立AHP信息安全評估模型，與CVE-CVSS數(shù)據(jù)庫中數(shù)據(jù)的對比可判斷建立