Android應(yīng)用的權(quán)限泄露分析.pdf

1、隨著智能移動終端功能和用戶體驗的日益完善，智能手機已經(jīng)被越來越多的用戶使用。研究數(shù)據(jù)表明，Android手機的購買量正在逐步超越個人電腦。Android系統(tǒng)被應(yīng)用在越來越多的智能手機上面，但是由于Android系統(tǒng)出現(xiàn)時間比較短，Android系統(tǒng)上的權(quán)限機制并不完善，所以出現(xiàn)了Android應(yīng)用權(quán)限泄露的現(xiàn)象。
　　Android權(quán)限泄露的現(xiàn)象是指擁有某種權(quán)限的應(yīng)用中的權(quán)限被沒有相應(yīng)權(quán)限的應(yīng)用非法使用的現(xiàn)象。Android應(yīng)用包

2、含有四類的組件：活動、服務(wù)、內(nèi)容提供者和廣播。由于Android系統(tǒng)有意圖的功能。一個應(yīng)用可以通過意圖調(diào)用其他應(yīng)用的組件，來實現(xiàn)本應(yīng)用所不包含的某種功能。因此一個不合法的意圖調(diào)用有可能產(chǎn)生權(quán)限泄露的現(xiàn)象。權(quán)限泄露有兩個必要條件：被調(diào)用的組件中包含有某種權(quán)限，被調(diào)用的組件在調(diào)用的過程中沒有對調(diào)用方進行相應(yīng)權(quán)限的驗證。
　　本文研究提出了一種靜態(tài)分析的方法來檢測Android應(yīng)用的權(quán)限泄露。本方法首先分析應(yīng)用所包含的入口，生成每個入口

3、的控制流圖和數(shù)據(jù)流圖，并通過別名分析的辦法來使控制流圖更加精確。本方法將所研究的權(quán)限轉(zhuǎn)化為相應(yīng)的規(guī)則，應(yīng)用這些規(guī)則對控制流圖進行搜索，通過搜索的結(jié)果來分析應(yīng)用每個組件所包含的權(quán)限。然后分析應(yīng)用的配置文件，查看每個組件是否對該組件包含的權(quán)限進行驗證，根據(jù)組件包含的權(quán)限和組件驗證的權(quán)限之間的匹配關(guān)系生成權(quán)限泄露報告。
　　基于上述方法，本文采用java語言開發(fā)了一個Android應(yīng)用的權(quán)限泄露自動檢測工具，并對研究提出的Android