基于滲透測試的安卓應用信息安全評估.pdf

1、隨著安卓系統(tǒng)的迭代更新和發(fā)展，運行安卓操作系統(tǒng)的智能手機在智能手機市場中有很高占有率，同時，安卓操作系統(tǒng)也是最受人們喜歡的智能手機操作系統(tǒng)。得益于手機硬件的快速發(fā)展和安卓操作系統(tǒng)的不斷完善，安卓應用程序的數(shù)量跟種類也在快速增長,種類豐富的安卓應用程序涉及到我們生活和工作的方方面面，給我們的日常生活和工作帶來了前所未有的便利。
　　安卓應用家族的不斷壯大，使其面臨的信息安全威脅越來越多，主要包括以下三方面：第一，病毒和惡意代碼竊取應

2、用或用戶隱私數(shù)據(jù)給用戶帶來財產(chǎn)損失；第二，安卓系統(tǒng)自身的系統(tǒng)設計缺陷造成的漏洞引起的信息安全問題；第三，應用開發(fā)人員開發(fā)的應用自身維護信息安全威脅能力薄弱而被惡意軟件利用造成的信息泄露。
　　對于維護安卓應用的信息安全，常規(guī)方法以檢測外界惡意應用和代碼為主，比如手機殺毒軟件和手機衛(wèi)士等。這些傳統(tǒng)技術雖能夠起到保護手機信息不受木馬、病毒等外界惡意代碼的侵害，一定程度上維護了安卓系統(tǒng)和用戶的信息安全，但不能增強安卓應用自身信息安全防護

3、能力。這種只兼外不顧內(nèi)的傳統(tǒng)維護信息安全的方式在信息安全威脅頻發(fā)的今天，不能及時全面的應對不斷出現(xiàn)的信息安全威脅。
　　本文針對如何提高安卓應用自身維護信息安全的能力做了深入的研究。通過分析安卓系統(tǒng)信息安全機制以及近些年對安卓應用信息安全造成廣泛影響的漏洞和設計缺陷，總結(jié)歸納出其中的15項作為安卓應用程序信息安全評估準則以及對應的滲透測試內(nèi)容。本文設計實現(xiàn)針對安卓應用的C/S架構(gòu)的滲透測試系統(tǒng)，基于消息會話機制以及反射機制遠程調(diào)用

4、Agent端應用數(shù)據(jù)對象實現(xiàn)滲透測試功能，滲透測試系統(tǒng)采用插件模式，針對新的信息安全漏洞可以動態(tài)的不斷豐富拓展新的滲透測試功能。
　　安卓應用程序運行在基于Linux2.6內(nèi)核的安卓操作系統(tǒng)中，針對安卓應用信息安全的滲透測試技術，除常規(guī)的使用在Linux系統(tǒng)的文件遍歷、SQL注入等滲透測試技術外，本文研究設計了針對安卓應用特性的一系列滲透測試技術，主要包括：針對頻發(fā)信息安全問題的安卓組件的滲透測試技術；針對近年來造成廣泛影響的We

5、bview滲透測試技術以及針對動態(tài)庫文件滲透測試技術等，這些滲透測試技術的增加能夠覆蓋目前安卓應用程序中由于自身脆弱性而造成信息安全問題的主要項目。
　　在對安卓應用維護信息安全能力進行評估方面，本文設計以層次分析法為理論基礎的評估模型。層次分析法將定性問題量化分析的核心在于構(gòu)造的判斷矩陣滿足客觀真實性與一致性的要求，為使本文的評估模型滿足客觀真實性，本文先建立AHP信息安全評估模型，與CVE-CVSS數(shù)據(jù)庫中數(shù)據(jù)的對比可判斷建立