Android應(yīng)用程序組件漏洞測(cè)試方法研究.pdf

1、隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展和計(jì)算機(jī)網(wǎng)絡(luò)覆蓋率的增加，互聯(lián)網(wǎng)技術(shù)已經(jīng)滲透到人們生活的方方面面。近年來(lái)移動(dòng)通信技術(shù)的發(fā)展，更是使得人們可以隨時(shí)隨地通過(guò)智能移動(dòng)終端接入互聯(lián)網(wǎng)，通過(guò)互聯(lián)網(wǎng)來(lái)進(jìn)行社交、游戲、收發(fā)郵件、在線交易等活動(dòng)，改變了人們使用互聯(lián)網(wǎng)的方式，極大的方便了人們的生活。在眾多移動(dòng)智能終端操作系統(tǒng)中，基于Linux內(nèi)核開發(fā)的Android系統(tǒng)自誕生之初就受到各大生產(chǎn)廠商和開發(fā)者的關(guān)注和支持，并迅速發(fā)展和普及，時(shí)至今日已經(jīng)一躍成為智能移

2、動(dòng)終端上占有率最高的操作系統(tǒng)。而隨著Android系統(tǒng)的不斷發(fā)展和普及，Android系統(tǒng)和Android應(yīng)用程序也開始成為惡意攻擊者和黑客的目標(biāo)。雖然Android系統(tǒng)提供了諸如文件訪問(wèn)控制、安全沙箱(Sandbox)、權(quán)限機(jī)制、應(yīng)用程序簽名機(jī)制等措施來(lái)保護(hù)系統(tǒng)與應(yīng)用程序的安全，但是在安全研究人員的研究和惡意攻擊者的不斷攻擊之下，Android系統(tǒng)暴露出系統(tǒng)漏洞、權(quán)限機(jī)制漏洞、隱私泄露、應(yīng)用程序漏洞等各種嚴(yán)重的安全威脅問(wèn)題。惡意攻擊者

3、利用Android安全漏洞進(jìn)行的惡意行為屢見不鮮。
　　Android系統(tǒng)及應(yīng)用程序安全漏洞的存在，已經(jīng)嚴(yán)重威脅到Android系統(tǒng)生態(tài)環(huán)境的安全以及用戶的個(gè)人利益。為此，本文根據(jù)Android系統(tǒng)應(yīng)用程序框架及Android應(yīng)用程序組件間的通信機(jī)制的特性研究了一種通過(guò)使用模測(cè)試技術(shù)對(duì)Android應(yīng)用程序組件進(jìn)行漏洞測(cè)試的方法，設(shè)計(jì)并實(shí)現(xiàn)了該方法。最后，使用該方法對(duì)大量應(yīng)用程序進(jìn)行了漏洞測(cè)試，通過(guò)分析漏洞測(cè)試產(chǎn)生的數(shù)據(jù)，挖掘出幾

4、種組件暴露漏洞。
　　該方法分為逆向分析和模糊測(cè)試兩個(gè)階段。逆向分析階段對(duì)Android應(yīng)用程序進(jìn)行了反編譯，根據(jù)分編譯獲得的源代碼對(duì)構(gòu)成應(yīng)用程序的組件的配置信息進(jìn)行分析，從而發(fā)現(xiàn)可能存在組件暴露漏洞的組件以及該組件在進(jìn)行組件通信過(guò)程中所攜帶消息的基本特征。模糊測(cè)試階段使用Ruby語(yǔ)言編程來(lái)自動(dòng)生成測(cè)試數(shù)據(jù)和測(cè)試用例，通過(guò)使用Robotium Android應(yīng)用程序黑盒測(cè)試框架，來(lái)對(duì)應(yīng)用程序組件進(jìn)行模糊測(cè)試測(cè)試，避免了模糊測(cè)試過(guò)程