面向安卓平臺的隱私泄露檢測及安全防護研究.pdf

1、近年來，隨著智能移動終端的普及，使得移動應(yīng)用市場成為了眾多開發(fā)者宣傳和銷售的良好平臺。這其中Android以其開源性和自由性占據(jù)了較大的市場，針對Android平臺開發(fā)設(shè)計的應(yīng)用也以指數(shù)級增長。正是由于系統(tǒng)的開放性，使得Android移動市場得不到統(tǒng)一的監(jiān)管，不法開發(fā)者有了可乘之機，大量的惡意應(yīng)用流入了市場。同時，由于當(dāng)前手機應(yīng)用功能的強大使得用戶的許多隱私數(shù)據(jù)都存儲在移動終端，包括用戶的短信記錄、通訊錄信息甚至是個人照片等。這些惡意應(yīng)

2、用會抓取用戶的這些隱私信息，造成了用戶信息的外泄，給用戶造成精神和經(jīng)濟方面的損失。雖然Android提供了權(quán)限管理等安全機制，但這些機制存在著的缺陷讓系統(tǒng)本身不足以對用戶的隱私信息進(jìn)行保護。
　　研究中對Android源碼進(jìn)行了調(diào)研、分析，在調(diào)研中發(fā)現(xiàn)數(shù)據(jù)的發(fā)送主要集中在網(wǎng)絡(luò)、短信、藍(lán)牙這些出口。根據(jù)系統(tǒng)的這一特征，對Android出口的源代碼進(jìn)行修改，構(gòu)建了監(jiān)控組件Monitor，實現(xiàn)了隱私泄露檢測系統(tǒng)ShielDroid。本系

3、統(tǒng)采用了基于標(biāo)簽規(guī)則的黑盒追蹤動態(tài)檢測方式，對發(fā)出的隱私數(shù)據(jù)進(jìn)行檢測，成功的避開了白盒追蹤帶來大量系統(tǒng)資源消耗的弊端。為了使系統(tǒng)更加完善，在惡意應(yīng)用安裝到用戶終端時給用戶提供隱私數(shù)據(jù)保護，本研究中還構(gòu)建了一套安全防護策略。在應(yīng)用存在泄漏行為時及時提示用戶并采取相應(yīng)措施，根據(jù)泄露的不同安全等級對惡意行為進(jìn)行阻塞、記錄等手段進(jìn)行防護。
　　為了實現(xiàn)大規(guī)模應(yīng)用檢測，本研究還實現(xiàn)了自動化測試平臺。完成了應(yīng)用從安裝、啟動、觸發(fā)、卸載的自動化

4、流程。通過ShielDroid系統(tǒng)與自動化測試平臺的幫助，可以讓審核人員對上線應(yīng)用進(jìn)行動態(tài)檢測，剔除掉有隱私泄露行為的惡意應(yīng)用，為凈化Android應(yīng)用市場做出貢獻(xiàn)。另外，研究中利用自動化測試平臺與TaintDroid系統(tǒng)在大規(guī)模應(yīng)用檢測的試驗證明，ShielDroid系統(tǒng)在檢出率上可達(dá)到與TaintDroid系統(tǒng)相近水平，并且還具有系統(tǒng)資源消耗較低的優(yōu)越性。證明了系統(tǒng)的可行性和優(yōu)越性。當(dāng)然ShieldDroid系統(tǒng)還有一些可以改進(jìn)的方