【技术实现步骤摘要】
一种安卓应用网络通信中隐私泄漏检测方法及系统
本专利技术属于移动安全和界面自动化测试
,更具体地,涉及一种安卓应用网络通信中隐私泄漏检测方法及系统。
技术介绍
安卓移动设备承载着用户越来越多的隐私数据,不安全的网络通信将导致用户隐私泄漏。据统计,安卓应用网络通信过程中约67%采用HTTP协议,约20%采用HTTPS协议。由于HTTP协议的明文传输,一旦HTTP网络请求中包含用户的隐私数据(如通讯录、短信、日历和照片等),将存在隐私泄漏。同时,SSL协议的错误使用也将导致用户面临中间人攻击、隐私泄漏的风险。目前针对安卓应用中隐私泄露问题,主要采用以下方式:(1)对安卓系统Dalvik虚拟机、Binder驱动和文件系统进行修改,以跟踪污点数据是否在网络传输、文件写入等泄漏点处传播。然而该系统需要修改安卓底层系统,且只能解决安卓原生应用中的网络传输的隐私泄露问题,具有一定的局限性。(2)在第一种方式的基础上集成模拟器伪装、事件触发、fuzzing测试、智能输入和智能搜索等功能实现大规模的、自动化的检测安卓应用内的隐私泄露行为。然而,该方式中主要以Monkey发送伪随机事件为主,由于伪随机事件的不确定性,存在效率低、覆盖率低等缺点。目前针对安卓应用中网络通信安全性问题,RFCs2818、2246和3280文档明确规定安卓SSL协议中证书链合法当且仅当满足如下三个条件:(1)证书链中的每个证书未过期;(2)根证书必须来自于可信的证书机构,且存在于客户端可信证书机构的列表中;(3)当证书链中存在多个证书时,需要验证每个证书的合法性。其规定主机名合法当且仅当:客户 ...
【技术保护点】
一种安卓应用网络通信中隐私泄漏检测方法,其特征在于,包括:S1、爬取待测安卓应用,构建待测应用集合;S2、构建中间人攻击服务器,并初始化各测试机环境,配置多测试机分布式运行调度系统;S3、分析所述待测应用集合中的APK文件,获取与所述APK文件对应的应用程序的包名和主Activity信息;S4、根据所述包名和主Activity信息,安装与所述APK文件对应的应用程序,并基于UI自动化遍历框架驱动所述应用程序运行;S5、分析Burp Suite生成的日志文件,获取存在SSL中间人攻击的应用集合;S6、对收集的当前应用程序运行过程中产生的网络数据包文件进行分析,结合所述存在SSL中间人攻击的应用集合识别所述网络数据包文件中的隐私泄漏类型。
【技术特征摘要】
1.一种安卓应用网络通信中隐私泄漏检测方法,其特征在于,包括:S1、爬取待测安卓应用,构建待测应用集合;S2、构建中间人攻击服务器,并初始化各测试机环境,配置多测试机分布式运行调度系统;S3、分析所述待测应用集合中的APK文件,获取与所述APK文件对应的应用程序的包名和主Activity信息;S4、根据所述包名和主Activity信息,安装与所述APK文件对应的应用程序,并基于UI自动化遍历框架驱动所述应用程序运行;S5、分析BurpSuite生成的日志文件,获取存在SSL中间人攻击的应用集合;S6、对收集的当前应用程序运行过程中产生的网络数据包文件进行分析,结合所述存在SSL中间人攻击的应用集合识别所述网络数据包文件中的隐私泄漏类型。2.根据权利要求1所述的方法,其特征在于,步骤S1具体包括以下子步骤:S1.1、选取M个目标应用市场,分析各目标应用市场按照类别划分的列表页URL特征、详细应用页面URL特征、应用下载URL特征,其中,M为正整数;S1.2、分析所述列表页URL特征、所述详细应用页面URL特征以及所述应用下载URL特征,基于ID或包名探测方式构建HTTP请求,下载各目标应用市场中各类别的N个待测安卓应用,其中,N为正整数;S1.3、将所述N个待测安卓应用的APK文件采用FASTDFS文件框架分布式存储到不同的服务器上,并将安卓应用相关信息存储到数据库中。3.根据权利要求2所述的方法,其特征在于,步骤S3具体包括以下子步骤:S3.1、基于AndroidSDK自带的AAPT工具分析各待测安卓应用;S3.2、提取待测安卓应用的权限集合,判断是否存在联网权限;S3.3、若存在联网权限,则提取待测安卓应用的包名与主Activity名。4.根据权利要求1所述的方法,其特征在于,步骤S4具体包括以下子步骤:S4.1、基于AccessibilityService提供的接口获取当前待测安卓应用运行过程中的GUI界面信息,并根据预先制定的GUI界面分类规则识别与所述GUI界面信息对应的GUI界面类型;S4.2、采用与所述GUI界面类型对应的控件集处理方式,并将最终处理后的可操作控件事件投入任务列表;S4.3、采用启发式深度优先遍历算法,对所述任务列表中的控件事件进行用户动作模拟,并判断当前GUI界面状态是否发生变化,若发生变化,则跳转执行步骤S4.1;若...
【专利技术属性】
技术研发人员:李瑞轩,李晶晶,辜希武,李玉华,章衡,韩洪木,汤俊伟,李水祥,
申请(专利权)人:华中科技大学,
类型:发明
国别省市:湖北,42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。