The invention discloses an application for Android WebView bridge interface stain mapping and analysis method in WebView bridge interface communication data transmission method adds a tainted record module and the corresponding module to achieve reduction of stain, stain mapping; when the sensitive data between the native Android and the Web environment through the WebView bridge interface for transmission, can through the mapping method to stain stain marker sensitive data follow the data for cross language transfer; then use Android for primary environment stain analysis system based on taint marking to detect and track sensitive data transmission in native Android environment, using Web environment for the taint analysis system, based on the detection and tracking of sensitive markers to stain data transmission in the Web environment, so as to realize the cross language taint analysis. The invention has the characteristics of high generality and wide coverage.
【技术实现步骤摘要】
一种面向安卓应用的WebView桥接口污点映射及分析方法
本专利技术涉及移动端安全领域,特别是一种面向安卓应用的WebView桥接口污点映射及分析方法。
技术介绍
随着移动互联网技术的发展以及移动端智能设备的普及,移动互联网在生活中逐渐占据了重要的地位。移动端智能设备存储了大量用户隐私信息,随之而来的隐私泄漏问题逐渐被人们所关注。污点分析是指通过分析程序运行时可能的数据流,来标记跟踪特定数据的过程。污点分析可以分为四个部分,污点、污点源(source)、传播过程和污点库(sink)。污点就是指要追踪的特定数据;污点源(source)则是能够导致污点传播的来源,可以是程序的输入,也可以是调用污点的函数;污点库(sink)是指可能将污点发送出应用程序的相关操作代码。污点分析要求预先定义好source和sink,source指的是那些能够提供敏感信息的库,如提供通讯录信息的API,sink则是指那些可能会泄露数据的库,如能够将信息传送到某个恶意第三方服务器的方法。然后追踪来自source的污点数据在source和sink之间是否存在数据流。污点分析技术能够有效的发现移动端隐私信息泄漏的问题,其主要分为动态污点分析和静态污点分析。动态污点分析是一种动态的实时检测技术,不需要程序源代码即可在程序运行的同时在二进制平台下以运行时机器指令流为依据完成监控检测任务。动态污点分析作为信息流思想的一种具体体现,最近若干年被应用在信息安全验证、恶意代码分析、隐私泄露分析、协议格式逆向分析等领域,近期有研究人员将其扩展到Android平台上,比较典型的动态污点分析工具有Taint ...
【技术保护点】
一种面向安卓应用的WebView桥接口污点映射方法,其特征在于,包括以下步骤:步骤1、定义桥接口Sink和桥接口Source;(i)桥接口Sink包括跨语言数据传输的桥接口通信方法,即Web环境下的桥接口方法及其对应的本地Java方法;(ii)桥接口Source为敏感数据传输到另一语言环境后对应的数据,包括Web环境下的桥接口方法返回值和该桥接口方法对应的本地Java方法参数值;步骤2:建立跨Java语言与JavaScript语言的污点映射关系;包括对桥接口Sink实现污点记录和对桥接口Source实现污点还原;(a)对桥接口Sink实现污点记录的方法为:每使用桥接口Sink传输一条敏感数据,则产生一条污点记录,每一条污点记录包括以下信息:所使用的桥接口方法名;所使用的桥接口方法参数污点信息,桥接口方法参数污点信息包括该参数在Web环境下的数据类型、原始值和污点标记;所使用的桥接口方法对应的本地Java方法返回值污点信息,本地Java方法返回值污点信息包括该返回值在本地Java环境下的数据类型、原始值和污点标记;将污点记录写入污点记录日志中;(b)对桥接口Source实现污点还原的方法 ...
【技术特征摘要】
1.一种面向安卓应用的WebView桥接口污点映射方法,其特征在于,包括以下步骤:步骤1、定义桥接口Sink和桥接口Source;(i)桥接口Sink包括跨语言数据传输的桥接口通信方法,即Web环境下的桥接口方法及其对应的本地Java方法;(ii)桥接口Source为敏感数据传输到另一语言环境后对应的数据,包括Web环境下的桥接口方法返回值和该桥接口方法对应的本地Java方法参数值;步骤2:建立跨Java语言与JavaScript语言的污点映射关系;包括对桥接口Sink实现污点记录和对桥接口Source实现污点还原;(a)对桥接口Sink实现污点记录的方法为:每使用桥接口Sink传输一条敏感数据,则产生一条污点记录,每一条污点记录包括以下信息:所使用的桥接口方法名;所使用的桥接口方法参数污点信息,桥接口方法参数污点信息包括该参数在Web环境下的数据类型、原始值和污点标记;所使用的桥接口方法对应的本地Java方法返回值污点信息,本地Java方法返回值污点信息包括该返回值在本地Java环境下的数据类型、原始值和污点标记;将污点记录写入污点记录日志中;(b)对桥接口Source实现污点还原的方法为:首先在污点记录日志中找到...
【专利技术属性】
技术研发人员:王伟平,覃岩,柏军洋,宋虹,
申请(专利权)人:中南大学,
类型:发明
国别省市:湖南,43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。