安卓第六個主要更新版本Android 6.0在2015年10月發(fā)布了正式版本,該版本系統帶來了許多新的特性,其中最引人矚目的就是動態(tài)權限機制。該機制要求適配新版本的應用程序需要在運行時動態(tài)檢查和申請權限。新的動態(tài)權限機制使得新版本的操作系統更加安全,但是也引入了全新的系統調用接口,而且有比較復雜的調用規(guī)范。應用程序在適配到新版本操作系統時如果不遵守動態(tài)權限申請的調用規(guī)范,就會引入運行時錯誤。如果一個適配于Android 6.0的應用程序在訪問受限資源時沒有按照新版本動態(tài)權限的要求在運行時檢查和申請權限,我們就稱該應用存在權限申請機制漏洞。為了檢測一個適配于Android 6.0的應用程序是否存在權限申請機制漏洞,本文基于Java語言和Soot框架開發(fā)了一款名為PermGuard的檢測工具,并檢測了Google Play上下載的500個應用程序,最終發(fā)現在成功參與檢測的應用程序中有25.5%的應用程序存在此類權限申請機制漏洞。這也反映了由于新系統更改了大量的權限相關的系統調用接口,導致應用程序還沒有很好的適配。PermGuard通過靜態(tài)分析的方法在輸入的應用程序中檢測需要權限保護的操作,...

【文章頁數】：70 頁

【學位級別】：碩士

【文章目錄】：
摘要
ABSTRACT
縮略語對照表
第一章 緒論
    1.1 研究背景及意義
        1.1.1 研究背景
        1.1.2 研究意義
    1.2 國內外研究現狀
    1.3 文章內容及結構
第二章 相關理論與工具
    2.1 權限機制
    2.2 Android6.0 動態(tài)權限調用規(guī)范
        2.2.1 檢查權限
        2.2.2 申請權限
        2.2.3 處理權限請求響應
        2.2.4 解釋應用為什么需要權限
    2.3 權限申請機制漏洞
    2.4 Soot工具簡介
        2.4.1 Jimple中間語言
        2.4.2 Soot組態(tài)
        2.4.3 Soot中的函數調用圖
    2.5 本章小結
第三章 檢查權限申請機制漏洞
    3.1 設計方案
    3.2 AndroidManifest.xml文件概覽
        3.2.1 包名稱和應用ID
        3.2.2 應用組件
        3.2.3 權限
        3.2.4 設備兼容性
    3.3 獲取應用程序的主Activity
    3.4 獲取函數調用圖
        3.4.1 FlowDroid獲取函數調用圖實現原理
        3.4.2 FlowDroid獲取函數調用圖舉例
        3.4.3 IccTA獲取函數調用圖實現原理
        3.4.4 IccTA獲取函數調用圖舉例
    3.5 建立敏感權限集
    3.6 檢查權限申請機制漏洞
        3.6.1 檢查系統調用
        3.6.2 檢查URI
        3.6.3 檢查Intent動作
        3.6.4 函數調用圖遍歷策略
    3.7 本章小結
第四章 修復權限申請機制漏洞
    4.1 提取修復元信息
    4.2 修復策略
    4.3 插樁權限檢查和申請邏輯
    4.4 插樁onRequestPermissionsResult函數
    4.5 本章小結
第五章 工具測試與結果分析
    5.1 benchmark測試結果
    5.2 Google Play數據集測試結果
    5.3 本章小結
第六章 總結與展望
    6.1 工作總結
    6.2 工作展望
參考文獻
致謝
作者簡介



本文編號：3830820