[发明专利]Android应用程序安全性测试的通用方法及系统

权利要求书

1.一种Android应用程序安全性测试的通用方法，其特征在于，包括以下步骤：

1)对待测试程序解包并进行反编译，得到XML源代码；

2)通过静态分析待测试程序的配置文件和代码，进行包括：组件暴露漏洞、密码学误用、webview代码执行漏洞、代码保护方面的静态漏洞检测和安全测试；

3)将待测试程序进行实际运行并配置网络检测环境；

4)进行动态分析，对信息泄漏、数据传输安全和数据存储安全三个方面的动态漏洞检测和安全测试；

5)得出漏洞检测和安全测试报告。

2.根据权利要求1所述的Android应用程序安全性测试的通用方法，其特征是，所述的步骤1)具体包括：

1.1解压apk程序包，得到其中的可执行文件、Android主清单文件以及资源文件；

1.2反编译dex可执行文件，得到smali代码或Java代码；

1.3解码主清单文件Manifest.xml以及其他资源文件，得到xml明文源代码。

3.根据权利要求1所述的Android应用程序安全性测试的通用方法，其特征是，所述的步骤2)具体包括：

2.1扫描第一步得到的manifest文件，通过对组件属性值的分析进行组件暴露漏洞的检测；

2.2扫描第一步得到的dex可执行文件的反编译代码，通过分析加密函数的加密消息、加密算法、加密密钥等参数进行密码学误用的检测；

2.3扫描第一步得到的dex可执行文件的反编译代码，通过分析webview使用到的具体有漏洞存在的函数调用接口，来检测是否存在webview代码执行漏洞；

2.4对应用程序进行重打包尝试，来判断应用程序是否做了防止二次重打包保护；扫描第一步得到的dex可执行文件的反编译代码，来判断应用程序是否做了代码混淆保护。

4.根据权利要求1所述的Android应用程序安全性测试的通用方法，其特征是，所述的步骤3)具体包括：

3.1将待测试程序安装于实际设备中进行运行；

3.2将实际设备通过USB连接至分析主机，并打开设备上的USB调试选项；

3.3配置网络使分析主机可以捕捉待测试程序的网络通信流量。

5.根据权利要求4所述的Android应用程序安全性测试的通用方法，其特征是，所述的捕捉采用：

a)使实际设备连接分析主机设置的无线接入点，设置设备上的WIFI接入点的代理服务器为分析主机，并在分析主机上开启代理服务功能；或者是

b)在分析主机上打开网络监控软件监控待测试程序的网络发送和接收的数据。

6.根据权利要求1所述的Android应用程序安全性测试的通用方法，其特征是，所述的步骤4)具体包括：

4.1正常使用待测试程序，并在运行过程中，通过USB与分析主机相连并检测待测试程序在设备上打印的日志信息判断是否有敏感信息的泄漏；

4.2正常使用待测试程序，并利用分析主机上的网络监控来捕捉待测试程序的网络通信数据，在运行过程中，分析其网络通信传输是否为明文以及传输密文是否被破解的安全问题；

4.3正常使用待测试程序，并在运行过程中，分析待测试程序存储的数据和文件是否能被读写或者执行以判断其数据存储的安全性。

7.根据权利要求6所述的Android应用程序安全性测试的通用方法，其特征是，所述的敏感信息包括：加密算法密钥、本该加密的通信数据包的明文、第三方无法读取的文件内容、涉及用户隐私如联系人短信。

8.根据权利要求6所述的Android应用程序安全性测试的通用方法，其特征是，所述的漏洞检测和安全测试报告包括：被暴露的应用程序组件列表、应用程序存在密码学误用情况的代码片段列表、应用程序中存在webview代码执行漏洞的代码片段列表、是否做了重打包保护和是否做了代码混淆的判断结果、被泄露的敏感信息列表、通信数据是否加密，若加密使用SSL则是否实现证书绑定，是否实现证书正确验证、存储的数据是否可被第三方非授权获取。