[发明专利]Android应用程序安全性测试的通用方法及系统

说明书

技术领域

本发明涉及的是一种信息安全领域的技术，涉及一种对Android应用程序进行安全性测试的方法及系统。

背景技术

随着移动互联网的发展和智能设备普及，基于Android系统的各类应用程序爆发性增长。随之而来的是Android应用程序本身的安全性问题的增多。由于Android应用程序开发者水平参差不齐，开发者并没有统一的编码规范要求，开发者本身的安全意识相对薄弱，以及Android平台本身层不出穷的0day漏洞，都会导致Android应用程序出现各种漏洞并容易遭受各类攻击。

一方面，Android应用程序需要处理来自用户的各类数据，如银行类应用程序需要处理用户电子银行相关敏感信息，通信类应用程序需要处理用户隐私相关的敏感数据等，如果无法正确和安全地使用和处理这些数据将导致用户的利益遭受损失。另一方面，各个应用程序本身也遭受来自外界的威胁，Android平台恶意程序层出不穷，逆向和破解也相对容易，如果应用程序存在任何细小的安全性纰漏和差错，都有可能被利用，导致开发者本身利益受损，如版权被侵犯，算法被破解等。

目前缺乏一套通用的针对Android应用程序安全性测试的整体方法和流程，即能够对各类应用程序使用通用的方法，覆盖各个方面的安全性检测，使发行的应用程序免遭各类漏洞和攻击的侵害，导致开发者和用户的利益受损。

经过对现有技术的检索发现，中国专利文献号CN101393521公开(公告)日2009.03.25，公开了一种软件分析和信息安全技术领域的Windows应用程序内部固化数据的提取系统，可执行文件类型信息识别模块对可执行文件的格式、开发语言种类、保护类型进行识别；可执行文件反保护模块负责对受保护代码加壳保护的可执行文件进行反保护；可执行文件代码分析模块对可执行文件进行反汇编、反编译，得到汇编和高级语言代码，并得到结构和逻辑信息；密码学分析模块负责在可执行文件中有加密存储的固定的数据信息时，对可执行文件中采用的密码学算法进行识别；可执行文件调试与信息提取模块在其运行的中间过程中查看运行期间程序内部状态，从而提取信息。该技术能有效地提取和分析固定在程序中的数据信息，给出其产生方法和原始信息。但该技术只能处理Windows平台的应用程序，并且该技术主要针对包括应用程序内部结构、逻辑、密码学算法等程序内部信息提取，并无法给出应用程序在实现上的安全隐患以及应用程序安全漏洞等程序安全性相关的测试结果。

中国专利文献号CN103746992A公开(公告)日2014.04.23，公开了一种基于逆向的入侵检测系统及其方法，该技术系统包括数据提取模块、逆向分析模块、入侵规则模块、响应模块和数据管理模块。该技术方法包括：①数据提取模块捕获所有经过安卓手机的网络数据包，发送给逆向分析引擎，数据提取模块获取网络进程以及用户行为，生成系统日志和网络日志发送给数据管理模块；②逆向分析引擎通过TCP/IP协议分析技术和apk反编译逆向技术，结合系统日志和网络日志识别入侵行为；③响应模块对逆向分析引擎识别出来的入侵行为进行警告和记录；④用户所有的信息都会存放在数据管理模块中，方便以后取证查找。该技术具有安全性、时效性、可扩展性和超前性。但该系统主要通过分析网络流量和程序代码做程序和设备入侵行为检测，无法进行对应用程序本身的脆弱性和安全漏洞做出评估和检测的结果。

中国专利文献号CN102831342A公开(公告)日2012.12.19，公开了一种提高安卓系统中应用程序保护强度的方法，包括如下步骤：创建安全虚拟机，其安全虚拟机用于执行对应于其应用程序中第一程序代码指令的第二程序代码指令；创建由Dalvik虚拟机执行的第一程序代码指令与由其安全虚拟机执行的其第二程序代码指令的映射表；根据其映射表将其应用程序中的其第一程序代码指令转换为其第二程序代码指令；将其第一程序代码指令从其应用程序中删除，并将其应用程序中调用其已删除的第一程序代码指令的调用方式更改为本地调用方式；创建本地调用接口；当需要执行其应用程序中第一程序代码指令时，其Dalvik虚拟机执行其本地调用接口；其本地调用接口调用其安全虚拟机，由其安全虚拟机执行其第二程序代码指令。但该技术将技术对原有的代码实施强保护来加大程序被破解和逆向难度，但并没有本质上对程序的安全漏洞和脆弱性进行测试和评估，只是让可能存在的潜在漏洞被发现和利用的难度加大。

发明内容