[发明专利]用于移动终端系统的应用安全测试方法、装置及测试工具

说明书

技术领域

本发明涉及测试领域，尤其涉及一种用于移动终端系统的应用安全测试方法、装置及测试工具。

背景技术

手机等移动终端的操作系统如安卓(android)系统中一般有几十种应用，供用户使用。但是这些应用是否安全，即是否存在泄露用户个人信息如电话号码、通信录、账户及密码等安全隐患，则需要进行测试。

目前，移动终端的应用安全测试方式不仅少，而且作用单一。如android系统的应用安全测试大都通过以下两种方式实现：

一种方式是安卓安装包(AndroidPackage，APK)形式，测试时将测试程序安装入手机，依次点击APK提供的功能并人工对其结果进行分析。

另一种方式是通过通用串行总线(Universal Serial Bus，USB)与手机相连，通过在命令行中不断地输入命令进行测试。

在实现本发明的过程中，发明人发现现有技术中至少存在如下技术问题：

由于上述两种测试方式功能单一且都由人工操作执行，导致移动终端的应用安全测试繁复，测试效率大大降低。如以APK形式对系统中的几十种应用进行测试，需要进行几十次安装，导致测试时间过长，大大降低了测试效率。第二种则需要人工针对每项应用安全测试输入命令，操作不仅繁复，而且准确性低，导致测试效率低下。

发明内容

本发明提供的用于移动终端系统的应用安全测试方法、装置及测试工具，能够提升移动终端的应用安全测试效率。

第一方面，本发明提供一种用于移动终端系统的应用安全测试方法，由测试工具执行，包括：

接收用于进行至少两项应用安全检测的测试指令；

根据所述测试指令，将相应的应用安全检测命令发送给待测试的移动终端，其中，所述相应的应用安全检测命令与所述至少两项应用安全检测相对应，用于指示所述移动终端进行所述至少两项应用安全检测；

接收所述移动终端返回的检测数据，其中，所述检测数据为所述移动终端执行所述至少两项应用安全检测的结果；

根据所述检测数据判断所述移动终端的系统中的安全隐患。

可选地，所述接收用于进行至少两项应用安全检测的测试指令，包括：

接收用于进行以下检测中的至少两项应用安全检测的测试指令：系统挂载检测、应用运行权限检测、日志敏感信息检测、文件系统权限检测和安全渗透工具检测。

可选地，所述根据所述测试指令，将相应的应用安全检测命令发送给待测试的移动终端之前，所述方法还包括：

接收配置指令，并根据所述配置指令配置敏感信息，以用于所述日志敏感信息检测。

可选地，所述根据所述检测数据判断所述移动终端的系统中的安全隐患，包括：

检查所述检测数据中是否包含有所述敏感信息，若所述检测数据中包含有 所述敏感信息，则判定所述移动终端的系统存在安全隐患；其中，敏感信息包括电话号码、通信内容、地理位置、联系人信息、账户、密码和日历活动信息中的至少一种信息。

可选地，所述根据所述测试指令，将相应的应用安全检测命令发送给待测试的移动终端，包括：

根据所述测试指令，将应用权限检测命令和意图发送检测命令中的至少一种命令发给所述移动终端。

第二方面，本发明提供一种用于移动终端系统的应用安全测试装置，设置于测试工具中，包括：

指令接收单元，用于接收用于进行至少两项应用安全检测的测试指令；

指令执行单元，用于根据所述测试指令，将相应的应用安全检测命令发送给待测试的移动终端，其中，所述相应的应用安全检测命令与所述至少两项应用安全检测相对应，用于指示所述移动终端进行所述至少两项应用安全检测；

数据接收单元，用于接收所述移动终端返回的检测数据，其中，所述检测数据为所述移动终端执行所述至少两项应用安全检测的结果；

安全分析单元，用于根据所述检测数据判断所述移动终端的系统中的安全隐患。

可选地，所述指令接收单元用于：

接收用于进行以下检测中的至少两项应用安全检测的测试指令：系统挂载检测、应用运行权限检测、日志敏感信息检测、文件系统权限检测和安全渗透工具检测。

可选地，所述装置还包括：

配置单元，用于在所述指令执行单元根据所述测试指令，将相应的应用安全检测命令发送给待测试的移动终端之前，接收配置指令，并根据所述配置指令配置敏感信息，以用于所述日志敏感信息检测。

可选地，所述安全分析单元用于：