[发明专利]一种Android车载终端系统漏洞检测系统及方法

说明书

本发明涉及一种Android车载终端系统漏洞检测系统及方法，该检测系统包括车载终端系统漏洞库模块、车载终端系统漏洞检测模块、车载终端系统漏洞检测报告生成模块。该系统可以检测已连接的Android车载终端系统中存在的漏洞，并将检测结果报告给用户。通过对现有方法以及检测工具的调研分析，本发明基于Trade Federation测试框架，辅以车载终端系统漏洞测试用例构建，最终实现Android车载终端系统漏洞检测。该漏洞检测系统可以实现对设备的管理、测试用例的管理、测试任务的调度执行等功能，有利于帮助及时发现并修复系统漏洞以提高车载终端操作系统的安全性。

技术领域

本发明是一种漏洞检测技术，属于信息安全中的软件安全技术领域，具体涉及一种Android车载终端系统漏洞检测系统及方法。

背景技术

由于Android车载终端系统是基于Android系统的，并且系统架构与其基本相同，所以在Android系统上进行漏洞检测的方法同样可以移植到车载终端系统上。目前国内有代表性的Android系统漏洞检测工具主要有：供应商测试套件VTS(Vendor Test Suite)和X-Ray，但也存在兼容性较差的局限性。

X-Ray可以检测Android设备中未修复的漏洞，X-Ray详细了解了一类被称为“特权升级”的漏洞。恶意应用程序可利用此类漏洞获取设备上的root权限，并执行通常受Android操作系统限制的操作。经调研，X-Ray工具的检测原理是组织了一些漏洞PoC，遍历执行PoC脚本，然后回收漏洞触发结果。该工具的检测流程十分简单，可以测试的漏洞数量只有十几个，同时在较高的操作系统版本上存在兼容性差以及不稳定的问题。

2015年末，NowSecure发布了一个Android漏洞测试套件Android VTS，该测试套件的测试原理与X-Ray十分相似，其测试范围包括X-Ray未测试的几个漏洞。该检测工具同样存在在较高的操作系统版本上运行不稳定甚至崩溃的问题。

国内外几乎没有针对Android系统漏洞的自动化测试框架，但是Android系统的自动化测试框架却十分成熟，主要有以下几种工具：Monkey、MonkeyRunner、Instrumentation、Trade Federation。

Monkey是Android SDK自带的测试工具，是一个命令行工具，可以运行在模拟器中或者实际设备中，它向系统发送伪随机的用户事件流，实现对正在开发的应用程序进行压力测试。但是该工具的测试事件和数据都是随机的，不可以自定义，也无法进行二次开发利用。

MonkeyRunner是Android SDK提供的测试工具。严格意义上来说MonkeyRunner其实是一个Api工具包，比Monkey强大，可以编写测试脚本来自定义数据、事件。但是该工具执行速度太慢，自动化程度较低。

Instrumentation：该测试框架主要针对android平台的应用进行黑盒自动化测试，它提供了模拟各种手势操作、查找和断言机制的API，能够对各种控件进行操作。使用Instrumentation，可以在主程序启动之前，创建模拟的系统对象，如Context；控制应用程序的多个生命周期；发送UI事件给应用程序；在执行期间检查程序状态。该测试框架比较适用于针对应用程序的测试，但并不满足针对Android设备测试的需求。

Trade Federation(简称tradefed或TF)是一种连续的测试框架，专门用于在Android设备上运行测试。这款Java应用会在主机上运行，并会通过adb与一部或多部Android设备进行通信。功能特点有：模块化、灵活、可扩展的设计；内置对运行很多不同类型Android测试的支持：instrumentation、uiautomator、native/gtest、基于主机的JUnit等等；在adb的基础之上提供可靠性和恢复机制；支持同时在多部设备上安排和运行测试。该测试框架主要是针对Android设备进行测试，比较符合本文中对Android系统进行检测的功能需求。