[发明专利]基于静态检测的Android应用生物认证安全性方法

说明书

一种基于静态检测的Android应用生物认证安全性方法，从待测的应用安装包中提取静态资源文件并收集得到应用基本信息；通过逆向工程，使用Soot分析工具与Soot‑infoflow‑android Android静态分析工具反编译应用安装包内的DEX文件，获得Jimple中间语言，并加载至全局内存空间；通过静态分析技术对应用程序生物认证接口使用情况进行生物认证接口安全性分析与第三方依赖库识别分析，以排除生物认证接口误用、生物认证接口与密码学对象配套使用误用，并通过异步回调得到应用自身生物认证接口实现安全性和/或其使用的生物认证依赖库的生物认证接口使用安全性。本发明能够自动化识别App中是否存在Android生物认证可被绕过的安全风险，并支持高效且批量分析Android App或其使用的第三方生物认证依赖库误用Android生物认证接口造成的安全漏洞。

技术领域

本发明涉及的是一种信息安全领域的技术，具体是一种基于静态检测的Android应用生物认证安全性方法。

背景技术

现有Android应用开始使用系统提供的生物认证接口来给用户提供方便快捷的生物认证取代传统的密码认证。但生物认证接口的误用可能会导致高权限攻击者轻松绕过生物认证，从而实现无需密码与合法的生物信息也能完成应用的生物认证。同样，第三方开发的开源生物认证依赖库或内部开发的生物认证依赖库可能存在Android生物认证接口误用的情况，并且相较于前者影响更为广泛，安全威胁更大。

发明内容

本发明针对现有技术存在的上述不足，提出一种基于静态检测的Android应用生物认证安全性方法，能够自动化识别App中是否存在Android生物认证可被绕过的安全风险，并支持高效且批量分析Android App或其使用的第三方生物认证依赖库误用Android生物认证接口造成的安全漏洞。

本发明是通过以下技术方案实现的：

本发明涉及一种基于静态检测的Android应用生物认证安全性方法，包括：

步骤1)从待测的应用安装包中提取静态资源文件并收集得到应用基本信息，具体为：将应用安装包作为ZIP加载至内存，并使用文件指针从内存中读取应用安装包中部分静态资源文件的动态链接库，例如AndroidManifest.xml与Android Native等，并通过字符串搜索匹配得到应用基本信息。

所述的应用基本信息包括：应用安装包样本散列值、应用权限申请清单以及应用代码保护方案，通过应用基本信息可以预判应用是否申请生物认证权限，并针对可能存在的代码保护方案进行预判，加快后续分析速度同时避免误报产生。

步骤2)通过逆向工程，使用Soot分析工具与Soot-infoflow-android Android静态分析工具反编译应用安装包内的DEX文件，获得Jimple中间语言，并加载至全局内存空间；

优选地，在反编译时采用黑名单配置避免Android SDK附带的与应用程序无关的类被同时反编译带来的性能损失。

步骤3)通过静态分析技术对应用程序生物认证接口使用情况进行生物认证接口安全性分析与第三方依赖库识别分析，以排除生物认证接口误用、生物认证接口与密码学对象配套使用误用，并通过异步回调得到应用自身生物认证接口实现安全性和/或其使用的生物认证依赖库的生物认证接口使用安全性。

所述的生物认证接口安全性分析，具体包括：

①从步骤2得到的全局内存空间获得反编译后的应用中间代码，对应用中存在的所有类进行枚举，并使用Android生物认证接口类签名与枚举的类的父类类名进行字符串匹配，初步过滤出应用中存在的继承了Android系统生物认证接口的类。

②通过递归搜索，检查初步筛选出的类重写的onAuthenticationSucceed回调方法中是否调用了回调参数结果对象中的getCryptoObject方法，从而判断应用程序调用生物认证接口是否安全。