[发明专利]移动应用中隐私信息泄露的静态检测方法

摘要

本发明公开一种移动应用中隐私信息泄露的静态检测方法，包括首先检查代码的完备性，如果代码不完备则对源代码进行准备工作，加载隐私泄露对应的状态机描述文件，得到相关的状态机信息，对源代码进行编译，得到类和函数等的详细信息，对源代码进行预分析，生成抽象语法树等基本数据结构，得到函数间的调用关系。再以函数为单位进行检测分析，根据状态机中关联的方法来为各个状态机创建状态机实例，在函数对应的控制流图上进行状态机实例迭代，当状态机实例进入错误状态时，报告错误，在检测完成后人工对检测到的错误进行检查，确认检测结果。应用本发明能够有效检测不同操作系统平台的应用程序中存在的隐私泄露代码，有效防止用户隐私信息泄露。

主权项

一种移动应用中隐私信息泄露的静态检测方法，其特征在于，包括如下步骤：A、取得源代码输入，根据操作系统的应用特征，对源代码进行完备性检查；B、根据步骤A中检查的结果，若代码完备则执行步骤D，否则执行步骤C；C、对源代码进行预处理工作，使得源代码能够正确的通过编译，然后执行步骤D；具体包括：C1、关联资源文件，根据project.properties文件得到应用使用的SDK版本，然后调用SDK提供的aapt命令生成R.java；C2、检查应用中是否存在AIDL接口文件，如果存在AIDL接口文件，那么调用SDK提供的aidl工具生成AIDL接口文件对应的Java文件；D、加载要检测的隐私信息对应的状态机描述文件，得到对应的隐私泄露的状态机；具体包括：D1、状态机描述文件存放在程序指定目录，读取指定目录的文件列表，得到需要检测的隐私信息对应的状态机描述文件；D2、状态机描述文件是用xml语言编写的，调用状态机加载方法，读取每个状态机描述文件，生成状态机以及状态机包含的状态、转换以及转换条件的集合；E、编译源代码对源代码进行预分析，得到每个类的抽象语法树，并且在抽象语法树的基础上生成符号表，控制流图，定义使用链和函数调用关系的数据结构，为后续的分析做好准备工作；F、根据函数调用关系确定文件的调用关系，进而确定文件的分析顺序，在文件内部确定文件内的函数调用关系，以函数为单位生成函数摘要；G、以函数为单位进行隐私泄露的检测工作，根据加载的状态机在函数中创建状态机实例，在函数的控制流图上进行状态机实例的迭代，在每个控制流节点上计算该节点对状态机实例的影响，检查状态机实例的状态转换条件，如果符合条件就进行状态转换；如果转移到错误状态就报错；H、检查是否所有函数已经检查完毕，如果没有则继续执行步骤G，如果全部检测完毕就结束控制流迭代，继续步骤I；I、将检测结果写入文件中，人工对检测结果进行校对，检查是否存在误报情况。