[发明专利]Android应用漏洞检测方法及系统

摘要

本发明提供一种Android应用漏洞检测方法，包括步骤一、通过分析待检测Android应用的Content Provider接口特征，判断其是否可能存在隐私泄露漏洞；步骤二、如果可能存在，针对可能存在隐私泄露漏洞的待检测Android应用，通过对Android系统中相关API函数的监控，对待检测Android应用的公开可访问URI进行SQL注入漏洞测试和路径遍历漏洞测试，检测被动数据泄露安全风险。本发明还提供一种Android应用漏洞检测系统。上述方法和系统能够基于动态测试执行效果来快速发现Android应用中确定存在的隐私泄露和数据污染漏洞，并且避免误报，为大规模发现Android应用中隐私泄露与数据污染类安全漏洞提供了有力支持。

主权项

一种Android应用漏洞检测方法，包括：步骤一、通过分析待检测Android应用的Content Provider接口特征，判断其是否可能存在隐私泄露漏洞；步骤二、如果可能存在，针对可能存在隐私泄露漏洞的待检测Android应用，通过对Android系统中相关API函数的监控，对待检测Android应用的公开可访问URI进行SQL注入漏洞测试和路径遍历漏洞测试，检测被动数据泄露安全风险；其中，步骤一进一步包括：解析AndroidManifest.xml文件，查找是否存在Content Provider标签；如果存在，解析Content Provider标签的属性信息；检测exported属性，是否设置为暴露；如果exported设置为暴露，检测Content Provider声明的权限信息，当声明的权限信息中设置了permission，那么没有授权就不可访问，不存在隐私泄露问题，也不存在数据污染问题；当设置了readPermission，就只能在有权限时可读，不存在隐私泄露问题，但可能存在数据污染；当设置了writePermission，就只能在有权限时可写，不存在数据污染问题，但可能存在隐私泄露；其中，步骤二进一步包括：对运行待检测应用的Android系统框架进行监控代码的插桩，监控Content Provider与SQLite数据库操作的数据查询API函数；生成SQL注入测试用例，调用待检测应用的Content Provider接口执行测试用例，检测是否存在SQL注入漏洞；如果存在，通过执行测试用例，获取URI的数据查询游标(Cursors)，通过游标遍历出数据表的列名和内容；获取存在SQL注入漏洞的结果集；其中，步骤二进一步包括：检测是否可以通过URI的基本路径往上层层遍历到Android的各项目录下，抓取含有用户隐私的危险数据文件；如果存在，获取存在基本路径遍历漏洞的结果集。