[发明专利]Android应用权限泄露漏洞的测试方法及系统在审
| 申请号: | 201410232423.6 | 申请日: | 2014-05-29 |
| 公开(公告)号: | CN103996007A | 公开(公告)日: | 2014-08-20 |
| 发明(设计)人: | 诸葛建伟;杨坤;王永科;魏克;段海新 | 申请(专利权)人: | 诸葛建伟 |
| 主分类号: | G06F21/57 | 分类号: | G06F21/57 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 100871 北京市海淀区*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明提供一种Android应用权限泄露漏洞的测试方法,包括:步骤一、从Android应用程序包中的Manifest文件提取所有对外公开的Service和Broadcast Receiver组件;步骤二、针对Android应用中Service和Broadcast Receiver两种模块间通讯组件接口,提取Action、Data和Extras信息,构造作为模糊测试输入的Intent对象;步骤三、通过ICC机制,由代理应用向应用目标组件通讯接口发送构造好的Intent对象;和步骤四、通过修改Android系统中的权限检查函数,监控权限检查日志情况,基于日志作出是否发生权限泄露的判断。本发明还提供一种Android应用权限泄露漏洞的测试系统。本发明提供的方法和系统无需人工参与,为大规模自动化发现Android应用中权限泄露安全漏洞提供了有力支持,并且具有无误报和低漏报的优点。 | ||
| 搜索关键词: | android 应用 权限 泄露 漏洞 测试 方法 系统 | ||
【主权项】:
一种Android应用权限泄露漏洞的测试系统,包括:控制端和位于Android系统上的代理端;其中,代理端包括:系统权限检查模块,适于通过修改Android系统中的权限检查函数,将通过检查的权限相关信息记录到系统日志中;Extra信息获取模块,适于通过修改Android系统中的获取Extras信息函数,将所获取的Extras信息的键和值数据类型相关信息记录到系统日志中;和代理应用模块,适于接收控制端构造好的Intent对象,然后通过Android ICC机制发送至待测试应用的目标组件;其中,控制端包括:Intent构造模块,分别与所述Extra信息获取模块和代理应用模块连接,适于通过所述代理应用模块从待测试应用中提取Action、Data信息,适于利用从所述Extra信息获取模块得到Android系统反馈的Extras信息的键和值数据类型,构造合适的Extras键值对信息,还适于基于以上得到的Action、Data和Extras信息构造Intent对象,并通过代理应用模块发送至待测试应用的目标组件;和权限泄露检测模块,与所述系统权限检查模块连接,适于获取所述系统权限检查模块对所述待测试应用的权限检查输出的日志,判断所述待测试应用是否存在权限泄露漏洞。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于诸葛建伟,未经诸葛建伟许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201410232423.6/,转载请声明来源钻瓜专利网。
- 上一篇:一种体内组织直接修复与成形的医疗系统及其修复方法
- 下一篇:三尖瓣修复设备
