论文部分内容阅读
随着安卓系统的迭代更新和发展,运行安卓操作系统的智能手机在智能手机市场中有很高占有率,同时,安卓操作系统也是最受人们喜欢的智能手机操作系统。得益于手机硬件的快速发展和安卓操作系统的不断完善,安卓应用程序的数量跟种类也在快速增长,种类丰富的安卓应用程序涉及到我们生活和工作的方方面面,给我们的日常生活和工作带来了前所未有的便利。安卓应用家族的不断壮大,使其面临的信息安全威胁越来越多,主要包括以下三方面:第一,病毒和恶意代码窃取应用或用户隐私数据给用户带来财产损失;第二,安卓系统自身的系统设计缺陷造成的漏洞引起的信息安全问题;第三,应用开发人员开发的应用自身维护信息安全威胁能力薄弱而被恶意软件利用造成的信息泄露。对于维护安卓应用的信息安全,常规方法以检测外界恶意应用和代码为主,比如手机杀毒软件和手机卫士等。这些传统技术虽能够起到保护手机信息不受木马、病毒等外界恶意代码的侵害,一定程度上维护了安卓系统和用户的信息安全,但不能增强安卓应用自身信息安全防护能力。这种只兼外不顾内的传统维护信息安全的方式在信息安全威胁频发的今天,不能及时全面的应对不断出现的信息安全威胁。本文针对如何提高安卓应用自身维护信息安全的能力做了深入的研究。通过分析安卓系统信息安全机制以及近些年对安卓应用信息安全造成广泛影响的漏洞和设计缺陷,总结归纳出其中的15项作为安卓应用程序信息安全评估准则以及对应的渗透测试内容。本文设计实现针对安卓应用的C/S架构的渗透测试系统,基于消息会话机制以及反射机制远程调用Agent端应用数据对象实现渗透测试功能,渗透测试系统采用插件模式,针对新的信息安全漏洞可以动态的不断丰富拓展新的渗透测试功能。安卓应用程序运行在基于Linux2.6内核的安卓操作系统中,针对安卓应用信息安全的渗透测试技术,除常规的使用在Linux系统的文件遍历、SQL注入等渗透测试技术外,本文研究设计了针对安卓应用特性的一系列渗透测试技术,主要包括:针对频发信息安全问题的安卓组件的渗透测试技术;针对近年来造成广泛影响的Webview渗透测试技术以及针对动态库文件渗透测试技术等,这些渗透测试技术的增加能够覆盖目前安卓应用程序中由于自身脆弱性而造成信息安全问题的主要项目。在对安卓应用维护信息安全能力进行评估方面,本文设计以层次分析法为理论基础的评估模型。层次分析法将定性问题量化分析的核心在于构造的判断矩阵满足客观真实性与一致性的要求,为使本文的评估模型满足客观真实性,本文先建立AHP信息安全评估模型,与CVE-CVSS数据库中数据的对比可判断建立的判断矩阵是否符合客观真实性,将符合客观真实性和一致性的判断矩阵应用到ANP信息安全评估模型中,建立更加合理的信息安全评估模型。本文对安卓应用市场355个不同类别的应用程序进行渗透测试和信息安全评估,结果表明本文设计的渗透测试系统能够对安卓应用程序信息安全进行有效的渗透测试,揭露其存在信息安全问题的薄弱环节;本文的信息安全评估模型能够对发现的问题进行合理有效的分析和评估。