随着移动互联网的发展,智能手机成为人们生活中不可或缺的通讯设备。Android操作系统作为一款开源的手机操作系统,占据了移动通讯设备大量的市场份额。绝大多数的应用在使用过程中会与服务器建立网络连接,因此应用对敏感数据的保护直接关系到用户的隐私,传统的HTTP通信协议使用明文传输数据,很容易被攻击者获取敏感信息。在HTTP与传输层之间添加SSL协议可以保证网络数据的保密性,但是许多Android应用在实现SSL协议的过程中存在严重问题,其中就包括对数字证书的校验漏洞,这会对用户的隐私数据与账户安全构成严重威胁。传统的检测方法定义的漏洞代码类型不够全面,依赖于手动分析,需要耗费较多的时间与精力,检测结果不够准确,而且难以实现对应用的规模化检测。针对这些问题,本文提出了一种基于静态分析与动态分析相结合的Android应用数字证书校验漏洞的自动化检测方法。利用静态检测生成的应用信息引导动态检测,并用动态检测结果确定应用是否存在漏洞。通过静态与动态方法的结合,高效可靠地判断应用是否真正存在数字证书校验漏洞。本文主要研究工作如下:(1)本文提出了使用静态检测与动态检测相结合的方式研究Android应用中数字证书校验漏洞的自动化检测方法。在静态检测阶段,提出了四种数字证书校验漏洞类型。在动态检测阶段,使用静态检测引导动态检测,通过构建方法调用图、类调用图以及Activity调用图的方式,实现了快速触发有漏洞的代码,提高了检测效率与精度。(2)本文对Android应用的数字证书校验问题进行了系统化的研究。从Google Play与360应用市场下载了5547个应用,使用提出的方法,通过静态检测,发现其中1035个存在潜在的数字证书校验漏洞,占总应用的18.66%,通过动态检测,在中间人攻击工具上解密流量,发现485个确实存在数字证书校验漏洞,占总应用的8.47%。实验结果表明,本文提出的方法可以有效发现Android应用中数字证书校验漏洞。(3)本文系统研究了具有数字证书校验漏洞的Android应用,分析了它们的分类、版本演变以及市场排名,揭示了出现数字证书校验漏洞的内在原因与外在原因,为开发者提出了相关建议。(4)本文基于B/S架构开发了数字证书校验漏洞的自动化检测系统,用户可以通过图形化界面上传APK文件实现检测,查看检测结果。