随着移动互联网的发展和智能手机的普及,智能手机已成为大部分人生活中不可或缺的一部分,其中,Android手机占据了智能手机市场巨大的份额。虽然Android系统提供了系统级的安全机制,但是由于Android应用复杂的运行环境、程序研发人员安全意识参差不齐致使应用存在漏洞等因素,从而导致仅仅依赖Android原生安全机制来保障应用的安全性是远远不够的。本课题提出了一个基于沙箱的Android应用软件漏洞检测系统。沙箱可以为应用提供虚拟的运行环境,并能检测应用的运行行为。已有工作更多地关注如何利用沙箱识别恶意软件,而本文提出将沙箱用于应用漏洞检测技术,实现了一个轻量级的Android应用漏洞动态检测客户端。此外,该系统使用了动静结合的方式,能系统地对Android应用软件中存在的密码误用漏洞进行检测。本文具体研究内容及成果如下:1、对Android应用密码误用漏洞的风险子类进行了归类整理,通过研究Android提供的加密机制以及总结应用实际的实现方式,归纳并提取了密码误用漏洞各风险子类的漏洞描述、代码特征,并根据密码误用漏洞的特点建立了评估模型,用于对密码误用漏洞的风险子类进行安全评级。2、研究Android漏洞的静态检测方法和动态分析方法,并针对Android密码误用漏洞的各个风险子类的特点设计了静态漏洞检测策略和动态漏洞分析策略。3、研究Android应用级沙箱的原理和实现方式,实现了一个基于沙箱的Android应用软件漏洞检测系统。本文利用沙箱,为应用提供了一个虚拟的运行环境,并且能够在不修改操作系统和不修改应用软件的前提下,对应用运行行为进行检测。