随着移动互联网的发展,以智能手机为代表的移动终端设备在日常生活中广泛普及。Android手机的大规模使用使得Android应用数量呈指数级急剧增长,应用安全问题层出不穷,难以对应用市场上繁杂的Android应用实施统一有效的行为监管。其中,由于Android移动终端中存储了用户大量的隐私数据,包括通讯录、短信等,且随着大数据技术的发展,Android系统更加成为获取用户隐私信息的主要渠道。更值得担忧的是,用户的隐私信息究竟被谁获取,又被如何使用,在用户对移动应用安全性和个人隐私更加重视的今天,用户始终无法得到明确答案。本文针对Android系统及应用普遍存在的隐私泄露问题,细化隐私泄露分析的研究粒度,按照开发主体的不同,将一个Android应用划分为主应用程序和多个第三方库,其中第三方库的隐私泄露风险对应用开发者和用户都是不可控的,是隐私泄露流向的关注重点。本文在理论研究基础上,提出了两个不同级别的Android平台隐私泄露分析工具,提供了细粒度动态分析技术。主要研究内容如下:(1)通过网络流和逆向分析,研究Android应用源码,静态分析Android应用隐私泄露特征,总结提出了 Android应用中主程序和第三方库隐私泄露的三种路径模型,作为隐私泄露研究的理论基础。(2)创新性地将静态第三方库检测技术与动态Xposed框架相结合,设计细粒度隐私泄露分析工具,作为轻量级插件实时评估第三方库隐私泄露风险。(3)为更全面地追踪隐私流传播过程,根据Android系统隐私泄露特征,从系统角度深入研究,设计实现了细粒度双向追踪隐私泄露分析FineDroid系统。定义隐私流传播过程,跟踪分析隐私获取、传播、泄露及返回流接收、传播全过程。分析过程区分主应用程序和第三方库等不同主体,以隐私流实际传播过程信息为依据,通过与细粒度隐私泄露路径模型进行匹配,多角度、全方位动态评估每条隐私流的隐私泄露风险。对于本文设计的两种分析工具,基于Xposed的轻量级插件应用简单,无需修改Android系统、无需修改应用程序、资源消耗小;系统级FineDroid工具基于系统底层的分析更加真实可靠,多维度对隐私泄露合理性的评估体系更加贴合实际应用场景,实际应用价值高。两种工具可以满足多种应用场景的需求。通过大规模应用检测的实验验证了两种工具的可行性和有效性。本文研究有效地解决了用户的隐私信息究竟是被谁获取,又是被如何使用的难题。