摘 要: | 为了减少Android系统用户的隐私数据泄露问题,提出一种针对Android应用程序源码的漏洞挖掘方法。该方法在Android漏洞库和权限方法集合的基础上,采用静态分析得到Android特有的权限漏洞矩阵代数式和漏洞点处测试用例,基于漏洞知识对测试用例变异得到半有效数据,利用污点注入和数据流分析进行Fuzzing挖掘。经过对400个Android应用程序源码进行实例分析,结果表明该方法不仅能挖掘常规漏洞,而且在Android特有的权限信息漏洞挖掘方面效果明显。利用约束分析得到的测试用例数量少,而通过漏洞知识得到的半有效数据的针对性强,并且代码覆盖率和精确度较高。
|