[发明专利]Android应用升级包本地存储安全性检测方法

说明书

本发明公开了一种Android应用升级包本地存储安全性检测方法，本方法通过对待检测程序进行程序切片，精准地提取与漏洞检测相关的所有程序切片，并对切片后的程序进行数据流分析，从而实现对升级包本地存储安全性的检测。与传统的数据流分析相比，该方法克服了分析过程中的盲目性，使得所有分析更加有针对性，提高了数据流分析的效率。

技术领域

本发明涉及一种Android应用升级包本地存储安全性检测方法，尤其是涉及一种基于程序切片和数据流分析的方法来检测Android应用升级包存储安全漏洞。

背景技术

市面上大多数Android程序都有自动升级功能，该功能会从服务器获取应用升级包来更新应用，将获取到的应用升级包保存到本地存储中，调用android系统的安装服务来进行应用更新操作。但是当从服务器上下载的应用升级包被存储到其他应用程序可以访问的存储位置时，就可能被其他应用程序获取并对应用升级安装包进行修改或者替换，从而诱导用户安装恶意软件。因此，为了尽早发现这种存在的升级包存储安全的漏洞，应该进行对应的漏洞分析。

目前，已有的检测升级包安全性的方法通过对手机中存储的升级包进行分析，获取升级包安全关键信息，通过比较获取的安全关键信息和与原生安全关键信息，从而判断当前升级包是否被修改过。

尽管上述方法对升级包安全性检测能够很大程度上对应用进行安全保障，通常只关注了升级包的内容本身的安全性，并没有考虑升级包存储位置的安全性。与此同时，上述检测方法仅当恶意程序对升级包进行修改和替换之后才能够检测出来，并不能够提前对升级包存储的安全性进行评估和判断。

发明内容

为了克服上述现有检测技术存在的弊端，有效防范升级包被替换和修改，本发明提出一种Android应用升级包本地存储安全性检测方法，直接检测升级包存储位置的安全，从而保证升级包不会被其他应用修改或者替换。

实现本发明目的的技术解决方案为：一种Android应用升级包本地存储安全性检测方法，包含如下步骤：

1）使用现有的Android应用程序逆向分析技术将待检测的应用程序进行逆向处理，将Android应用程序代码逻辑还原为字节码文件，这些字节码文件中存放了该应用程序所有的功能代码。

2）对步骤1）中获取的字节码文件进行解析，对该Android应用程序进行建模分析。分析所有的字节码文件，从中获取到该应用中所有方法调用关系、方法内控制流信息和系统函数调用信息，将这些信息保存起来。其中方法调用关系包含直接调用关系和间接调用关系。直接调用关系可以直接从字节码中查找到，间接调用则包含Android应用事件处理函数调用、Handler消息传递函数调用和异步任务函数调用。

3）遍历逆向处理获取到的所有字节码文件，使用升级包存储特征规则标记字节码中存在的所有文件输出流的关键API和该API操作的参数，将所有文件输出流的对象创建的关键API作为疑似漏洞点，从该疑似漏洞点中获取到所操作文件句柄作为特征变量。

4）将步骤3）中获取到的疑似漏洞点作为漏洞检测的入口点，结合步骤2）中存储的方法调用关系、方法内控制流信息和系统函数调用信息，构建出能够执行到该检测点的所有程序路径信息，获取到相关的字节码语句序列。

5）遍历步骤4）中每一条构建的程序路径信息，对步骤3）中的特征变量进行程序切片，将该路径信息中所有和特征变量相关的指令全部取出来，提取出一段独立的字节码语句序列。

6）对步骤5）中切片后的字节码语句序列进行逆向数据流分析，数据流分析的过程中对字节码语句指令语义进行分析，获取被操作文件句柄的文件类型、文件内容来源和文件存储路径信息。使用不安全存储漏洞检测方法来对上述信息进行判断，将检测结果保存下来。其中数据流分析方法包含但不限于：污点分析方法、符号执行方法。

7）当步骤4）中所有的疑似漏洞点已经全部完成分析，使用检测中保存的信息来生成相应的漏洞检测报告。