Android应用软件敏感数据被动泄露脆弱性分析.pdfVIP

Android应用软件敏感数据被动泄露脆弱性分析 杨天长 张 文 牛少彰 史成洁 (北京邮电大学，北京100876) 摘要：Android智能手机存储了大量的敏感数据，Android系统虽然通过权 限管理和沙箱机制对这些数据提供了有效保护，但是并不能避免应用软件 由于设计和实现上的缺陷导致的敏感数据被动泄露问题。本文对Android 应用软件敏感数据被动泄露进行了系统性的脆弱性分析，设计并实现了针 Passive De— Data 对敏感数据被动泄露的自动化检测工具(Sensitive Leakage 析，根据污点传播路径的特点，有选择地对特定路径进行加密误用分析和组 件劫持分析，最后根据分析结果生成检测报告。利用该工具对具有代表性 的Android应用软件进行脆弱性分析测试，实验结果表明近50％的软件存 在敏感数据被动泄露问题。 关键词：Android；敏感数据；被动泄露；污点传播；密码误用