买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!
申请/专利权人:西安电子科技大学;杭州安恒信息技术股份有限公司
摘要:本发明公开了一种安卓应用中自定义权限的误用问题检测系统,包括信息提取模块、静态分析模块和权限匹配模块,其中,信息提取模块用于从目标应用程序中提取权限和组件的相关信息,并根据相关信息获取所有Manifest配置文件错误;静态分析模块用于从目标应用程序的smali文件中获取各类权限信息,并采用前向切片和后向切片检测部分组件调用方误用问题;权限匹配模块用于利用信息提取模块和静态分析模块所获取的权限信息进行匹配,以检测目标应用中是否存在组件提供方误用问题以及部分组件调用方误用问题。本发明总结了十种自定义权限的误用问题,基于这些自定义权限误用的问题开发了一个误用问题检测系统,用于自动检测每种类型的自定义权限误用问题。
主权项:1.一种安卓应用中自定义权限的误用问题检测系统,其特征在于,包括信息提取模块、静态分析模块和权限匹配模块,其中,所述信息提取模块用于从目标应用程序中提取权限和组件的相关信息,并根据所述相关信息获取所有Manifest配置文件错误,所述相关信息包括目标应用程序申请的权限名称、自定义的权限名称、自定义权限的保护级别、组件中使用的权限名称、设置的导出属性以及使用的意图过滤器;所述静态分析模块用于从目标应用程序的smali文件中获取各类权限信息,并对目标应用程序采用前向切片和后向切片,以检测部分组件调用方误用问题;所述权限匹配模块用于利用所述信息提取模块和所述静态分析模块获取的权限信息进行匹配,以检测目标应用程序中是否存在组件提供方误用问题以及部分组件调用方误用问题;所述信息提取模块包括反编译单元、解析单元、数据库单元和系统权限获取单元,其中,所述反编译单元用于获取目标应用程序中的smali文件和Manifest配置文件;所述解析单元用于对所述Manifest配置文件进行分析,获取目标应用程序有关权限和组件的所有信息并根据元素属性名称和相对位置检测是否符合安卓Manifest配置文件的书写要求,获取所有Manifest配置文件错误,所述Manifest配置文件错误包括元素位置错误、无法解析的元素或属性名字以及属性值位置错误;所述数据库单元用于对提取的有关权限和组件的所有信息进行保存;所述系统权限获取单元用于获取目标应用程序所在的安卓程序中多个系统权限,并按特定格式将所有系统权限添加至所述数据库单元中,所述权限匹配模块包括组件提供方误用问题检测单元以及组件调用方误用问题检测单元,其中,所述组件提供方误用问题检测单元用于:通过提取所述数据库单元中组件的配置信息,查看组件是否在未使用权限的情况下将“android:exported”属性显式设置为true或者使用了意图过滤器元素,以检测否存在未受保护的组件,将组件使用的权限和系统权限进行比较以排除组件使用系统权限的情况,随后将组件使用的权限和数据库单元中已定义的权限与为组件设置的“android:permission”进行比较,以检测使用未定义限权的问题;编写正则表达式以检测不合格的权限名称;所述组件调用方误用问题检测单元用于:计算已定义权限与已在组件中使用的权限的差集,检测申请未定义权限的问题;获取接收广播所需要的权限并判断权限是否属于系统权限,并将所述权限与数据库单元中定义的权限相匹配,以检测使用未定义的权限发送隐式意图的问题。
全文数据:
权利要求:
百度查询: 西安电子科技大学 杭州安恒信息技术股份有限公司 一种安卓应用中自定义权限的误用问题检测系统和方法
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。