本發明公開了一種Android應用升級包本地存儲安全性檢測方法，本方法通過對待檢測程序進行程序切片，精準地提取與漏洞檢測相關的所有程序切片，并對切片后的程序進行數據流分析，從而實現對升級包本地存儲安全性的檢測。與傳統的數據流分析相比，該方法克服了分析過程中的盲目性，使得所有分析更加有針對性，提高了數據流分析的效率。

技術領域

本發明涉及一種Android應用升級包本地存儲安全性檢測方法，尤其是涉及一種基于程序切片和數據流分析的方法來檢測Android應用升級包存儲安全漏洞。

背景技術

市面上大多數Android程序都有自動升級功能，該功能會從服務器獲取應用升級包來更新應用，將獲取到的應用升級包保存到本地存儲中，調用android系統的安裝服務來進行應用更新操作。但是當從服務器上下載的應用升級包被存儲到其他應用程序可以訪問的存儲位置時，就可能被其他應用程序獲取并對應用升級安裝包進行修改或者替換，從而誘導用戶安裝惡意軟件。因此，為了盡早發現這種存在的升級包存儲安全的漏洞，應該進行對應的漏洞分析。

目前，已有的檢測升級包安全性的方法通過對手機中存儲的升級包進行分析，獲取升級包安全關鍵信息，通過比較獲取的安全關鍵信息和與原生安全關鍵信息，從而判斷當前升級包是否被修改過。

盡管上述方法對升級包安全性檢測能夠很大程度上對應用進行安全保障，通常只關注了升級包的內容本身的安全性，并沒有考慮升級包存儲位置的安全性。與此同時，上述檢測方法僅當惡意程序對升級包進行修改和替換之后才能夠檢測出來，并不能夠提前對升級包存儲的安全性進行評估和判斷。

發明內容

為了克服上述現有檢測技術存在的弊端，有效防范升級包被替換和修改，本發明提出一種Android應用升級包本地存儲安全性檢測方法，直接檢測升級包存儲位置的安全，從而保證升級包不會被其他應用修改或者替換。

實現本發明目的的技術解決方案為：一種Android應用升級包本地存儲安全性檢測方法，包含如下步驟：

1）使用現有的Android應用程序逆向分析技術將待檢測的應用程序進行逆向處理，將Android應用程序代碼邏輯還原為字節碼文件，這些字節碼文件中存放了該應用程序所有的功能代碼。

2）對步驟1）中獲取的字節碼文件進行解析，對該Android應用程序進行建模分析。分析所有的字節碼文件，從中獲取到該應用中所有方法調用關系、方法內控制流信息和系統函數調用信息，將這些信息保存起來。其中方法調用關系包含直接調用關系和間接調用關系。直接調用關系可以直接從字節碼中查找到，間接調用則包含Android應用事件處理函數調用、Handler消息傳遞函數調用和異步任務函數調用。

3）遍歷逆向處理獲取到的所有字節碼文件，使用升級包存儲特征規則標記字節碼中存在的所有文件輸出流的關鍵API和該API操作的參數，將所有文件輸出流的對象創建的關鍵API作為疑似漏洞點，從該疑似漏洞點中獲取到所操作文件句柄作為特征變量。

4）將步驟3）中獲取到的疑似漏洞點作為漏洞檢測的入口點，結合步驟2）中存儲的方法調用關系、方法內控制流信息和系統函數調用信息，構建出能夠執行到該檢測點的所有程序路徑信息，獲取到相關的字節碼語句序列。

5）遍歷步驟4）中每一條構建的程序路徑信息，對步驟3）中的特征變量進行程序切片，將該路徑信息中所有和特征變量相關的指令全部取出來，提取出一段獨立的字節碼語句序列。

6）對步驟5）中切片后的字節碼語句序列進行逆向數據流分析，數據流分析的過程中對字節碼語句指令語義進行分析，獲取被操作文件句柄的文件類型、文件內容來源和文件存儲路徑信息。使用不安全存儲漏洞檢測方法來對上述信息進行判斷，將檢測結果保存下來。其中數據流分析方法包含但不限于：污點分析方法、符號執行方法。

7）當步驟4）中所有的疑似漏洞點已經全部完成分析，使用檢測中保存的信息來生成相應的漏洞檢測報告。