本發明公開了一種檢測安卓混合型app安全漏洞的靜態分析方法，涉及信息安全檢測領域，包括以下步驟：對apk進行反匯編；對得到的jimple代碼進行配置檢測；對js bridge進行語義分析，提取jsbridge方法；分析js側的危險調用，替換webview模塊，覆蓋加載h5url的方法，在其中注入js bridge方法和sink方法，將重打包的app輸入到flowdroid進行分析；拉取h5頁面生成抽象語樹，在js代碼定位js側的jsbridge方法；使用selenium對h5頁面中的jsbridge方法模糊測試；匯總分析結果。該方法能夠準確檢測出安全漏洞。

技術領域

本發明涉及信息安全檢測領域，尤其涉及一種檢測安卓混合型app安全漏洞的靜態分析方法。

背景技術

隨著移動互聯網的發展，安卓App的需求也越來越強烈，Android開發者在GooglePlay、華為應用市場分發了大量的Android應用程序供用戶使用，完成不同的操作功能。目前，Android應用程序主要分為三類：native app、web app和混合app。Native app是基于安卓操作系統，采用原生語言開發的應用程序，它可以借助操作系統直接訪問資源，如攝像頭、通訊錄等數據，并且運行流暢，但對開發人員的要求高一些，而且需要用戶去應用市場下載安裝。Web app是利用HTML、css以及javascript等網頁開發語言開發的應用程序，開發者不需要具備專業的移動開發經驗，只需了解網絡編程就可以開發web app，這種類型的app比較容易構建和分發，不需要上傳到專門的安卓應用市場，缺點是不能直接訪問用戶的設備資源，用戶體驗較差。

如今，越來越多的安卓app開發傾向于使用混合(Hybrid)開發模式。混合開發是一種取長補短的開發模式，即原生代碼部分利用WebView控件或者其它框架為H5提供容器，應用程序的框架是使用原生代碼開發，而經常會變動和業務相關的頁面則使用h5進行展示。目前已經有眾多流行的混合app，如抖音、淘寶、今日頭條等。由于混合開發模式中WebView容易使用，深受移動開發人員的喜愛。研究顯示，大約80％的安卓應用使用WebView。

Android混合app主要包含了一個或多個WebView，WebView是混合應用的關鍵組件之一。WebView為應用程序提供了一個顯示web頁面的空間，同時也是native層和web層的一個接口，并且能夠將native層的對象綁定到web中供javascript調用本地java方法。開發人員可分別開發native層的功能模塊和web層的功能模塊，極大地提高了開發的效率。

但是Native與WebView的交互機制很復雜，在安卓應用中容易引發各種安全問題，如用戶敏感信息的泄露、網絡釣魚攻擊、惡意廣告加載等。因此，如何有效檢測出混合型app的安全問題，是一個值得深入研究的課題。

因此，本領域的技術人員致力于開發一種檢測安卓混合型app安全漏洞的靜態分析方法，以準確檢測出安全漏洞。

發明內容

有鑒于現有技術的上述缺陷，本發明所要解決的技術問題是如何檢測安卓混合型app安全漏洞。

為實現上述目的，本發明提供了一種檢測安卓混合型app安全漏洞的靜態分析方法，包括以下步驟：

步驟1、對apk進行反匯編，得到jimple代碼；

步驟2、對所述jimple代碼進行配置檢測；

步驟3、根據預先總結的js和native互相通信的方式，對js bridge進行提取，基于soot工具，檢測出所有的js bridge方法；其中，所述互相通信的方式包括攔截URl請求的方式、攔截prompt、alert函數的方式、注入js上下文的方式；