基于污点跟踪的Android系统隐私泄露研究

论文总字数：28832字

摘 要

随着智能手机的应用范围越来越广，加之移动网络、Wi-Fi、蓝牙等载体的不断发展，手机不单单局限于打电话发短信的功能，体积小巧而功能强大的智能手机已然是人们休闲娱乐、处理公私事物的高效工具。然而，大量的隐私数据存储于手机，使得手机信息安全成为当前的热门课题。

此外，应用市场的开放性，一方面使得应用程序层出不穷，极大地便利了人们的生活；另一方面大量的应用程序良莠不齐，各种软件或多或少都会窃取我们手机中的信息。当前科技高速发展带来的却是隐私数据的无所遁形，我们处于一个隐私暴露的时代。

针对这种情况，本文选取Android系统，深入研究用户隐私数据泄露的情况：本文前半部分分析了静态检测和动态追踪方法的原理和优劣，比对现今不同的防隐私泄露软件，并着重对TaintDroid进行研究。本文后半部分，将TaintDroid检测的结果进行可视化处理，对TaintDroid进行性能评估并指出其不足之处，检测当前存于应用市场的热门应用，并总结检测结果。

关键词：Android隐私保护、TaintDroid、污点标记、污点追踪、动态检测

Research on Privacy Data Leakage in Android Based on Dynamic Taint Tracking

Abstract

Nowadays, smartphones are extensively used in our lives. With the development of mobile network, Wi-Fi and Bluetooth, smartpone is not only the tool of making a phone call and texting. Instead, people would like to have fun and deal with their business by the small but efficient smartphone. However, more and more privacy data are stroed in our phones today, making information security become one of the hottest issue in our society.

Besides, the App Store is fully open. On one hand, it promotes more and more applications and makes our lives convenient; on the other hand, the good apps and bad apps are intermingled, and we are unaware of information leaking caused by them. The advaneced technology takes away our privacy: we are now living in an age without privacy.

In view of this situation, this article analyze user privacy data leaks on Android in-depth: analyze the advantages and disadvantages of static detetion and dynamic detection; make a comparison between today’s different softwares of detecting privacy leakage and focus on TaintDroid in the following part. In the latter of this article, I will show the detailed information of one piece of data leakage, including its destination, type, time, details and so on. What’s more, I will make an performance evalution of TaintDroid and point out its disadvantages. At last, using TaintDroid, I will test the top 50 apps in the App Store and summarize the current situation of mobilephone information security.

Key words: Android privacy protection, TaintDroid, dynamic tainting, taint tracking, dynamic detection

目 录

第一章 绪论 1

1.1 研究的背景及意义 1

1.2 敏感数据定义 1

1.3 本文组织结构 2

第二章 Android系统概述 3

2.1 系统架构 3

2.2 应用程序 4

2.2.1 文件结构 4

2.2.2 基本组件 4

2.3 Dalvik VM interpreter 5

2.4 Native methods 5

2.5 进程间通信 5

2.6 当前安全机制及缺陷 6

2.6.1系统安全机制 6

2.6.2数据安全机制 8

2.6.3代码安全 9

2.6.4系统缺陷 10

第三章 研究现状 12

3.1 静态方法 12

3.2 动态方法 12

第四章 Taintdroid概述 14

4.1 方法概述 14

4.2 TaintDroid 15

4.2.1 污点标签存储 15

4.2.2编译代码内污点传播 17

4.2.3本地代码内污点传播 19

4.2.4进程间通信的污点传播 19

4.2.5污点传播后的二次存储 20

4.2.6 Hook函数放置 20

第五章 基于TaintDroid的隐私泄露研究 22

5.1 升级TaintDroid系统 22

5.2 Android系统研究 22

5.2.1敏感API 23

5.2.2测试apk 23

5.3 数据泄露路径可视化 24

5.3.1 日志过滤 25

5.3.2 主模块 26

5.3.3 apk文件导入模块 27

5.3.4 隐私泄露路径显示模块 27

5.4 IMSI问题 28

第六章 测试评估 29

6.1 测试环境 29

6.2测试结果 29

6.2.1路径可视化程序测试情况 29

6.2.2热门应用测试情况 31

第七章 总结 33

7.1当前手机安全情况 33

7.2 TaintDroid存在的问题 33

参考文献 35

1. 绪论
   1. 研究的背景及意义

随着移动时代的到来，硬件技术高速发展，操作系统日新月异，体积越来越小、功能越来越完善的智能手机已成为人们生活中不可替代的一部分。它不仅移动性高，还兼具PC平台的高速运算能力。用户早已不满足手机打电话、发短信的基本功能，而日趋低廉的价格、丰富多彩的应用，使智能手机被广泛使用：借助3G网络、Wi-Fi、蓝牙等载体，用户可以随时随地处理私人活动，如看视频、阅读、玩游戏、购物、管理银行账户等，也可用手机存储、处理商业信息。但技术的发展也会带来弊端：这些隐私信息，在网络技术的发展催生出的恶意软件下，便无所遁形。我们所处的信息技术高速发展的时代，也是处处面临隐私数据泄露的时代。

此外，移动平台的另一特征是开放性：苹果的iOS系统允许任何人编写应用并发布，谷歌的Android系统开放源码，支持任何一名程序员对系统的改进。它们都在运营各自的APP Market，以此来促进本身发展。行业的准入门槛过低，加之智能手机的普遍性和多样的功能，导致了应用良莠不齐。不断有人开发旨在攻击系统、获取信息的恶意软件。软件的攻击方式也日趋多样：由早期的单一攻击演变为权限提升攻击。没有访问隐私数据的恶意应用，可以搜索其他应用存储的数据，来获取用户的敏感信息。目前第三方应用高速发展，恶意应用的攻击方式层出不穷，只靠人工或自动审查来清除这些应用是不现实的。

剩余内容已隐藏，请支付后下载全文，论文总字数：28832字