Android应用中的JavaScript使用模式及其安全漏洞分析

摘要

近年来，Android应用中的安全漏洞迅速增长。由于大部分Android应用需要访问Web页面，导致JavaScript相关的安全漏洞占据了这些安全漏洞的40％，严重威胁到用户的隐私安全。然而，目前业界对于Android应用中JavaScript安全漏洞的研究存在三点不足:一是没有全面研究所有类型JavaScript安全漏洞的形成原因和攻击方式;二是没有调研Android应用中JavaScript使用模式及其安全漏洞的现状;三是没有给出一个公开可用的JavaScript安全漏洞检测工具。为解决上述问题，本文做了以下三个主要工作:
　　1.首先针对100个最流行的Android应用中的JavaScript使用及其安全漏洞进行实证分析。通过实证分析，本文总结出Android应用中常见的四种JavaScript使用模式，发现其中三种模式若使用不当会分别导致三种对应的JavaScript安全漏洞，并对每种漏洞分析其形成原因和建立攻击模型。另外，本文统计归纳出这些JavaScript使用模式及其安全漏洞在100个Android应用中的分布现状，并将发现的漏洞反馈给应用的开发者。
　　2.进一步设计并实现一个原型工具JSDroid，用于自动化检测Android应用中所有类型的JavaScript安全漏洞。JSDroid工具基于静态分析技术实现，能够从输入的APK文件中解析出应用的代码和资源，分析应用使用到的JavaScript模式、存在的JavaScript安全漏洞以及暴露的攻击入口，并输出漏洞检测报告。该工具不仅能够一次对大量Android应用进行漏洞检测，还提供简洁美观的交互界面，方便使用。
　　3.使用JSDroid工具对1000个流行的Android应用进行实验，了解大量Android应用中的JavaScript安全现状，并评估工具的性能。首先，实验发现共有806个应用使用JavaScript，其中有708个应用包含至少一种JavaScript安全漏洞，192个应用可以被攻击。其次，通过分析有效性和效率，以及与相关工作的实验效果进行对比，验证了工具的良好性能。然后，本文选取30个存在漏洞的应用进行攻击测试，并给出详细的案例分析。最后，对开发者和用户分别给出有效建议，以减少Android应用中的JavaScript安全风险。

目录

声明

摘要

图表目录

1 绪论

1．1 研究背景与意义

1．2 研究现状概述

1．3 研究内容

1．4 论文组织

2 背景

2．1 预备知识

2．1．1 WebView

2．1．2 同源策略

2．1．3 跨站点脚本漏洞

2．1．4 Java反射机制

2．2 相关工作

2．2．1 文件跨域脚本漏洞

2．2．2 WebView跨站点脚本漏洞

2．2．3 JS-to-Java接口注入漏洞

3 实证分析

3．1 研究内容概述

3．1．1 研究对象

3．1．2 研究问题

3．1．3 研究方法

3．2 Android应用中JavaScript使用模式及其安全漏洞原理

3．2．1 本地模式与文件跨域脚本漏洞

3．2．2 远程模式与WebView跨站点脚本漏洞

3．2．3 接口模式与JS-to-Java接口注入漏洞

3．2．4 回调模式

3．3 Android应用中JavaSeript使用及其安全漏洞分布现状

3．3．1 JavaScript使用分布

3．3．2 JavaScript使用模式分布

3．3．3 JavaScript安全漏洞分布

4 原型工具设计与实现

4．1 需求分析

4．2 总体设计

4．2．1 开发环境

4．2．2 体系结构

4．2．3 功能模块设计

4．3 功能实现

4．3．1 输入处理模块

4．3．2 漏洞检测模块

4．3．3 输出处理模块

4．3．4 视图模块

5 实验验证与评估

5．1 漏洞检测实验设计与分析

5．1．1 实验设置

5．1．2 实验结果分析

5．2 工具性能评估

5．2．1 有效性和效率评估

5．2．2 对比实验设计与分析

5．3 案例分析

5．3．1 案例分析一

5．3．2 案例分析二

5．3．3 案例分析三

5．4 漏洞防护建议

5．4．1 给开发者的建议

5．4．2 给用户的建议

6 总结与展望

6．1 论文总结

6．2 研究展望

致谢

参考文献

攻读硕士学位期间发表的论文和出版著作情况