劉 蓉 于浩佳 陳思遠(yuǎn) 陳 波

(南京師范大學(xué)計算機科學(xué)與技術(shù)學(xué)院 南京 210023) (1250071326@qq.com)

近2年，Android手機在全球市場份額占比始終維持在80%以上[1].隨之而來的是Android平臺的安全問題也日益增多.360發(fā)布的《2017年度安卓系統(tǒng)安全性生態(tài)環(huán)境研究》顯示[2]，截至2017年12月，所測設(shè)備中93.94%的Android手機存在安全漏洞.用戶從Android應(yīng)用市場下載應(yīng)用時，無法了解該應(yīng)用存在的漏洞及安全隱患，而那些廣泛存在的漏洞中相當(dāng)一部分會導(dǎo)致用戶在毫不知情的情況下泄露隱私信息，給用戶甚至組織造成財產(chǎn)損失.因此，對Android應(yīng)用進行安全評估就顯得尤為重要.

安全評估系統(tǒng)會對Android應(yīng)用進行全面的檢測，并提示用戶該應(yīng)用可能存在的安全風(fēng)險，例如該應(yīng)用可能暴露用戶位置信息，或者惡意軟件可以通過該應(yīng)用的代碼漏洞進行權(quán)限提升等等.用戶得到評估信息后可以對安全風(fēng)險有更充分的認(rèn)識，并根據(jù)評估系統(tǒng)給出的提示更好地保護自己的隱私數(shù)據(jù)，從而對存在的安全漏洞進行相應(yīng)的防范.安全評估系統(tǒng)還能幫助Android程序員在開發(fā)過程中及時發(fā)現(xiàn)應(yīng)用的漏洞與不足之處.另外，安全評估亦是Android應(yīng)用市場以及各級管理者進行安全管理的關(guān)鍵技術(shù).各大Android應(yīng)用市場會對市場內(nèi)提供的應(yīng)用進行安全評估，以告知用戶應(yīng)用是否安全并拒絕危險應(yīng)用上架.

要對Android應(yīng)用進行系統(tǒng)化的安全評估，首先必須有一種科學(xué)的漏洞分類法.通過對Android應(yīng)用漏洞進行科學(xué)合理的分類，能使評估結(jié)果更為客觀準(zhǔn)確、更具有說服力.但是，目前Android應(yīng)用漏洞分類方面的研究尚未引起足夠重視，已有的一些Android漏洞分類法實際上不滿足Amoroso[3]提出的分類法所應(yīng)具有的六大特性，部分分類法不具有良好的可擴展性，難以將新出現(xiàn)的漏洞擴展到分類體系中去.為此，本文提出了一種基于APP分層結(jié)構(gòu)的Android應(yīng)用漏洞分類方法.

1 相關(guān)工作

安全漏洞分類是指依據(jù)漏洞的特征或?qū)傩赃M行類別的劃分.計算機軟件安全漏洞分類方面的研究由來已久，早在1976年Abbott等人[4]就對操作系統(tǒng)的安全漏洞分類進行了研究，在此后的40多年中，國內(nèi)外都有不少相關(guān)的研究，研究內(nèi)容也不局限于操作系統(tǒng)的安全漏洞，而是涵蓋了Web應(yīng)用漏洞、應(yīng)用軟件漏洞、Android應(yīng)用漏洞等多個計算機領(lǐng)域[5-8].下面對與Android安全漏洞分類相關(guān)的研究進行分析.

1.1 計算機軟件安全漏洞分類法

軟件安全漏洞分類方面的相關(guān)研究較多，例如Tsipenyuk等人[9]提出的“7+1”分類法，“7”是指輸入驗證(對輸入內(nèi)容過度信任)、API濫用(調(diào)用者未按協(xié)議使用API)、安全功能(訪問控制、加密、權(quán)限管理等設(shè)置不當(dāng))、時間和狀態(tài)(分布式計算中時間和狀態(tài)錯誤)、錯誤(系統(tǒng)對非預(yù)期輸入處理不當(dāng))、代碼質(zhì)量(代碼質(zhì)量不佳導(dǎo)致漏洞產(chǎn)生)、封裝(代碼未作合適的封裝處理)，“1”則指環(huán)境(軟件運行環(huán)境存在漏洞).還有王勇等人[10]在Frei等人[11]工作的基礎(chǔ)上提出了一種基于漏洞生存期的多維量化屬性分類法.該方法對軟件安全漏洞的3種屬性進行了研究和量化：生存周期屬性、安全屬性和分布屬性.

我國在2017年發(fā)布了安全漏洞分類的國家標(biāo)準(zhǔn)[12]，標(biāo)準(zhǔn)中按成因、空間及時間分成3類，并提出分類法應(yīng)當(dāng)遵循唯一性和擴展性原則.

上述分類方法，均對漏洞本身特征與漏洞所在平臺的特點進行了充分考慮，將所有漏洞都囊括在構(gòu)建的分類框架中，因此也是Android安全漏洞分類值得借鑒的.但是Android平臺上的漏洞與傳統(tǒng)的PC平臺漏洞由于所在系統(tǒng)平臺以及應(yīng)用上的不同而具有一些天然的差異性.

1.2 Android安全漏洞分類法

1) 基于系統(tǒng)架構(gòu)的Android漏洞分類方法

Android操作系統(tǒng)是基于Linux的，由應(yīng)用程序?qū)印?yīng)用程序框架層、系統(tǒng)運行庫層和Linux內(nèi)核層這4層架構(gòu)組成，不同的層次分擔(dān)不同的工作，而不同的漏洞也會出現(xiàn)在不同的層次，因此有的學(xué)者圍繞4層架構(gòu)進行分類.盧雙龍等人[13]在此基礎(chǔ)上又進行了進一步的擴展，將4層擴充為6層，增加了管理層和硬件層.管理層主要包含權(quán)限管理漏洞、應(yīng)用安裝機制漏洞等；硬件層則包含了會對設(shè)備造成損害的環(huán)境因素和傳感器等可能遭受的物理損壞.這種6層分類法相比4層分類法更為細(xì)致，對漏洞的劃分也更為精確.但這種分類法主要是面向Android系統(tǒng)漏洞的，而非針對應(yīng)用安全漏洞，Android應(yīng)用漏洞幾乎不會出現(xiàn)在Linux內(nèi)核層或系統(tǒng)運行庫層這些層次，因此這種分類法無法適用于Android應(yīng)用漏洞的分類.

2) 基于漏洞庫的Android漏洞分類方法

NVD，CNVD，CNNVD是目前國內(nèi)外比較主流的漏洞庫，我們在這3個漏洞庫中均進行了高級搜索，搜索關(guān)鍵詞為Android，廠商為Google，產(chǎn)品為Android的漏洞.NVD中共有結(jié)果1 280個，CNVD中有漏洞930個，CNNVD有803個(搜索日期是2018年5月31日).其中CNVD和CNNVD的漏洞詳情中都有漏洞類型，CNVD對幾乎所有搜索結(jié)果的漏洞類型都標(biāo)記為通用軟硬件漏洞，無法很好地體現(xiàn)漏洞特征.而CNNVD的漏洞類型描述相對比較詳細(xì)，有信息泄露漏洞、權(quán)限許可和訪問控制漏洞、緩沖區(qū)溢出漏洞等多種類型，但也有很多漏洞的漏洞類型處寫著資料不足而未予以分類.董國偉等人[14]對這些Android漏洞進行了整理歸納，將Android應(yīng)用常見漏洞歸納為7種：組件權(quán)限暴露漏洞、Webview組件遠(yuǎn)程代碼執(zhí)行漏洞、弱隨機數(shù)漏洞、Intent注入漏洞、SQL注入漏洞、敏感數(shù)據(jù)泄露漏洞和運行時代碼加載漏洞.然而這種分類法只是簡單地枚舉了幾類漏洞，許多已知的Android應(yīng)用漏洞不屬于這7類中的任何一類，例如數(shù)據(jù)傳輸時的HTTPS未校驗服務(wù)器證書漏洞、Intent組件的隱式意圖調(diào)用漏洞等都無法在該分類方法中進行歸類，因此這種方法在實際應(yīng)用中需要不斷擴充和優(yōu)化.

3) 基于經(jīng)驗的Android漏洞分類方法

基于經(jīng)驗的Android漏洞分類方法通常是作者根據(jù)手中已有的資料，對Android漏洞進行歸納總結(jié)，然后基于自身經(jīng)驗對這些漏洞進行分類.

劉昊晨[15]對Android漏洞進行了如下分類：緩沖區(qū)溢出漏洞、Root漏洞、拒絕服務(wù)漏洞、API邏輯漏洞、瀏覽器審查漏洞、藍(lán)牙等連接攻擊漏洞和其他漏洞.這種分類方法羅列的漏洞種類較少，對于大多數(shù)漏洞都未予研究，將所有未涵蓋的漏洞都?xì)w于其他漏洞分類中.

網(wǎng)上有許多Android應(yīng)用安全評估平臺，這些平臺也都有各自的漏洞分類方法.例如“愛加密APP漏洞分析平臺”將檢測項目分為五大類：內(nèi)置SDK檢測、數(shù)據(jù)存儲檢測、源碼檢測、敏感信息檢測和其他項檢測.還有“愛內(nèi)測移動應(yīng)用安全測試專家”，該平臺檢測項目分為應(yīng)用安全檢測、源碼安全檢測和數(shù)據(jù)安全檢測.360旗下的移動安全檢測平臺“360顯危鏡”則沒有對漏洞進行分類，而是在網(wǎng)頁上對所有檢測項目進行了列舉，用戶體驗較差.

基于經(jīng)驗的分類方法通常缺乏足夠的理論依據(jù)支撐，并且很容易因為作者經(jīng)驗不足而出現(xiàn)遺漏.這樣的分類通常只需滿足工作需求即可，從而出現(xiàn)分類質(zhì)量低、漏洞覆蓋不全面的問題.

以上3種分類方法都存在各自的問題，基于漏洞庫的分類法和基于經(jīng)驗的分類法都出現(xiàn)了未包含全部漏洞的問題，并且可擴展性都較差，而基于系統(tǒng)架構(gòu)的分類法則并不適用于應(yīng)用安全漏洞的分類.這些問題是我們在Android應(yīng)用漏洞分類方法中需要注意和避免的，在保證漏洞分類方法能滿足安全評估需求的同時，還要做到分類科學(xué)合理，具有良好的可擴展性和通用性.

2 基于APP分層結(jié)構(gòu)的Android漏洞分類法

針對當(dāng)前Android應(yīng)用安全評估技術(shù)相關(guān)研究欠缺、Android漏洞分類通用性和可擴展性差等現(xiàn)狀，本文在現(xiàn)有方法的基礎(chǔ)上，提出了一種基于APP分層結(jié)構(gòu)的Android應(yīng)用漏洞分類方法——LSA分類法.

2.1 Android應(yīng)用漏洞層次分布

Android應(yīng)用的安全評估，評估的是應(yīng)用的APK文件以及安裝后應(yīng)用功能的安全性，此外，用戶安裝應(yīng)用的環(huán)境千差萬別，因此，各個不同版本的Android操作系統(tǒng)的系統(tǒng)漏洞并不在分類范圍內(nèi).

圖1 漏洞層次分布圖

LSA分類法(a taxonomy of Android application vulnerabilities based on layered structure of application)將Android應(yīng)用中的漏洞分為3層4類，如圖1所示.最底層的是Java代碼層，Java代碼層中有組件安全漏洞(component security vulnerabilities)和數(shù)據(jù)安全漏洞(data security vulnerabilities).Java代碼層之上是應(yīng)用源文件層，這里的文件指的是APK文件解壓縮后產(chǎn)生的dex文件、so文件等，在這一層有源文件安全漏洞(source file security vulnerabilities)和Manifest文件漏洞，其中Manifest文件漏洞介于代碼層和源文件層之間，但Java代碼層考慮的漏洞主要是Java代碼產(chǎn)生的漏洞，而Manifest文件是可擴展標(biāo)記語言XML所寫，因此此處將其歸于應(yīng)用源文件層.頂層是用戶界面層，這一層的漏洞是業(yè)務(wù)邏輯漏洞(logical vulnerability).

2.2 各類漏洞詳情

在對Android應(yīng)用漏洞進行層次劃分后，分類結(jié)果如圖2所示:

圖2 LSA分類法圖示

1) 組件安全漏洞

一個Android應(yīng)用是由不少于一個的組件組成的，通過對Android漏洞的整理發(fā)現(xiàn)，這些組件中Activity組件、Services組件、Broadcast Receiver組件、Content Provider組件、Intent組件和WebView組件這6種組件的漏洞較多，因此6種組件均單獨列為一類，除此之外Android中還有數(shù)量眾多的其他組件，這些組件的漏洞均歸類為其他組件漏洞.

Activity組件漏洞：Activity組件可導(dǎo)出漏洞，即設(shè)置exported=“true”，這會導(dǎo)致該組件被一個第三方的惡意應(yīng)用利用，從而導(dǎo)致安全風(fēng)險；Activity Manager漏洞，ActivityManager類中的killBackgroundProcesses函數(shù)能夠殺死進程，誤用將導(dǎo)致安全威脅，是一個風(fēng)險較低的漏洞.類似的漏洞還有不少，凡是與Activity組件直接相關(guān)的漏洞均屬于此類.

Services組件漏洞：Services組件可導(dǎo)出漏洞，原理與Activity組件可導(dǎo)出漏洞類似.還有一些漏洞利用Services組件在后臺運行的特性，在不提示用戶的情況下在后臺執(zhí)行敏感操作，這類漏洞均屬于Services組件漏洞.

Broadcast Receiver組件漏洞：Broadcast Receiver組件可導(dǎo)出漏洞.動態(tài)注冊廣播組件暴露漏洞，應(yīng)用動態(tài)注冊了一個Receiver組件，導(dǎo)致其被惡意應(yīng)用利用，造成應(yīng)用泄露敏感數(shù)據(jù)或執(zhí)行不安全操作.

Content Provider組件漏洞：Content Provider組件可導(dǎo)出漏洞.Provider文件目錄遍歷漏洞，攻擊者通過openFile()遍歷文件目錄，進而獲取所有可讀文件；讀寫權(quán)限漏洞，Content Provider組件如果沒有對文件讀寫權(quán)限進行合理限制，攻擊者就可以讀取其中的敏感數(shù)據(jù)，而Content Provider中往往會包含不少此類數(shù)據(jù).

Intent組件漏洞：隱式意圖調(diào)用漏洞是Intent組件最常見的漏洞，未指定具體接收對象，導(dǎo)致Intent可被其他應(yīng)用獲取，造成數(shù)據(jù)泄露；意圖協(xié)議URL漏洞，通過特定URL直接向應(yīng)用發(fā)送意圖，調(diào)用未導(dǎo)出的組件.

WebView組件漏洞：WebView組件用于展示W(wǎng)eb頁面，因此涉及的漏洞也較多，包括WebView明文存儲密碼風(fēng)險、WebView遠(yuǎn)程代碼執(zhí)行漏洞、WebView繞過證書校驗漏洞、未移除有風(fēng)險的WebView系統(tǒng)隱藏接口、WebView忽略SSL證書錯誤等多個漏洞.

2) 數(shù)據(jù)安全漏洞

數(shù)據(jù)安全漏洞指的是會導(dǎo)致應(yīng)用內(nèi)敏感數(shù)據(jù)泄露的漏洞，這里需要指出的是，由組件漏洞導(dǎo)致的數(shù)據(jù)泄露均歸于組件安全漏洞，這會在下面驗證分類法科學(xué)性的部分進行詳細(xì)闡述.數(shù)據(jù)安全漏洞又分為4類：數(shù)據(jù)存儲漏洞、數(shù)據(jù)加密漏洞、數(shù)據(jù)傳輸漏洞、日志信息漏洞.

數(shù)據(jù)存儲漏洞：SharedPreferences漏洞，使用getSharedPreferences時參數(shù)設(shè)置不當(dāng)，使應(yīng)用文件可被第三方讀寫篡改；File任意讀寫漏洞，使用openFileOutput (string name,int mode)方法創(chuàng)建內(nèi)部文件時設(shè)置為全局可讀寫，導(dǎo)致創(chuàng)建的文件可被全局讀寫.

數(shù)據(jù)加密漏洞：明文數(shù)字證書漏洞，數(shù)字證書未進行加密可能會被盜取或篡改，造成用戶賬號信息被攻擊者獲??；AESDES弱加密，使用“AESECBNoPadding”或“AESECBPKCS5padding”的模式，ECB方式易被破解，安全性不足；setSeed偽隨機數(shù)漏洞，本地加密時使用setSeed方法，這種方法產(chǎn)生的偽隨機數(shù)易被破解.

數(shù)據(jù)傳輸漏洞：在應(yīng)用進行網(wǎng)絡(luò)數(shù)據(jù)傳輸時會產(chǎn)生許多安全漏洞，其中包括許多傳統(tǒng)網(wǎng)絡(luò)安全漏洞，但這里主要考慮應(yīng)用本身造成的漏洞.例如SSL通信服務(wù)端檢測信任任意證書、未使用HTTPS協(xié)議的數(shù)據(jù)傳輸、HTTPS未校驗服務(wù)器證書、HTTPS關(guān)閉主機名驗證、開放socket端口，這些都是應(yīng)用中一些設(shè)置不當(dāng)導(dǎo)致的數(shù)據(jù)傳輸漏洞.

日志信息漏洞：日志是Android的一大特色，在日志文件中會包含大量的敏感數(shù)據(jù)，而日志在很多時候都是可以通過一些方法來調(diào)用或惡意獲取的，這就會導(dǎo)致日志中敏感數(shù)據(jù)的泄露.

3) Manifest文件漏洞

Manifest文件漏洞是指AndroidManifest.xml配置文件中一些參數(shù)設(shè)置不合理而導(dǎo)致的安全風(fēng)險.主要有：應(yīng)用設(shè)置為可調(diào)試，從而易被攻擊或破解；調(diào)用敏感權(quán)限，例如發(fā)送或攔截短信、訪問通訊錄、發(fā)送地理位置等敏感權(quán)限，但這不能一概而論，部分應(yīng)用確實需要一些敏感權(quán)限來實現(xiàn)一些功能，但如若應(yīng)用調(diào)用一個與其功能完全不相關(guān)的敏感權(quán)限，則就會被認(rèn)為存在安全隱患；申請冗余權(quán)限，應(yīng)用申請了非必須權(quán)限，該權(quán)限可能并非敏感權(quán)限，但這將導(dǎo)致應(yīng)用遭受提權(quán)攻擊的風(fēng)險上升.

4) 源文件安全漏洞

Android的APK文件屬于一種壓縮文件，解壓后可以獲得包括dex文件、so文件、xml文件等各種類型的文件，如果對這些文件沒有進行很好的保護，則會導(dǎo)致應(yīng)用易被攻擊.對文件保護不足主要有3類：dex文件保護不足、so文件保護不足、代碼未混淆.

dex文件保護不足：dex文件是Android應(yīng)用的核心文件，若不進行適當(dāng)?shù)募庸瘫Ｗo，則應(yīng)用極容易被反編譯，從而導(dǎo)致代碼篡改等安全風(fēng)險.

so文件保護不足：so文件雖然相較于dex文件更難被破解，但仍有經(jīng)驗豐富的攻擊者能夠通過一些工具對其破解，一旦so文件被破解，應(yīng)用中的一些關(guān)鍵算法就會泄露.

代碼未混淆：如果應(yīng)用被反編譯，代碼混淆能夠?qū)?yīng)用代碼進行一定程度的保護，攻擊者面對混淆過的代碼無法輕易地理解，一些關(guān)鍵代碼也難以尋找，而一旦代碼未混淆，攻擊者就能輕易地找到關(guān)鍵代碼進行查看或篡改，造成巨大的安全威脅.

5) 業(yè)務(wù)邏輯漏洞

業(yè)務(wù)邏輯漏洞通常在實際運行應(yīng)用時通過人工的方式才能發(fā)現(xiàn)，例如最常見的密碼找回，有些應(yīng)用的密碼找回功能存在邏輯缺陷，在沒有充分驗證當(dāng)前用戶身份的前提下就允許其進行密碼找回或修改.比如給用戶賬號綁定的手機發(fā)送驗證碼，輸入該驗證碼即可進行密碼找回，那么一旦用戶手機失竊，手機持有者就能完成這一操作，而對用戶的信息、財產(chǎn)安全構(gòu)成威脅.

2.3 分類法形式化描述與驗證

2.3.1符號定義

接下來對LSA分類法的科學(xué)性進行驗證.

首先定義如下符號：

1) 集合符號

V為所有Android應(yīng)用漏洞集合；v為集合V中的一個元素；C為組件安全漏洞集合；D為數(shù)據(jù)安全漏洞集合；F為源文件安全漏洞集合；L為業(yè)務(wù)邏輯漏洞集合.

2) 函數(shù)符號

domf表示函數(shù)f的域，滿足f(x)的x的集合；f:X→Y表示f為X映射到Y(jié)的部分函數(shù)，即domf為X的子集；C-D：C×D表示C-D為C與D的有序?qū)?，C-D中的元素即同時屬于組件安全漏洞和數(shù)據(jù)安全漏洞的Android應(yīng)用漏洞，C-F，C-L，D-F，D-L，F(xiàn)-L的定義與C-D同理；VC-D:V→C-D表示函數(shù)VC-D把滿足條件的Android應(yīng)用漏洞映射到C-D類中，VC-F，VC-L，VD-F，VD-L，VF-L的定義與VC-D同理.

在某些情況下，組件安全漏洞可能導(dǎo)致數(shù)據(jù)泄露等問題，為去除二義性，定義所有由組件安全漏洞引起的數(shù)據(jù)安全漏洞均屬于組件安全漏洞，即

另外根據(jù)分類法的分層，C，D，F(xiàn)，L分屬3個不同的層次，顯然，位于不同層次的漏洞集合都是不相交集合，對于層次劃分可能存在歧義的Manifest文件漏洞，前文已經(jīng)明確將其劃分為應(yīng)用源文件層.

2.3.2Z表示法描述與驗證

本文使用Z語言的模式(schema)對分類法進行描述.

模式是Z語言的基本描述單位，是Z規(guī)格說明的基本結(jié)構(gòu)，如圖3所示.一個模式由3部分組成：模式的名稱、聲明部分和斷言部分.模式的聲明部分引入變量及其類型；斷言部分描述了這些變量之間的不變式關(guān)系.分類法的描述如圖4所示.

圖3 Z表示法

圖4 分類法描述

Amoroso[3]提出，分類法應(yīng)當(dāng)具有互斥性、窮舉性、非二義性、可重復(fù)性、可接受性和可用性.根據(jù)圖解可以得出結(jié)論，LSA分類法中，4類漏洞的集合具有互斥性，兩兩之間均無重復(fù)元素，對于任一新加入的漏洞，也只會屬于4個集合中的1個集合，具有非二義性.

LSA分類法將一個Android應(yīng)用完整地劃分為3層，避免了一一列舉而造成漏洞的遺漏，因此也很好地滿足窮舉性.

LSA分類法定義明確，不同漏洞類型間界定分明，使用者及使用情景不會對分類結(jié)果造成影響，是可重復(fù)的.

LSA分類法符合邏輯，對多種已有的分類法進行了參考，具有良好的可接受性.

LSA分類法可以直接應(yīng)用于Android應(yīng)用的漏洞分類，并且能夠很好地滿足安全評估的需求，符合Amoroso提出的可用性.

3 相關(guān)工作比較

為了更好地說明本文提出的Android應(yīng)用漏洞分類法在APP安全評估中的優(yōu)勢，將其與1.2節(jié)中列舉的幾種已有的Android安全漏洞分類法進行比較，具體有如下優(yōu)點：

1) 科學(xué)性和嚴(yán)謹(jǐn)性.3種已有的分類法都不能很好地滿足分類法所應(yīng)具有的六大特性，其中基于漏洞庫的Android漏洞分類方法和基于經(jīng)驗的Android漏洞分類方法都具有較強的主觀色彩，主要分類依據(jù)是作者的經(jīng)驗，分類較為隨意.本文提出的LSA分類法則通過系統(tǒng)的層次劃分、嚴(yán)格的類別定義和形式化描述證明，保證了分類法的科學(xué)性和嚴(yán)謹(jǐn)性.

2) 可擴展性.LSA分類法具有良好的可擴展性，在Android系統(tǒng)不發(fā)生巨大變革的前提下，可以對漏洞分類下的具體漏洞進行擴展，將最新產(chǎn)生的漏洞加入其中.

3) 針對性.LSA分類法從安全評估的角度出發(fā)，對安全評估中需要檢測的項目進行了科學(xué)系統(tǒng)的分類，涵蓋了Android應(yīng)用中需要檢測的敏感項目，因此本文分類法對于安全評估的需求具有很強的針對性.

4) 實用性.目前國內(nèi)有眾多的Android應(yīng)用安全評估平臺，例如“愛加密APP漏洞分析平臺”、“愛內(nèi)測移動應(yīng)用安全測試專家”、“360顯危鏡”等，各大評估平臺對漏洞分類標(biāo)準(zhǔn)不一，評估結(jié)果也因此具有很大差異，因此，本文提出一種專門的分類法可以統(tǒng)一評估指標(biāo)，具有重要的實用價值.

4 小 結(jié)

Android應(yīng)用安全評估是對一個應(yīng)用進行全面的檢測.例如源文件是否進行了足夠的保護、程序中是否有安全漏洞、應(yīng)用是否會泄露用戶敏感信息等等.通過對這些項目進行檢測，給出被檢測應(yīng)用的安全等級或安全評分，對普通用戶、Android程序員、Android應(yīng)用市場管理者都具有較強的實用性.

本文從Android應(yīng)用安全評估的角度出發(fā)，提出了LSA分類法，滿足分類法應(yīng)當(dāng)具有互斥性、窮舉性、非二義性、可重復(fù)性、可接受性和可用性.LSA分類法對已有的幾種Android漏洞分類法進行了優(yōu)化和改良，并對安全評估具有更強的針對性.

本文已將提出的分類法應(yīng)用到安全評估系統(tǒng)中，并基于LSA分類法提出一種Android應(yīng)用漏洞統(tǒng)一描述語言，我們將另文介紹完成的工作.