智能手机安全漏洞挖掘技术研究

The smart phone is applying in people's life, and it tends to be a crucial part of the information security. The Vulnerability Detection, Exploit and Protection technologies have been a critical issue for the security of the smart phone. The goal of this project is to research on the fundamental issues of Vulnerability Detection for the security of smart phone, namely mining security vulnerabilities of main applications for smart phone, and the vulnerability detection technology to that software and proposing corresponding vulnerability exploiting and defensive technologies. Finally, we will provide the technology support for protect the personal privacy and security. .On the way to the above target, by analyzing the security requirement of smart phone system and software, and formation mechanism of security vulnerability on smart phone, static analysis technology, dynamic test technology, and other vulnerability exploiting technology, we will identify an detecting algorithm for the vulnerability of smart phone software and develop some tools to detect permission bypass vulnerability on mobile office application, privacy leak vulnerability on cloud relative application, code execution vulnerability on operation system functionality , browser like application, as well as logic vulnerability on mobile payment application. Finally, novel vulnerability exploit technology and protection scheme for smart phone will be fully investigated in the proposed research to solidly contribute to the protection methods against those security vulnerabilities.

智能手机已广泛地应用在人们现代生活中，其安全也成为影响国家、产业和个人信息安全的重要环节。安全漏洞的挖掘、利用及防御已成为智能手机安全研究的关键问题。本项目旨在研究智能手机安全漏洞这一科学问题，将挖掘智能手机典型应用可能存在的漏洞，同时研究智能手机安全漏洞的利用技术，并提供相应的防护解决方案，最终为保护智能手机用户的个人隐私和信息安全提供技术支撑。.研究内容将主要包括研究智能手机操作系统和应用软件的安全需求，分析智能手机软件安全漏洞的形成机理，研究智能手机平台上的静态分析和动态测试等漏洞挖掘技术，提出静态分析和动态测试相结合的漏洞挖掘算法，开发和实现安全漏洞挖掘工具平台，并具体针对移动办公类应用权限绕过漏洞、云服务应用信息泄露漏洞、类浏览器应用和操作系统应用代码执行漏洞和手机支付应用逻辑漏洞进行挖掘，最后将研究智能手机安全漏洞利用技术及其防护手段和方案。

Android智能终端以手机、平板、智能家居、智能穿戴等形式融入了用户生活的方方面面。这些设备在不同的应用场景下满足了用户的需求，同时也带来了更多设备安全的需求。安全漏洞是Android智能终端安全的主要威胁。目前，Android应用层面的安全漏洞已得到了较为充分的研究，但是对于实现复杂的Android系统及得到开发者广泛使用的第三方类库方面的安全问题研究却不够充分。.在全面分析Android操作系统安全机制的基础上，研究结合了动态测试与静态分析的漏洞挖掘技术。形成了多套适应复杂的Android系统和多样的应用的漏洞挖掘工具集。根据不同待测目标设计测试方案，挖掘Android系统、应用等方面存在的安全漏洞。截至目前，项目组共显现了数十个应用漏洞，上百个系统架构层漏洞以及数个内核驱动漏洞。对于提高Android系统及设备的安全性有极为重大的意义。