安卓应用软件中Intent数据验证漏洞的检测方法

摘要 安卓平台采用Intent机制支持应用软件组件之间的通讯.然而，如果Intent的接收者没有对Intent对象内畸形数据进行验证将有可能导致进程崩溃，无法正常提供服务.针对这类漏洞，设计并实现了一套融合动静态分析技术的检测工具IntentChecker.在无需源代码的情况下，IntentChecker通过静态数据流分析技术跟踪应用软件对Intent对象的数据访问，识别是否存在畸形数据的验证漏洞，并且提取漏洞利用的关键特征，辅助动态分析技术对漏洞进行确认.为了支持对应用商城中海量应用的高效检测，IntentChecker通过集中扫描高风险代码区域，能在不明显降低漏洞检出率的情况下，大大提高检测效率.实验结果表明，约19%的热门应用存在该类型漏洞，IntentChecker的平均漏洞检测时间仅为15秒，具有大规模的可部署性