智能手机安全漏洞挖掘技术研究

项目名称： 智能手机安全漏洞挖掘技术研究

项目编号： No.61272481

项目类型： 面上项目

立项/批准年度： 2013

项目学科： 自动化技术、计算机技术

项目作者： 张玉清

作者单位： 中国科学院大学

项目金额： 82万元

中文摘要： 智能手机已广泛地应用在人们现代生活中，其安全也成为影响国家、产业和个人信息安全的重要环节。安全漏洞的挖掘、利用及防御已成为智能手机安全研究的关键问题。本项目旨在研究智能手机安全漏洞这一科学问题，将挖掘智能手机典型应用可能存在的漏洞，同时研究智能手机安全漏洞的利用技术，并提供相应的防护解决方案，最终为保护智能手机用户的个人隐私和信息安全提供技术支撑。 研究内容将主要包括研究智能手机操作系统和应用软件的安全需求，分析智能手机软件安全漏洞的形成机理，研究智能手机平台上的静态分析和动态测试等漏洞挖掘技术，提出静态分析和动态测试相结合的漏洞挖掘算法，开发和实现安全漏洞挖掘工具平台，并具体针对移动办公类应用权限绕过漏洞、云服务应用信息泄露漏洞、类浏览器应用和操作系统应用代码执行漏洞和手机支付应用逻辑漏洞进行挖掘，最后将研究智能手机安全漏洞利用技术及其防护手段和方案。

中文关键词： 安全漏洞；漏洞挖掘；智能手机；手机安全；android

英文摘要： The smart phone is applying in people's life, and it tends to be a crucial part of the information security. The Vulnerability Detection, Exploit and Protection technologies have been a critical issue for the security of the smart phone. The goal of this project is to research on the fundamental issues of Vulnerability Detection for the security of smart phone, namely mining security vulnerabilities of main applications for smart phone, and the vulnerability detection technology to that software and proposing corresponding vulnerability exploiting and defensive technologies. Finally, we will provide the technology support for protect the personal privacy and security. On the way to the above target, by analyzing the security requirement of smart phone system and software, and formation mechanism of security vulnerability on smart phone, static analysis technology, dynamic test technology, and other vulnerability exploiting technology, we will identify an detecting algorithm for the vulnerability of smart phone software and develop some tools to detect permission bypass vulnerability on mobile office application, privacy leak vulnerability on cloud relative application, code execution vulnerability on operation system functionality , browser like application, as well as logic vulnerability on mobile payment ap

英文关键词： Vulnarability；Vulnarability detection；Smart phone；Phone security；android