本發(fā)明涉及測試領域，尤其涉及一種用于移動終端系統(tǒng)的應用安全測試方法、裝置及測試工具。

背景技術：

手機等移動終端的操作系統(tǒng)如安卓(android)系統(tǒng)中一般有幾十種應用，供用戶使用。但是這些應用是否安全，即是否存在泄露用戶個人信息如電話號碼、通信錄、賬戶及密碼等安全隱患，則需要進行測試。

目前，移動終端的應用安全測試方式不僅少，而且作用單一。如android系統(tǒng)的應用安全測試大都通過以下兩種方式實現(xiàn)：

一種方式是安卓安裝包(androidpackage，apk)形式，測試時將測試程序安裝入手機，依次點擊apk提供的功能并人工對其結果進行分析。

另一種方式是通過通用串行總線(universalserialbus，usb)與手機相連，通過在命令行中不斷地輸入命令進行測試。

在實現(xiàn)本發(fā)明的過程中，發(fā)明人發(fā)現(xiàn)現(xiàn)有技術中至少存在如下技術問題：

由于上述兩種測試方式功能單一且都由人工操作執(zhí)行，導致移動終端的應用安全測試繁復，測試效率大大降低。如以apk形式對系統(tǒng)中的幾十種應用進行測試，需要進行幾十次安裝，導致測試時間過長，大大降低了測試效率。第二種則需要人工針對每項應用安全測試輸入命令，操作不僅繁復，而且準確性低，導致測試效率低下。

技術實現(xiàn)要素：

本發(fā)明提供的用于移動終端系統(tǒng)的應用安全測試方法、裝置及測試工具，能夠提升移動終端的應用安全測試效率。

第一方面，本發(fā)明提供一種用于移動終端系統(tǒng)的應用安全測試方法，由測試工具執(zhí)行，包括：

接收用于進行至少兩項應用安全檢測的測試指令；

根據(jù)所述測試指令，將相應的應用安全檢測命令發(fā)送給待測試的移動終端，其中，所述相應的應用安全檢測命令與所述至少兩項應用安全檢測相對應，用于指示所述移動終端進行所述至少兩項應用安全檢測；

接收所述移動終端返回的檢測數(shù)據(jù)，其中，所述檢測數(shù)據(jù)為所述移動終端執(zhí)行所述至少兩項應用安全檢測的結果；

根據(jù)所述檢測數(shù)據(jù)判斷所述移動終端的系統(tǒng)中的安全隱患。

可選地，所述接收用于進行至少兩項應用安全檢測的測試指令，包括：

接收用于進行以下檢測中的至少兩項應用安全檢測的測試指令：系統(tǒng)掛載檢測、應用運行權限檢測、日志敏感信息檢測、文件系統(tǒng)權限檢測和安全滲透工具檢測。

可選地，所述根據(jù)所述測試指令，將相應的應用安全檢測命令發(fā)送給待測試的移動終端之前，所述方法還包括：

接收配置指令，并根據(jù)所述配置指令配置敏感信息，以用于所述日志敏感信息檢測。

可選地，所述根據(jù)所述檢測數(shù)據(jù)判斷所述移動終端的系統(tǒng)中的安全隱患，包括：

檢查所述檢測數(shù)據(jù)中是否包含有所述敏感信息，若所述檢測數(shù)據(jù)中包含有 所述敏感信息，則判定所述移動終端的系統(tǒng)存在安全隱患；其中，敏感信息包括電話號碼、通信內容、地理位置、聯(lián)系人信息、賬戶、密碼和日歷活動信息中的至少一種信息。

可選地，所述根據(jù)所述測試指令，將相應的應用安全檢測命令發(fā)送給待測試的移動終端，包括：

根據(jù)所述測試指令，將應用權限檢測命令和意圖發(fā)送檢測命令中的至少一種命令發(fā)給所述移動終端。

第二方面，本發(fā)明提供一種用于移動終端系統(tǒng)的應用安全測試裝置，設置于測試工具中，包括：

指令接收單元，用于接收用于進行至少兩項應用安全檢測的測試指令；

指令執(zhí)行單元，用于根據(jù)所述測試指令，將相應的應用安全檢測命令發(fā)送給待測試的移動終端，其中，所述相應的應用安全檢測命令與所述至少兩項應用安全檢測相對應，用于指示所述移動終端進行所述至少兩項應用安全檢測；

數(shù)據(jù)接收單元，用于接收所述移動終端返回的檢測數(shù)據(jù)，其中，所述檢測數(shù)據(jù)為所述移動終端執(zhí)行所述至少兩項應用安全檢測的結果；

安全分析單元，用于根據(jù)所述檢測數(shù)據(jù)判斷所述移動終端的系統(tǒng)中的安全隱患。

可選地，所述指令接收單元用于：

接收用于進行以下檢測中的至少兩項應用安全檢測的測試指令：系統(tǒng)掛載檢測、應用運行權限檢測、日志敏感信息檢測、文件系統(tǒng)權限檢測和安全滲透工具檢測。

可選地，所述裝置還包括：

配置單元，用于在所述指令執(zhí)行單元根據(jù)所述測試指令，將相應的應用安全檢測命令發(fā)送給待測試的移動終端之前，接收配置指令，并根據(jù)所述配置指令配置敏感信息，以用于所述日志敏感信息檢測。

可選地，所述安全分析單元用于：

檢查所述檢測數(shù)據(jù)中是否包含有所述敏感信息，若所述檢測數(shù)據(jù)中包含有所述敏感信息，則判定所述移動終端的系統(tǒng)存在安全隱患；其中，敏感信息包括電話號碼、通信內容、地理位置、聯(lián)系人信息、賬戶、密碼和日歷活動信息中的至少一種信息。

可選地，所述指令執(zhí)行單元用于：

根據(jù)所述測試指令，將應用權限檢測命令和意圖發(fā)送檢測命令中的至少一種命令發(fā)給所述移動終端。

第三方面，本發(fā)明提供一種測試工具，所述測試工具包括上述用于移動終端系統(tǒng)的應用安全測試裝置。

本發(fā)明實施例提供的用于移動終端系統(tǒng)的應用安全測試方法、裝置及測試工具，由測試工具執(zhí)行：接收用于進行至少兩項應用安全檢測的測試指令；根據(jù)所述測試指令，將相應的應用安全檢測命令發(fā)送給待測試的移動終端，其中，所述相應的應用安全檢測命令與所述至少兩項應用安全檢測相對應，用于指示所述移動終端進行所述至少兩項應用安全檢測；接收所述移動終端返回的檢測數(shù)據(jù)，其中，所述檢測數(shù)據(jù)為所述移動終端執(zhí)行所述至少兩項應用安全檢測的結果；根據(jù)所述檢測數(shù)據(jù)判斷所述移動終端的系統(tǒng)中的安全隱患。與現(xiàn)有技術相比，本發(fā)明能夠通過測試工具一次進行至少兩項應用安全檢測，不僅實現(xiàn)了用于移動終端系統(tǒng)的應用安全測試的自動化，而且實現(xiàn)了測試方式的功能多樣 化，即一種測試工具具有多種測試功能，有效地提升了用于移動終端系統(tǒng)的應用安全測試的效率。

附圖說明

圖1為本發(fā)明實施例提供的一種用于移動終端系統(tǒng)的應用安全測試方法的流程圖；

圖2為本發(fā)明實施例提供的另一種用于移動終端系統(tǒng)的應用安全測試方法的流程圖；

圖3為本發(fā)明實施例提供的一種用于移動終端系統(tǒng)的應用安全測試裝置的結構示意圖。

具體實施方式

為使本發(fā)明實施例的目的、技術方案和優(yōu)點更加清楚，下面將結合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發(fā)明一部分實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。

本發(fā)明實施例提供的用于移動終端系統(tǒng)的應用安全測試方法中，移動終端可以是具有數(shù)據(jù)處理和通信能力的便攜式電子設備，如手機、個人數(shù)據(jù)助理(personaldigitalassistant，pda)、平板電腦等。這些移動終端中的操作系統(tǒng)可以是安卓(android)、蘋果公司開發(fā)的移動操作系統(tǒng)ios、微軟開發(fā)的手機操作系統(tǒng)wp(windowsphone)和windowsmobile等。

本發(fā)明實施例提供的用于移動終端系統(tǒng)的應用安全測試方法由測試工具執(zhí)行，該測試工具與待測試的移動終端之間可通過usb連接。

本發(fā)明實施例提供的一種用于移動終端系統(tǒng)的應用安全測試方法參見圖1，該方法包括：

s11、接收用于進行至少兩項應用安全檢測的測試指令。

例如，測試工具上可具備人機交互接口如鍵盤觸摸屏等，測試人員可通過人機接口進行應用安全測試操作來下達測試指令，如打開測試程序，選擇需要測試的應用安全項。測試工具接收通過該操作下達的測試指令。

示例性的，本操作即所述接收用于進行至少兩項應用安全檢測的測試指令，可包括：

接收用于進行以下檢測中的至少兩項應用安全檢測的測試指令：系統(tǒng)掛載檢測、應用運行權限檢測、日志敏感信息檢測、文件系統(tǒng)權限檢測和安全滲透工具(如drozer)檢測。即一個測試指令可用于進行多項應用安全檢測。也就是說用戶只需下達一個測試指令即可進行多項應用安全檢測。

s12、根據(jù)所述測試指令，將相應的應用安全檢測命令發(fā)送給待測試的移動終端，其中，所述相應的應用安全檢測命令與所述至少兩項應用安全檢測相對應，用于指示所述移動終端進行所述至少兩項應用安全檢測。

本實施例中，待測試的移動終端即與測試工具通過usb相連的移動終端。

當步驟s11中接收的測試指令用于進行系統(tǒng)掛載檢測和應用運行權限檢測時，則測試工具向待測試的移動終端發(fā)送系統(tǒng)掛載檢測命令和應用運行權限檢測命令；當步驟s11中接收的測試指令用于進行日志敏感信息檢測、文件系統(tǒng)權限檢測和安全滲透工具檢測時，則測試工具向待測試的移動終端發(fā)送日志敏感信息檢測命令、文件系統(tǒng)權限檢測命令和安全滲透工具檢測命令；當步驟s11中接收的測試指令用于進行應用運行權限檢測、日志敏感信息檢測、文件系統(tǒng) 權限檢測和安全滲透工具檢測時，則測試工具向待測試的移動終端發(fā)送應用運行權限檢測命令、日志敏感信息檢測命令、文件系統(tǒng)權限檢測命令和安全滲透工具檢測命令；等等。只要測試工具向移動終端發(fā)送的指令與接收的測試指令所用于進行的應用安全測試項目一一對應即可，這里不再窮舉。

例如，對基于安卓(android)平臺(操作系統(tǒng)為安卓的手機)的應用安全測試中，各個應用安全檢測項的實現(xiàn)原理大體一致，即以批處理的方式調用自開發(fā)單元或公開命令，使手機執(zhí)行一些必要的操作。

本發(fā)明實施例中，測試工具可以批處理方式執(zhí)行上述測試指令。當測試指令用于進行多項應用安全檢測時，可將一系列命令放入可執(zhí)行文件中，避免了手工每次輸入且執(zhí)行一條命令的弊端，且計算機執(zhí)行速度遠遠高于手工輸入速度，所以可以大大減少測試時間。

當進行安全滲透工具檢測時，本發(fā)明實施例提供的用于移動終端系統(tǒng)的應用安全測試方法中，所述根據(jù)所述測試指令，將相應的應用安全檢測命令發(fā)送給待測試的移動終端，包括：

根據(jù)所述測試指令，將應用權限檢測命令和意圖發(fā)送檢測命令中的至少一種命令發(fā)給所述移動終端。

其中，應用權限檢測命令主要是用來檢測移動終端操作系統(tǒng)中各個應用是否存在權限濫用的現(xiàn)象。意圖發(fā)送檢測命令主要是用來檢測安卓目的(androidintent)數(shù)據(jù)發(fā)送機制中是否存在使用空故意模糊(intentfuzz)時出現(xiàn)異?，F(xiàn)象。

例如，drozer是開源的滲透測試工具，可對其進行擴展，使其具有更多功能，如在應用權限檢測項中，可開發(fā)自定義drozer單元查找所有具有發(fā)送短信權限的應用。

s13、接收所述移動終端返回的檢測數(shù)據(jù)，其中，所述檢測數(shù)據(jù)為所述移動終端執(zhí)行所述至少兩項應用安全檢測的結果。

移動終端執(zhí)行上述步驟s12中測試工具發(fā)送的檢測命令后，生成檢測數(shù)據(jù)，并返回給測試工具，以用于安全分析。

s14、根據(jù)所述檢測數(shù)據(jù)判斷所述移動終端的系統(tǒng)中的安全隱患。

例如，對基于安卓平臺(操作系統(tǒng)為安卓的手機)的應用安全測試中，測試工具使用一系列腳本對批處理命令的結果(即被測試手機返回的檢測數(shù)據(jù))進行分析，判斷是否存在安全威脅。相對于現(xiàn)有技術使用代碼處理來代替人工分析和判斷，既可一勞永逸，節(jié)省時間，又可達到準確的效果。

本發(fā)明實施例提供的用于移動終端系統(tǒng)的應用安全測試方法中，由測試工具執(zhí)行：接收用于進行至少兩項應用安全檢測的測試指令；根據(jù)所述測試指令，將相應的應用安全檢測命令發(fā)送給待測試的移動終端，其中，所述相應的應用安全檢測命令與所述至少兩項應用安全檢測相對應，用于指示所述移動終端進行所述至少兩項應用安全檢測；接收所述移動終端返回的檢測數(shù)據(jù)，其中，所述檢測數(shù)據(jù)為所述移動終端執(zhí)行所述至少兩項應用安全檢測的結果；根據(jù)所述檢測數(shù)據(jù)判斷所述移動終端的系統(tǒng)中的安全隱患。與現(xiàn)有技術相比，本發(fā)明能夠通過測試工具一次進行至少兩項應用安全檢測，不僅實現(xiàn)了用于移動終端系統(tǒng)的應用安全測試的自動化，而且實現(xiàn)了測試方式的功能多樣化，即一種測試工具具有多種測試功能，有效地提升了用于移動終端系統(tǒng)的應用安全測試的效率。

例如，本發(fā)明實施例提供的用于移動終端系統(tǒng)的應用安全測試方法以批處理方式實現(xiàn)安卓系統(tǒng)安全測試的自動化，即能夠融合多種測試工具和測試方法， 形成一個適用于安卓系統(tǒng)安全測試的項目集合(即達到了一種工具多種功能的效果)，且將其自動化。這樣，測試人員只需在測試前修改配置文件，并進行少量操作，幾分鐘即可完成對安卓系統(tǒng)應用的安全測試，減少了測試過程中的重復性操作，并采用一系列腳本對檢測數(shù)據(jù)進行分析處理，提高了測試效率。進一步地，對現(xiàn)有滲透工具(如drozer)的擴展進行開發(fā)，使其具有更多測試功能，如應用權限檢測功能和內容(intent)發(fā)送功能等，進一步提升了測試效率。

可選地，當上述測試指令用于進行日志敏感信息檢測時，所述根據(jù)所述測試指令，將相應的應用安全檢測命令發(fā)送給待測試的移動終端之前，本發(fā)明實施例提供的用于移動終端系統(tǒng)的應用安全測試方法還可包括：

接收配置指令，并根據(jù)所述配置指令配置敏感信息，以用于所述日志敏感信息檢測。

當測試工具發(fā)送給待測試的移動終端的檢測命令包含日志敏感信息檢測命令時，本發(fā)明實施例提供的用于移動終端系統(tǒng)的應用安全測試方法中，所述根據(jù)所述檢測數(shù)據(jù)判斷所述移動終端的系統(tǒng)中的安全隱患，可包括：

檢查所述檢測數(shù)據(jù)中是否包含有所述敏感信息，若所述檢測數(shù)據(jù)中包含有所述敏感信息，則判定所述移動終端的系統(tǒng)存在安全隱患；其中，敏感信息包括電話號碼、通信內容、地理位置、聯(lián)系人信息、賬戶、密碼和日歷活動信息中的至少一種信息。

本發(fā)明實施例提供的另一種用于移動終端系統(tǒng)的應用安全測試方法參見圖2。圖2所示方法應用于操作系統(tǒng)為安卓的手機。如圖2所示，該方法包括：

s21、測試工具接收用于進行系統(tǒng)掛載檢測、應用運行權限檢測、日志敏感信息檢測、文件系統(tǒng)權限檢測和安全滲透工具drozer檢測的測試指令。

s22、測試工具按照的用戶操作配置敏感信息，也即必要關鍵字信息。

測試之前需要設置發(fā)送短信內容、收件人號碼、撥號號碼、郵件信息等敏感信息。

s23、系統(tǒng)掛載檢測。

主程序調用系統(tǒng)掛載檢測單元的代碼，檢測手機分區(qū)的掛載信息是否合法，并將檢測結果寫入指定文件中。

s24、應用運行權限檢測。

主程序調用應用運行權限檢測單元的代碼，并分析應用是否越權運行，并將結果寫入指定文件。

s25、日志敏感信息檢測。

測試者使用配置信息進行發(fā)短信、打電話等操作，程序后臺會獲取日志信息并分析出日志中是否包含地理位置、通信內容等相關信息。如果檢測到敏感信息，程序會將其寫入指定文件中。

s26、文件系統(tǒng)權限檢測。

主程序調用文件系統(tǒng)檢測單元的代碼，檢測android內核文件系統(tǒng)各個文件的讀寫權限是否合理，并將有風險的文件信息寫入指定文件。

s27、drozer檢測。

主程序調用開源滲透測試工具drozer，并使其執(zhí)行相關命令，檢測系統(tǒng)中是否有debuggable應用、是否有不合法的暗碼、是否有存在注入攻擊的provider等。另外，drozer中還集成了一些自開發(fā)單元，用來檢測系統(tǒng)中各個應用是否存在權限濫用的現(xiàn)象、是否存在使用空intentfuzz時出現(xiàn)異?，F(xiàn)象等。

上述步驟s23-步驟s27的順序可調，本發(fā)明實施例不做限制。步驟s22的執(zhí) 行順序也無限定，只需在上述步驟s25之前執(zhí)行即可。

本發(fā)明實施例提供的用于移動終端系統(tǒng)的應用安全測試裝置，設置于測試工具中，用于執(zhí)行上述實施例提供的用于移動終端系統(tǒng)的應用安全測試方法。

本發(fā)明實施例提供的一種用于移動終端系統(tǒng)的應用安全測試裝置參見圖3，包括：

指令接收單元31，用于接收用于進行至少兩項應用安全檢測的測試指令；

指令執(zhí)行單元32，用于根據(jù)所述測試指令，將相應的應用安全檢測命令發(fā)送給待測試的移動終端，其中，所述相應的應用安全檢測命令與所述至少兩項應用安全檢測相對應，用于指示所述移動終端進行所述至少兩項應用安全檢測；

數(shù)據(jù)接收單元33，用于接收所述移動終端返回的檢測數(shù)據(jù)，其中，所述檢測數(shù)據(jù)為所述移動終端執(zhí)行所述至少兩項應用安全檢測的結果；

安全分析單元34，用于根據(jù)所述檢測數(shù)據(jù)判斷所述移動終端的系統(tǒng)中的安全隱患。

本發(fā)明實施例提供的用于移動終端系統(tǒng)的應用安全測試裝置，通過指令接收單元接收用于進行至少兩項應用安全檢測的測試指令；通過指令執(zhí)行單元根據(jù)所述測試指令，將相應的應用安全檢測命令發(fā)送給待測試的移動終端；通過數(shù)據(jù)接收單元接收所述移動終端返回的檢測數(shù)據(jù)；通過安全分析單元根據(jù)所述檢測數(shù)據(jù)判斷所述移動終端的系統(tǒng)中的安全隱患。與現(xiàn)有技術相比，本發(fā)明能夠通過測試裝置一次進行至少兩項應用安全檢測，不僅實現(xiàn)了用于移動終端系統(tǒng)的應用安全測試的自動化，而且實現(xiàn)了測試方式的功能多樣化，即一種測試工具具有多種測試功能，有效地提升了用于移動終端系統(tǒng)的應用安全測試的效率。

可選地，所述指令接收單元31用于：

接收用于進行以下檢測中的至少兩項應用安全檢測的測試指令：系統(tǒng)掛載檢測、應用運行權限檢測、日志敏感信息檢測、文件系統(tǒng)權限檢測和安全滲透工具檢測。

可選地，所述裝置還包括：

配置單元，用于在所述指令執(zhí)行單元32根據(jù)所述測試指令，將相應的應用安全檢測命令發(fā)送給待測試的移動終端之前，接收配置指令，并根據(jù)所述配置指令配置敏感信息，以用于所述日志敏感信息檢測。

可選地，所述安全分析單元34用于：

檢查所述檢測數(shù)據(jù)中是否包含有所述敏感信息，若所述檢測數(shù)據(jù)中包含有所述敏感信息，則判定所述移動終端的系統(tǒng)存在安全隱患；其中，敏感信息包括電話號碼、通信內容、地理位置、聯(lián)系人信息、賬戶、密碼和日歷活動信息中的至少一種信息。

可選地，所述指令執(zhí)行單元32用于：

根據(jù)所述測試指令，將應用權限檢測命令和意圖發(fā)送檢測命令中的至少一種命令發(fā)給所述移動終端。

本發(fā)明實施例還提供一種測試工具，所述測試工具包括上述用于移動終端系統(tǒng)的應用安全測試裝置。

本領域普通技術人員可以理解實現(xiàn)上述實施例方法中的全部或部分流程，是可以通過計算機程序來指令相關的硬件來完成，所述的程序可存儲于一計算機可讀取存儲介質中，該程序在執(zhí)行時，可包括如上述各方法的實施例的流程。其中，所述的存儲介質可為磁碟、光盤、只讀存儲記憶體(read-onlymemory， rom)或隨機存儲記憶體(randomaccessmemory，ram)等。

以上所述，僅為本發(fā)明的具體實施方式，但本發(fā)明的保護范圍并不局限于此，任何熟悉本技術領域的技術人員在本發(fā)明揭露的技術范圍內，可輕易想到的變化或替換，都應涵蓋在本發(fā)明的保護范圍之內。因此，本發(fā)明的保護范圍應該以權利要求的保護范圍為準。