随着移动互联网技术的快速发展,Android平台占据的市场份额也在逐步增长,移动智能设备逐渐走入人们的生活。智能手机、平板电脑等移动终端设备在给用户带来便利的同时,也存储了大量的敏感信息,如银行账号、联系人等,由于用户操作不当、恶意软件攻击等原因,这些敏感信息极易被泄露,给用户的隐私安全造成严重威胁。目前,研究人员主要通过动态或者静态分析工具,依据Android系统的权限机制来进行检测。然而,权限存在粒度较粗的情况,难以发现更多的隐私泄露行为,而且现有的检测方法缺乏针对具体敏感数据泄露的检测,导致消耗过多的计算资源,影响检测效率。因此,本文综合运用静态分析的多种技术,在构建国内数据集的基础上,针对敏感数据的传输过程,进行隐私泄露检测,主要工作如下:(1)数据收集及预处理。从国内各大应用商店收集15个类别的1500个应用程序,对其进行反编译以获取待分析的程序源码。通过研究隐私数据的传输特点,分析容易造成数据泄露的权限调用情况,定义了敏感权限的概念。此外,本文还提取了权限、API和Intent特征,便于进行全面且有针对性的数据泄露检测。(2)提出了一种基于静态污点分析的Android隐私泄露检测方法。针对使用权限进行检测所存在的粗粒度问题,在敏感权限的基础上,提取出与其对应的API,构建敏感权限与API之间的映射关系;然后采用静态污点分析方法,从数据传输的源点开始,跟踪敏感数据流的传输过程,通过检查数据汇聚点,来判断其中是否具有隐私泄露行为。实验结果表明,该方法准确率高于以普通权限作为特征的检测方法,且检测的平均耗时为4.8s,可以用于检测大规模的应用程序。(3)针对污点分析过程中对同一函数重复调用分析的情况,提出了一种基于Flow Droid的优化方法,通过构建应用程序的过程间控制流图以获取更加完整的敏感数据传输路径,在污点分析的过程中,构建频繁函数调用集,统计被重复调用的函数,在被多次调用时直接返回结果,从而减少所需分析的路径。然后,在得到的完整传输路径的基础上,对传输的信息进行进一步判断,从而筛选出真正造成隐私泄露的部分。实验结果表明,与Flow Droid相比,该方法能够在保证高检测率的同时,降低检测过程中的计算开销。