Android智能手机中存储着用户的隐私数据,这些隐私数据泄露,会使用户蒙受经济损失及人身伤害。然而,目前第三方应用软件市场中存在许多恶意软件或漏洞软件,但现有的对Android应用软件检测技术以漏洞扫描为主,还缺乏有效检测用户隐私数据泄露的方法。因此,本文针对Android应用程序隐私数据泄露特征,提出相应的隐私泄露检测方法,并设计实现Android应用程序隐私数据泄露检测系统。主要研究及工作如下:(1)归纳总结了 Android应用程序隐私数据泄露特征,将隐私数据泄露方式分为两种类型:敏感数据流隐私泄露和漏洞代码隐私泄露。其中,敏感数据流隐私泄露包括单组件隐私数据泄露和组件间隐私数据泄露;漏洞代码隐私泄露包括可调试/可备份漏洞、暴露组件和API误用漏洞。(2)针对敏感数据流隐私泄露特征,采用静态分析、污点分析与动态测试相结合的隐私数据泄露检测方法。首先,利用静态分析,构造Android应用程序的控制流图和方法调用图。其次,对于所构造的控制流图和方法调用图,进行数据流分析,标记跟踪污点数据,得到可能导致隐私数据泄露的路径并收集程序中的组件配置、Intent等相关信息。最后,利用收集到的信息构造用于动态测试的有效数据,动态地测试目标应用程序,以验证静态分析结果。(3)针对漏洞代码隐私泄露特征,结合特征匹配与动态测试的方法进行漏洞检测。通过检测Android应用程序配置文件,匹配出可调试/可备份漏洞与暴露组件。接着,重打包应用程序,插入暴露组件标记语句,并结合对系统API的监控,动态地测试暴露组件的可达性,记录被成功触发的组件信息。最后,归纳整理误用API列表,并基于数据流分析,定位API误用漏洞。(4)设计并实现Android应用程序隐私数据泄露检测系统LeakDroid。对涵盖游戏、社交和资讯等方面的300个Android应用软件进行检测,共检测出漏洞代码隐私泄露389个,敏感数据流隐私泄露49个。针对本文系统对测试样本LeakTest.apk的检测结果,对比了国内四个在线检测平台及FlowDroid的安全报告。结果表明了本文工作对于Android应用程序隐私数据泄露检测的有效性及应用价值。