Lab 2: 静态分析

实验目的

• 了解 Android Webview 和 JSBridge 的工作原理
• 了解平台型应用的概念
• 了解如 Flowdroid 等的 Android 静态分析工具
• 使用静态分析工具定位敏感数据泄露问题

实验内容

阅读并了解「Android Webview」,「JSBridge」和 「平台型应用」的内容

环境与材料

本次实验需要使用静态分析工具分析指定应用中的隐私数据泄露问题

• source 点可参考「平台型应用」
• sink 点可参考「JSBridge」

请尽可能多的发现如下的指定应用中的隐私泄露问题

• 10个获取了较多敏感数据权限的app
• 每组需要分析一些来自 apkpure 的应用 (尽管它们可能并不存在这样的问题)

Bonus

• 在上次的实验中我们已经认识到了壳对于反编译的干扰，静态分析也是同理，请尝试找到一些脱壳的方法并以此对加壳应用完成静态分析
• 「JSBridge」中提供的 sink 点并非完善或者合理，可能存在缺失或者冗余，你能否提供更好的 sink 点列表
• 对于所使用的静态分析工具的一些报错或者性能问题，你能否提出解决方案或者优化措施

实验报告

实验报告应该清晰、有条理，有良好的格式和结构, 并且严禁抄袭

本次实验报告需包含以下内容，其余内容可自由组织：

1. 请简述在围绕着 Android WebView 展开的污点分析中：

   • 选取了哪些类型的source点，它们是通过哪些方式引入威胁信息或获取敏感数据的
   • 选取了哪些类型的sink点，它们是通过哪些方式进行敏感操作或泄露敏感数据的

2. 请简述Android污点分析的简要流程

3. 选取了何种方式进行静态分析，具体的完成了哪些步骤

4. (如果有)请简述你在实验中发现的问题，以及你认为的原因

5. (如果有)请简述你完成的 Bonus 项目

实验提交

随堂验收

随堂验收时间待定

报告提交截止日期: 2023.4.16 23:59

• 提交邮箱: 191250004@smail.nju.edu.cn
• 提交内容：
  • 实验报告：lab2-report-学号.pdf
  • 其他材料可作为附件

lab2-学号-姓名.zip
└─lab2-学号-姓名
    ├─lab2-report-学号.pdf
    └─附件