Android(安卓)操作系统占据了智能终端操作系统的大部分市场份额，搭载Android操作系统的智能设备成为主流。由于移动智能终端携带了较多的用户隐私信息，同时Android应用的安全机制存在一定的局限，导致Android应用可能存在严重的安全隐患。需要对Android应用的安全机制特别是权限机制进行深入的研究，分析Android应用中的权限安全风险。同时关注和研究Android应用的安全漏洞，帮助构建更安全的Android应用生态系统。
　　Android应用并不总是严格遵守最小权限原则，很多应用可能会申请了过多的敏感权限而导致用户隐私泄露等安全风险。针对Android应用过多权限申请问题，提出了一种静态分析和语义分析相结合的检测方法。通过对目标应用进行静态源代码分析，判断其是否存在显式权限过多申请和广告库权限过多申请。采用基于语义相似度计算的语义分析方法感知和预测目标应用程序的功能，判断关注的敏感权限是否属于该应用的功能范畴，进而分析该应用是否具有隐式权限过多申请。对10710个应用成功进行了静态分析，实验结果表明，有76.08%的应用存在显式权限过多申请问题，有424个应用存在广告库过多权限申请的情况。同时，语义分析能够有效地检测出已有方法无法检测的隐式权限过多申请问题。
　　Android应用可能存在安全相关的漏洞，导致严重的安全后果。提出了一种结合静态分析和动态分析的混合分析方法，对9类重要且常见的Android应用安全漏洞进行检测。在形式化描述Android应用漏洞模式的基础上，采用基于元数据分析和数据流分析的静态分析方法，能够快速有效地分析出目标应用是否存在部分类别的安全漏洞。同时，基于动态可执行脚本和函数监控的动态分析方法，可以驱动目标应用运行定制化的执行路径，验证相应安全漏洞的存在，并且能够分析出静态分析难以检测的安全漏洞，进一步扩充检测漏洞的类别。实验结果表明，静态分析的准确率达到95%，动态分析能够成功检测漏洞和验证漏洞的存在。与已有方法相比，提出的漏洞混合分析方法能够有效检测出更多类型的漏洞。
　　快应用是近年来出现的一种新的免安装的Android应用形式。快应用同样能够处理用户和设备的敏感信息。首次将安全分析的对象从普通Android应用转换到快应用。针对快应用中的隐私泄露问题，提出了一种基于元数据分析和数据库分析的快应用的整体结构分析方法。同时，针对快应用中的权限滥用问题，提出了一种基于抽象语法树遍历和敏感函数规则匹配的静态分析方法。在收集和构建的真实世界快应用数据集上进行实验，结果表明快应用的数据库中存在严重的隐私泄露漏洞，并且有15.28%的快应用存在权限滥用的情况。验证了提出的两类快应用安全分析方法的有效性。
　　本研究提出的方法能够有效地分析普通Android应用和快应用的权限风险与安全漏洞，对提高Android应用的安全性具有较好的实用价值和应用前景。