为了保障用户隐私在网络传输过程中的安全性,安卓操作系统实现了安全套接字(SSL)网络安全协议。然而,由于开发者可能误用SSL相关接口,导致安卓应用存在被中间人攻击的风险,从而造成用户隐私泄漏。针对目前已有的SSL安全漏洞检测依赖于静态反编译技术,无法应对逐渐普遍的加固型应用,提出一种自动化动态检测方案。其主要思想是基于安卓应用用户界面(UI)遍历技术,模拟用户与应用交互行为驱动应用自动化运行,并在运行过程中验证应用能否有效抵抗中间人攻击从而判断其是否正确实现SSL相关接口。为了在UI遍历过程中触发有效的网络请求,覆盖可疑的漏洞点,首次提出基于界面类型优化控件树的策略以及基于控件路径集合计算界面状态相似度的方法,设计了安卓应用通用遍历模型,并实现启发式深度优先遍历算法。系统性分析了安卓应用中SSL安全漏洞的主要存在形式与安全威胁,提出并实现基于UI遍历技术的SSL安全漏洞自动化检测原型系统SSLTester。该系统首先基于特征匹配过滤待测应用,构建可疑应用集合;其次,基于定制化UI遍历策略驱动可疑应用自动化运行;最后,针对多台测试设备并行运行,扩展中间人代理插件实现对运行中的应用攻击测试并及时反馈攻击结果。为了验证该系统的有效性,对主流应用市场上热门的2456个应用进行检测,发现424个应用存在SSL安全漏洞。同已有方案SMV-HUNTER相比,检测效率提高约38.46%,检测准确率提高约6.4%。