移动应用的快速普及让应用的端到端安全成为愈发重要的隐私安全保护主题。本文聚焦移动应用的用户认证过程及会话过程中的安全问题，分析当下产业界中用户隐私相关安全防护的实际现状，挖掘应用功能实现中广泛存在的缺陷漏洞。为辅助移动应用用户认证自动化安全分析，本文开发了并行任务执行工具来自动化收集应用在认证过程中产生的网络流量数据以辅助进一步的安全分析。在应用缺陷分析部分中，使用了流量分析方法从应用网络请求中挖掘缺陷，同时还使用了静态逆向工程方法对应用源代码进行白盒分析从而挖掘缺陷。通过应用该方法，最终在100项主流的重要应用中发现了其在用户认证或会话过程中存在的用户隐私泄露的缺陷。存在的缺陷包括使用明文或简单编码形式传输用户认证信息、简单地使用哈希函数对口令进行处理、以不安全的方式产生对称密钥对用户认证信息进行加密、以不安全的方式使用非对称加密算法对认证信息进行加密、不安全地产生消息认证码、不对会话标识进行保护等。这些缺陷会导致当用户接入恶意无线热点时，用户的账户信息能够被攻击者解密或被盗用身份从而入侵用户账户。为提升相关应用安全性的分析效率，本文开发了基于安卓模拟器的并行脚本任务执行工具。该工具支持从移动应用池中获取应用并安装于指定的安卓模拟器中，并在其上执行预定义任务脚本，从而自动化地启动应用。在脚本执行过程中，将使用启发式算法操作模拟器导航至认证界面，触发并收集用户登录流量日志以辅助批量分析。本文揭示了当下产业界移动应用在认证及会话过程中广泛存在的用户隐私泄露的缺陷，并且开发相应工具用于辅助大规模分析应用存在的缺陷。