文獻標識碼: A
DOI: 10.19358/j.issn.2097-1788.2023.01.001
引用格式: 王申奧,王亞龍,,王乾旭,,等. 安卓應(yīng)用隱私合規(guī)檢測方法研究[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2023,,42(1):4-14.
0 引言
近年來,移動應(yīng)用超范圍收集用戶隱私信息,,強制索取敏感權(quán)限等現(xiàn)象屢見不鮮,。為了保護用戶的個人隱私信息,監(jiān)管部門要求企業(yè)或組織在隱私政策以簡潔易讀的方式告知用戶他們?nèi)绾问占?、存儲和管理用戶的個人信息,。然而,根據(jù)武漢大學2021年的相關(guān)調(diào)查顯示,,77.8%的用戶在安裝App時“很少或從未”閱讀過隱私協(xié)議,,69.69%的用戶會忽略App隱私協(xié)議的更新提示。盡管一些服務(wù)提供商已經(jīng)提高了其隱私政策的可理解性和可讀性,,但這些政策仍然篇幅太長,,難以閱讀。此外,,2021年國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心和中國網(wǎng)絡(luò)空間安全協(xié)會共同發(fā)布的《App違法違規(guī)收集使用個人信息監(jiān)測分析報告》中也顯示,,超范圍收集用戶隱私信息,違反用戶“知情同意”原則的違法違規(guī)應(yīng)用在各主流應(yīng)用市場仍然廣泛存在,。
近來,,隱私合規(guī)分析的相關(guān)工作在國外頗受關(guān)注,,逐漸被應(yīng)用到大規(guī)模網(wǎng)站隱私合規(guī)性分析、移動應(yīng)用隱私泄露檢測等領(lǐng)域,。移動應(yīng)用的隱私合規(guī)分析主要包括隱私政策文本分析與程序分析兩個部分,。靜態(tài)程序分析執(zhí)行效率高,然而由于缺乏運行時路徑信息,,靜態(tài)分析往往會產(chǎn)生一定程度的誤報,。動態(tài)污點分析通常是利用插裝和代碼重寫為污點數(shù)據(jù)創(chuàng)建污點標記,優(yōu)點是準確率更高,,但插裝和代碼重寫往往帶來更大的性能開銷,。隱私合規(guī)研究往往是在程序分析的基礎(chǔ)上結(jié)合隱私政策文本進行合規(guī)性檢查。隱私政策文本分析作為國外新興的研究熱點,,已經(jīng)陸續(xù)建立起豐富的隱私政策語料庫,。然而在中文領(lǐng)域,隱私政策命名實體識別的研究仍然缺乏,,中文隱私政策的公開語料庫也仍處于空白,。這些問題制約了國內(nèi)隱私政策與程序分析相結(jié)合的自動化合規(guī)檢測技術(shù)的發(fā)展。
為了解決上述問題,,本文通過人工注釋構(gòu)建危險權(quán)限術(shù)語詞典,,提出利用雙向最大匹配算法實現(xiàn)基于詞典的隱私政策自動標注,從而構(gòu)建中文隱私政策權(quán)限詞實體識別語料庫,。在此基礎(chǔ)上,,本文為隱私政策語料構(gòu)建預(yù)訓(xùn)練字嵌入,通過雙向長短期記憶神經(jīng)-條件隨機場(Bi-directional Long Short-Term Memory-Conditional Random Field,,BiLSTM-CRF)架構(gòu)實現(xiàn)最優(yōu)標簽序列預(yù)測,,從而完成權(quán)限詞實體識別任務(wù)。在應(yīng)用程序動靜態(tài)混合分析部分,,基于Androguard實現(xiàn)交叉引用并對程序?qū)嶋H調(diào)用的危險權(quán)限進行靜態(tài)分析,。通過隱私政策聲明權(quán)限集與實際調(diào)用權(quán)限集的一致性分析,實現(xiàn)了對超范圍收集敏感信息行為的檢測,。此外,,依托 Frida動態(tài)插樁與Hook技術(shù),,對敏感應(yīng)用編程接口(Application Programming Interface,,API)進行重載,記錄函數(shù)調(diào)用堆棧,、調(diào)用頻次,、關(guān)鍵參數(shù)等行為日志信息,針對同意隱私政策前收集,、靜默狀態(tài)下頻繁訪問敏感信息實現(xiàn)運行時狀態(tài)監(jiān)測,。
本文詳細內(nèi)容請下載:http://forexkbc.com/resource/share/2000005092.
作者信息:
王申奧,,王亞龍,王乾旭,,賀紫怡,,李 暉
(西安電子科技大學 網(wǎng)絡(luò)與信息安全學院,陜西 西安710071)
歡迎關(guān)注電子技術(shù)應(yīng)用2023年2月22日==>>商業(yè)航天研討會<<