《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 設(shè)計應(yīng)用 > 安卓應(yīng)用隱私合規(guī)檢測方法研究
安卓應(yīng)用隱私合規(guī)檢測方法研究
網(wǎng)絡(luò)安全與數(shù)據(jù)治理 1期
王申奧,,王亞龍,王乾旭,,賀紫怡,,李 暉
(西安電子科技大學 網(wǎng)絡(luò)與信息安全學院,陜西 西安710071)
摘要: 近年來,,移動應(yīng)用超范圍收集用戶隱私信息,,強制索取敏感權(quán)限等現(xiàn)象屢見不鮮。業(yè)界現(xiàn)有的隱私合規(guī)檢測產(chǎn)品因缺乏對隱私政策的分析從而產(chǎn)生較高的誤報率和漏報率,。針對國內(nèi)現(xiàn)行合規(guī)要求,,設(shè)計并實現(xiàn)了一套大規(guī)模的半自動化合規(guī)檢測框架,。通過對現(xiàn)有應(yīng)用市場中1 941款應(yīng)用進行實證評估,檢測到52款典型違法違規(guī)移動應(yīng)用,。實驗結(jié)果表明,,該方法實用性強,拓展性高,,具有廣泛的應(yīng)用前景,。
中圖分類號: TP311.5
文獻標識碼: A
DOI: 10.19358/j.issn.2097-1788.2023.01.001
引用格式: 王申奧,王亞龍,,王乾旭,,等. 安卓應(yīng)用隱私合規(guī)檢測方法研究[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2023,,42(1):4-14.
Research on detection of Android application privacy compliance
Wang Shenao,,Wang Yalong,Wang Qianxu,,He Ziyi,,Li Hui
(School of Cipher Engineering,Xidian University,,Xi′an 710071,,China)
Abstract: In recent years, it is common for mobile applications to collect user privacy information in excess of the scope and abuse sensitive permissions. The existing privacy compliance detection products in the industry lack the analysis of privacy policies, resulting in high false positive and false negative. This study designs and implements a large-scale semi-automated compliance detection framework to address the current compliance requirements in China. The system extracts permission phrases through automated analysis of privacy policies and identifies sensitive permission calls through hybrid program analysis, ultimately achieving consistent compliance detection of privacy policies and permission calls. The empirical evaluation of 1 941 applications in the existing application market detects 52 typical illegal and non-compliant mobile applications. The experimental results show that the method is practical and highly scalable, and has a wide application prospect.
Key words : privacy compliance;permission abuse,;natural language processing,;dynamic and static program analysis

0 引言

近年來,移動應(yīng)用超范圍收集用戶隱私信息,,強制索取敏感權(quán)限等現(xiàn)象屢見不鮮,。為了保護用戶的個人隱私信息,監(jiān)管部門要求企業(yè)或組織在隱私政策以簡潔易讀的方式告知用戶他們?nèi)绾问占?、存儲和管理用戶的個人信息,。然而,根據(jù)武漢大學2021年的相關(guān)調(diào)查顯示,,77.8%的用戶在安裝App時“很少或從未”閱讀過隱私協(xié)議,,69.69%的用戶會忽略App隱私協(xié)議的更新提示。盡管一些服務(wù)提供商已經(jīng)提高了其隱私政策的可理解性和可讀性,,但這些政策仍然篇幅太長,,難以閱讀。此外,,2021年國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心和中國網(wǎng)絡(luò)空間安全協(xié)會共同發(fā)布的《App違法違規(guī)收集使用個人信息監(jiān)測分析報告》中也顯示,,超范圍收集用戶隱私信息,違反用戶“知情同意”原則的違法違規(guī)應(yīng)用在各主流應(yīng)用市場仍然廣泛存在,。

近來,,隱私合規(guī)分析的相關(guān)工作在國外頗受關(guān)注,,逐漸被應(yīng)用到大規(guī)模網(wǎng)站隱私合規(guī)性分析、移動應(yīng)用隱私泄露檢測等領(lǐng)域,。移動應(yīng)用的隱私合規(guī)分析主要包括隱私政策文本分析與程序分析兩個部分,。靜態(tài)程序分析執(zhí)行效率高,然而由于缺乏運行時路徑信息,,靜態(tài)分析往往會產(chǎn)生一定程度的誤報,。動態(tài)污點分析通常是利用插裝和代碼重寫為污點數(shù)據(jù)創(chuàng)建污點標記,優(yōu)點是準確率更高,,但插裝和代碼重寫往往帶來更大的性能開銷,。隱私合規(guī)研究往往是在程序分析的基礎(chǔ)上結(jié)合隱私政策文本進行合規(guī)性檢查。隱私政策文本分析作為國外新興的研究熱點,,已經(jīng)陸續(xù)建立起豐富的隱私政策語料庫,。然而在中文領(lǐng)域,隱私政策命名實體識別的研究仍然缺乏,,中文隱私政策的公開語料庫也仍處于空白,。這些問題制約了國內(nèi)隱私政策與程序分析相結(jié)合的自動化合規(guī)檢測技術(shù)的發(fā)展。

為了解決上述問題,,本文通過人工注釋構(gòu)建危險權(quán)限術(shù)語詞典,,提出利用雙向最大匹配算法實現(xiàn)基于詞典的隱私政策自動標注,從而構(gòu)建中文隱私政策權(quán)限詞實體識別語料庫,。在此基礎(chǔ)上,,本文為隱私政策語料構(gòu)建預(yù)訓(xùn)練字嵌入,通過雙向長短期記憶神經(jīng)-條件隨機場(Bi-directional Long Short-Term Memory-Conditional Random Field,,BiLSTM-CRF)架構(gòu)實現(xiàn)最優(yōu)標簽序列預(yù)測,,從而完成權(quán)限詞實體識別任務(wù)。在應(yīng)用程序動靜態(tài)混合分析部分,,基于Androguard實現(xiàn)交叉引用并對程序?qū)嶋H調(diào)用的危險權(quán)限進行靜態(tài)分析,。通過隱私政策聲明權(quán)限集與實際調(diào)用權(quán)限集的一致性分析,實現(xiàn)了對超范圍收集敏感信息行為的檢測,。此外,,依托 Frida動態(tài)插樁與Hook技術(shù),,對敏感應(yīng)用編程接口(Application Programming Interface,,API)進行重載,記錄函數(shù)調(diào)用堆棧,、調(diào)用頻次,、關(guān)鍵參數(shù)等行為日志信息,針對同意隱私政策前收集,、靜默狀態(tài)下頻繁訪問敏感信息實現(xiàn)運行時狀態(tài)監(jiān)測,。




本文詳細內(nèi)容請下載:http://forexkbc.com/resource/share/2000005092.




作者信息:

王申奧,,王亞龍,王乾旭,,賀紫怡,,李  暉

(西安電子科技大學 網(wǎng)絡(luò)與信息安全學院,陜西 西安710071)



歡迎關(guān)注電子技術(shù)應(yīng)用2023年2月22日==>>商業(yè)航天研討會<<

此內(nèi)容為AET網(wǎng)站原創(chuàng),,未經(jīng)授權(quán)禁止轉(zhuǎn)載,。