【技术实现步骤摘要】
本专利技术涉及上传行为检测领域,特别是涉及一种app个人信息上传行为检测方法、设备及产品。
技术介绍
1、移动互联网应用程序(app)广泛应用于生产生活的方方面面,给人们日常生活和工作带来了极大的便利。但是部分app也出现强制索权、超范围收集、上传个人信息等违法违规问题。app违法违规问题检测取证需形成从敏感函数调用、个人信息收集到上传的完整证据链。但是,由于app,尤其是头部互联网企业通常会采取加密、混淆等安全防护手段,传输的网络流量包多是加密数据,导致app违法违规问题检测和取证工作存在一定的技术难度。android逆向分析是一种常用的技术检测手段。通过逆向工程,可以深入分析android应用程序的内部机制和行为,从而实现安全分析、应用破解等目的。
2、逆向分析技术门槛较高,需要分析人员具备一定的专业知识和技能,并且android应用多会采取安全防护手段对抗逆向分析,经常需要分析人员灵活运动多种逆向分析手段,花费较多的时间和精力才能完成数据的收集和分析,实现对指定app的收集使用个人信息取证工作。但是,互联网应用开发迭代速度较快,经常需要对同一款app不同版本收集使用个人信息行为进行持续跟踪分析,同一款app不同版本在软件主要功能、软件代码结构上具有较高的相似性。人工逆向分析工作具备一定的重复性,比较浪费人力资源。
3、因此,为实现对于android应用个人信息上传行为的分析取证以及提高分析人员工作效率,亟需提供一种新的个人信息上传行为检测方法。
技术实现思路>
1、本专利技术的目的是提供一种app个人信息上传行为检测方法、设备及产品,能够实现对于android应用个人信息上传行为的分析取证并提高分析人员工作效率。
2、为实现上述目的,本专利技术提供了如下方案:一种app个人信息上传行为检测方法,所述方法包括:通过黑盒测试分析同类型不同应用app的敏感权限调用情况以及流量大小。
3、当确定敏感权限调用情况以及流量大小为异常行为线索后,自动化运行当前app,并拦截发送的网络流量包。
4、通过执行回调操作加密函数的方法确定运行当前app后加密前后的明密文对信息;并将明密文对信息中的加密后的密文信息与网络流量包中的密文信息进行比对,实现当前app个人信息上传行为的取证;所述执行回调操作用于执行回调操作。
5、利用同款app不同版本的函数调用栈和加密函数的代码相似性,构造函数原型;并根据函数原型执行回调操作敏感函数调用和加密函数的定位;进而确定运行当前版本app后加密前后的明密文对信息,之后根据拦截的网络流量包进行当前版本app个人信息上传行为的取证。
6、可选地,所述通过黑盒测试分析同类型不同应用app的敏感权限调用情况以及流量大小,之前还包括:对同类型不同应用app的共性功能进行剥离拆解,并固定为相应的操作步骤。
7、根据用户操作记录所触发组件和用户动作,编写动作脚本,并在当前app页面执行,实现app自动化运行。
8、可选地,所述通过黑盒测试分析同类型不同应用app的敏感权限调用情况以及流量大小,具体包括:利用xposed框架执行回调操作系统敏感函数调用,确定权限调用日志;所述权限调用日志用于记录调用时间、权限名以及调用次数。
9、根据权限调用日志确定敏感权限调用情况。
10、利用tcpdump工具记录网卡流量,获得.pcap文件;所述.pcap文件包括:源地址、目的地址、时间以及包大小。
11、对所述.pcap文件进行系统噪音和私网流量的过滤,定时绘制流量曲线以及查看业务功能上传流量大小。
12、通过横向比对、定期监测同类型app的流量大小。
13、可选地,所述当确定敏感权限调用情况以及流量大小为异常行为线索后,自动化运行当前app,并拦截发送的网络流量包,具体包括:定制magisk插件;所述magisk插件用于拦截手机网络数据发送、接收的相关函数;通过执行回调操作方式截获网络流量包内容,再将执行回调操作截获到的数据包内容、当前手机信息以及数据包来源,并打包发送到服务端;相关函数包括:ssl_write和ssl_read。
14、利用magisk插件拦截发送的网络流量包。
15、可选地,所述通过执行回调操作加密函数的方法确定运行当前app后加密前后的明密文对信息,具体包括:通过反编译app得到反编译代码,
16、利用网络流量包中的域名、参数和敏感函数调用栈定位加密函数位置,并执行回调操作加密函数,之后运行当前app,得到加密前后的明密文对信息。
17、一种计算机设备,包括:存储器、处理器以存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序以实现所述的app个人信息上传行为检测方法的步骤。
18、可选地,所述存储器为计算机可读存储介质。
19、一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现所述的app个人信息上传行为检测方法的步骤。
20、根据本专利技术提供的具体实施例,本专利技术公开了以下技术效果:本专利技术所提供的一种app个人信息上传行为检测方法、设备及产品,通过黑盒测试分析同类型不同应用app的敏感权限调用情况以及流量大小;通过分析同类型不同应用敏感权限调用数量、收集上传的个人信息类型及相关流量大小,及时发现异常流量上传行为线索,然后基于逆向分析方法核实流量中上传的明文内容,实现对于android应用个人信息上传行为的取证分析;当确定敏感权限调用情况以及流量大小为异常行为线索后,自动化运行当前app,并拦截发送的网络流量包,逆向分析方法核实网络流量包中上传的明文信息内容,实现对于android应用个人信息上传行为的分析取证,极大地缩减了人工分析工作量;将逆向分析技术应用到个人信息上传分析领域,不通过直接对加密函数解密的方式,而是采用执行回调操作加密函数的方法间接获得加密前后的明密文对信息,与流量中密文数据进行比对,进而推断流量中密文数据对应的明文信息,有效解决了网络流量包密文数据难以识别的难题;针对同款应用不同版本app重复逆向分析问题,利用函数调用和加密函数的代码相似性,快速定位需监控的函数位置,上传到服务端进行数据比对分析,半自动化的实现方式可提高分析人员工作效率,避免大量重复的分析工作和繁琐的数据比对步骤,也有利于长时间自动化运行应用,发现隐蔽场景下个人信息上传行为。
本文档来自技高网...【技术保护点】
1.一种App个人信息上传行为检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的一种App个人信息上传行为检测方法,其特征在于,所述通过黑盒测试分析同类型不同应用App的敏感权限调用情况以及流量大小,之前还包括:
3.根据权利要求1所述的一种App个人信息上传行为检测方法,其特征在于,所述通过黑盒测试分析同类型不同应用App的敏感权限调用情况以及流量大小,具体包括:
4.根据权利要求1所述的一种App个人信息上传行为检测方法,其特征在于,所述当确定敏感权限调用情况以及流量大小为异常行为线索后,自动化运行当前App,并拦截发送的网络流量包,具体包括:
5.根据权利要求1所述的一种App个人信息上传行为检测方法,其特征在于,所述通过执行回调操作加密函数的方法确定运行当前App后加密前后的明密文对信息,具体包括:
6.一种计算机设备,包括:存储器、处理器以存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序以实现权利要求1-5中任一项所述的App个人信息上传行为检测方法的步骤。p>
7.根据权利要求6所述的一种计算机设备,其特征在于,所述存储器为计算机可读存储介质。
8.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1-5中任一项所述的App个人信息上传行为检测方法的步骤。
...【技术特征摘要】
1.一种app个人信息上传行为检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的一种app个人信息上传行为检测方法,其特征在于,所述通过黑盒测试分析同类型不同应用app的敏感权限调用情况以及流量大小,之前还包括:
3.根据权利要求1所述的一种app个人信息上传行为检测方法,其特征在于,所述通过黑盒测试分析同类型不同应用app的敏感权限调用情况以及流量大小,具体包括:
4.根据权利要求1所述的一种app个人信息上传行为检测方法,其特征在于,所述当确定敏感权限调用情况以及流量大小为异常行为线索后,自动化运行当前app,并拦截发送的网络流量包,具体包括:
5.根据权...
【专利技术属性】
技术研发人员:任彦,薛晨,杨昕雨,易立,窦禹,王一宇,张博文,郑礼雄,李晓雪,李勇胜,
申请(专利权)人:国家计算机网络与信息安全管理中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。