【技术实现步骤摘要】
本专利技术属于安全检测的,具体涉及一种android应用隐私合规的检测方法及系统。
技术介绍
1、随着移动互联网的兴起,移动终端设备的普及率逐年增长。android系统作为移动设备中市场占有率最高的操作系统,具有庞大的用户规模。与之相对的,针对android平台的安全事件频出,攻击者针对android平台有目的地投放恶意应用,实施破坏性活动或窃取用户的隐私数据,对受害者造成不可估量的生命财产损失。为严格规范应用市场行为,降低用户隐私泄漏风险,国家出台了一系列法规政策对应用开发者、应用平台提出强制要求,要求上架应用符合隐私合规标准,保障用户隐私安全。这一举措有效规范了市场乱象,但也给监管部门、应用平台带来许多挑战。一方面,android应用数量庞大,已达百万级,且增速快,每月应用增量超3万,给审查人员带来极大负担;另一方面,不合规应用可能造成用户隐私泄漏,若不能及时发现,将导致严重后果。目前针对android应用的隐私合规检测方法主要有人工审查、静态代码分析、应用的动态行为分析等。人工审查存在检测人员工作强度高,容易出现判断失误,隐私合规安全检测的效率较低等问题。因此应着眼于自动化程度较高的静态代码分析及应用的动态行为分析方法。
2、在静态代码分析方面,主要是通过程序分析等手段,在进行程序分析前需要对安装文件进行反编译处理,提取能够描述应用行为的代码特征,然后根据预先定义检测的模式特征进行安全检测匹配。例如利用静态代码分析的方法检测应用是否存在权限滥用行为,通常的做法是,首先获取应用中反编译的代码的敏感api,将这些敏
3、在动态行为分析方面,主要是将应用放在一个受监控的环境中,通过产生应用的输入,收集获取程序的系统调用序列、程序执行的轨迹以及网络数据包等能够反应程序行为的数据。然后将这些程序行为数据与预先定义好的正常的程序行为数据进行比较,如果存在一些异常的行为数据,则检测识别出恶意的应用。同样的,动态的行为分析方法存在和静态的代码分析方法存在相同的问题,在检测应用的权限时忽略了应用程序的功能,在动态程序行为分析过程中,没有考虑到应用的恶意行为与程序功能的上下文存在联系。同时,动态的程序行为分析还存在遍历路径不完备等缺陷,在检测时需要预先定义行为模式,在面临新的攻击时存在检测失效等相关问题。
技术实现思路
1、本专利技术的一个目的在于针对现有技术的不足之处,提供一种android应用隐私合规的检测方法,该方法能够高效检测出android应用中多种权限滥用的安全问题,包括过度收集、违法收集敏感数据、过度申请权限等行为,与现有技术相比,具有误报率低、准确率高、能够检测新的攻击等优点。
2、为解决上述技术问题,本专利技术采用如下技术方案:
3、一种android应用隐私合规的检测方法,包括如下步骤:
4、步骤1,动态提取应用隐私政策,并解析其中的声明权限;
5、步骤2,静态获取应用申请权限及特权行为;
6、步骤3,监控应用使用过程中特权api的调用情况;
7、步骤4,根据特权api与权限的映射关系,将动静态方法获得的api调用结果进行整合,得到应用运行时实际使用的权限;
8、步骤5,将声明权限、申请权限、实际使用权限进行一致性比对,得到应用过度声明权限的报告、应用过度申请权限的报告、应用过度使用权限的报告。
9、进一步地,步骤1具体包括如下步骤:
10、步骤1.1,根据待测应用安装包自动化安装运行待测应用,检测应用首次运行是否进行弹框向用户说明隐私政策;
11、步骤1.2,若检测到隐私政策弹框,则进一步获取弹框中的文本,并通过模拟点击事件触发弹框中跳转到完整隐私政策内容的链接文本;
12、步骤1.3,爬取完整隐私政策文本内容;
13、步骤1.4,采用预定义关键词及关键词匹配的方法从隐私政策中提取声明权限。
14、进一步地,步骤1.1具体实现方式为:
15、通过命令行命令自动化安装应用安装包并启动应用以保证应用为首次运行,在启用应用后,检测界面是否存在弹框;
16、当存在弹框时,通过检测弹框中是否出现包含隐私、政策的关键词以识别该弹框是否为隐私政策告知弹框。
17、进一步地,步骤1.2具体实现方式为:
18、通过识别ui控件,定位到弹框的位置范围,对于应用直接在隐私政策告知弹框中完全展示本应用的隐私政策,通过模拟用户的滚动,对弹框中的隐私政策文本进行提取;
19、对于未直接在隐私政策告知弹框中完全展示隐私政策的应用,隐私政策以链接文本的形式供用户点击查看,此时通过模拟用户点击事件,在弹框界面范围内点击每一个像素点,识别界面是否发生了跳转,当跳转发生,根据跳转为应用内跳转还是应用外跳转采用不同的处理方式提取应用的隐私政策。
20、进一步地,对于发生跳转的应用,提取应用的隐私政策的方法为:
21、当跳转为应用内跳转时,采用两种方式获取应用的隐私政策:一是继续通过ui控件识别获取界面展示的文本内容;二是,当应用以webview形式展示完整隐私政策内容,采用不同的渲染方式导致隐私政策文本内容无法被识别,此时切断测试机的wi-fi及数据连接,使测试机处于脱网状态下,此时跳转界面显示无法访问,并给出待访问的网络资源链接,即为应用的隐私政策链接;
22、当跳转为应用外跳转时,代表应用的隐私政策由浏览器打开,则通过设定测试机中的默认浏览器,定位控件位置,自动化提取应用跳转的链接地址,即应用的隐私政策链接。
23、进一步地,步骤3具体包括:
24、步骤3.1,hook测试机中的所有特权api,在特权api真正被执行之前,记录特权api被调用的情况;
25、步骤3.2,自动化触发应用行为,通过模拟用户点击等事件,模拟应用与用户的交互过程,执行一定数量交互事件后,停止运行应用,获得在此期间,应用的特权api调用情况。
26、进一步地,步骤4具体包括:
27、步骤4.1,获取android各系统版本下特权api与权限的映射关系;
28、步骤4.2,整合静态方法及动态方法获得的应用特权api调用情况;
29、步骤4.3,根据应用的特权api调用情况,结本文档来自技高网...
【技术保护点】
1.一种Android应用隐私合规的检测方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的Android应用隐私合规的检测方法,其特征在于,步骤1具体包括如下步骤:
3.根据权利要求2所述的Android应用隐私合规的检测方法,其特征在于,步骤1.1具体实现方式为:
4.根据权利要求2所述的Android应用隐私合规的检测方法,其特征在于,步骤1.2具体实现方式为:
5.根据权利要求4所述的Android应用隐私合规的检测方法,其特征在于,对于发生跳转的应用,提取应用的隐私政策的方法为:
6.根据权利要求1所述的Android应用隐私合规的检测方法,其特征在于,步骤3具体包括:
7.根据权利要求1所述的Android应用隐私合规的检测方法,其特征在于,步骤4具体包括:
8.根据权利要求1所述的Android应用隐私合规的检测方法,其特征在于,步骤4.1具体实现方式为:
9.根据权利要求1所述的Android应用隐私合规的检测方法,其特征在于,步骤5具体包括:
10.
...【技术特征摘要】
1.一种android应用隐私合规的检测方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的android应用隐私合规的检测方法,其特征在于,步骤1具体包括如下步骤:
3.根据权利要求2所述的android应用隐私合规的检测方法,其特征在于,步骤1.1具体实现方式为:
4.根据权利要求2所述的android应用隐私合规的检测方法,其特征在于,步骤1.2具体实现方式为:
5.根据权利要求4所述的android应用隐私合规的检测方法,其特征在于,对于发生跳转的应用,提取应用的隐私政策的方法为:<...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。