[发明专利]一种移动应用程序第三方库隐私收集辨识方法

说明书

本发明公开了一种移动应用程序第三方库隐私收集辨识方法，实现对隐私API调用源和隐私收集行为主体的辨识，降低了检测技术实现的时间成本和技术成本，从而提高了第三方库隐私收集的检测效率，同时提高了检测方法的适配性。

技术领域

本发明属于计算机技术领域，具体涉及一种移动应用程序第三方库隐私收集辨识方法。

背景技术

随着移动互联网和智能终端的飞速发展，App数量呈指数性增长。由于App开发的准入门槛较低，国内第三方应用市场如雨后春笋般出现，App上架审核机制不完善等一系列原因导致App出现质量参差不齐、安全性无法保证的局面。腾讯发布的《2018年度网络隐私及网络欺诈行为研究分析报告》显示，当前所有的Android端App都会不同程度获取手机隐私权限，比例达到100％。Android第三方库封装系统底层代码，避免开发者做重复多余的工作，让其专注于业务逻辑，App通过集成第三方库得以快速实现业务功能，降低开发成本。但是第三方库普遍以Jar格式对外发布，App开发者无法阅读源代码，因此App开发者不了解第三方库的全部功能和安全风险。App和第三方库在同一进程下运行，两者共享权限，第三方库可以在用户不知情的情况下收集隐私信息。第三方库的安全风险来自App权限的滥用，然而现有的访问控制机制无法区分隐私访问请求的来源，因此，辨识第三方库的隐私收集情况有着迫切的需求。

现有研究主要围绕App的隐私收集和广告第三方库检测展开，而对于第三方库的研究较少。隐私收集检测的方法包括基于污点的静态数据流分析方法、基于污点的动态数据流分析方法和基于意图的数据流分析方法等。但是，上述现有方法主要实现的是App级别的隐私收集辨识，但无法辨识App集成的第三方库的隐私收集行为，另外，开发者为防止App被不法分子破解后重用代码成果，普遍采用代码混淆技术模糊源代码，或者采用加固技术进行安全保护，这些保护措施使依赖静态检测技术的检测方法，提高了时间成本和技术成本；此外，现有技术中，为实现对App隐私收集行为的动态捕获，现有方法需要修改Android操作系统源代码，采用Android内核监控技术方案或应用层监控技术方案替换原有系统服务例程函数，这就需要研究人员对Android系统架构和逻辑实现进行深入研究，增大了实现上的技术难度。

总之，现有技术中针对App的第三方库隐私收集检测方法主要存在检测效率低、针对的App有限检测覆盖面小、适配性较差及实现难度较高的问题。

发明内容

有鉴于此，本发明提供了一种移动应用程序第三方库隐私收集辨识方法，实现对隐私API调用源和隐私收集行为主体的辨识，降低了检测技术实现的时间成本和技术成本，从而提高了第三方库隐私收集的检测效率，同时提高了检测方法的适配性。

本发明提供的一种移动应用程序第三方库隐私收集辨识方法，具体包括以下步骤：

步骤1、对移动应用程序进行反编译，得到反编译后的文件；遍历所述文件，提取除移动应用程序包名以外的第三方库名称列表；

步骤2、动态监控隐私API的调用情况；

当移动应用程序调用某个隐私API时，提取当前线程的系统堆栈信息，分析得到该隐私API调用链；

步骤3、分析所述隐私API调用链，还原隐私信息收集路径，如果所述隐私信息收集路径中涉及的第三方库调用，与步骤1中得到的所述第三方库名称列表中的名称匹配，则可识别出隐私API调用源和作为隐私收集行为主体的第三方库。

进一步地，所述步骤2中动态监控隐私API的调用情况，基于Xposed框架实现。

进一步地，所述隐私API调用链采用{Api₁,Api₂,...,Api_n}表示，其对应的调用关系为Api₁→Api₂→...→Api_n，其中，Api_n为隐私API。