[发明专利]一种App收集用户个人敏感信息的风险评估方法

说明书

本发明公开了一种APP收集用户个人敏感信息的风险评估方法，通过对APP进行静态分析以及动态分析，得出权限评分、调用函数评分、SDK评分、流量包参数评分和域名评分，再进行加权求和，得出被评估APP的最终评分，根据评估矩阵得出被评估APP的风险评级；根据风险评级反向维护SDK风险权重库和域名风险权重库，对SDK或域名进行风险权重的修正。本发明的APP收集用户个人敏感信息的风险评估方法包含用户输入的用户个人敏感信息、非用户输入的潜在用户个人敏感信息，对APP收集用户个人敏感信息的风险程度进行量化，更全面的涵盖了多种敏感信息点，细化了APP收集用户个人敏感信息的风险大小，能大批量的评估APP收集用户个人敏感信息的风险程度。

本发明是申请号为“201910794491.4”、申请日为2019-08-27、名称为“一种APP收集用户个人敏感信息的风险评估方法”的分案申请。

技术领域

本发明涉及移动互联网领域，尤其涉及一种APP收集用户个人敏感信息的风险评估方法。

背景技术

随着移动互联网和智能手机的迅猛发展和普及，大量的APP (Application，应用程序)被安装在用户的智能手机中，智能手机用户的个人敏感信息被APP肆意收集，用户个人敏感信息受到了严重威胁。目前对于安卓手机市场的监管还比较松散，很多手机市场并未对安卓APP收集用户个人敏感信息行为进行强制检测和把控，这很大程度上是因为目前没有一个很好的方法来检测APP收集用户个人敏感信息行为的方法，靠人工检测又太费时费力，成本太高。

目前现有技术中对APP收集用户个人敏感信息的风险评估方法不是针对指定的APP，就是仅关注用户在APP上输入的信息，而针对非用户输入的潜在个人敏感信息，比如：地理位置、手机号、通讯录、移动端基本信息等均没有考虑；而且现有方法均是针对某一特征来判断APP是否收集用户个人敏感信息，是一个有或无的判断，比较粗略，不能对APP收集用户个人敏感信息风险的程度做出判断。

发明内容

针对上述问题，本发明的目的是提出一种APP收集用户个人敏感信息的风险评估方法，不仅评估用户输入的个人敏感信息，还评估非用户输入的潜在个人敏感信息，并对APP收集用户个人敏感信息的风险程度进行量化，以便更加直观的对APP进行评价，更全面的涵盖多种APP收集用户个人敏感信息点，细化APP收集用户个人敏感信息的风险大小，同时能大批量的评估APP收集用户个人敏感信息的风险程度。

为实现上述目的，本发明所采用的技术方案是：

一种APP收集用户个人敏感信息的风险评估方法，包括以下步骤：

S1、开始；

S2、对被评估APP进行静态和动态分析，获得各风险因素的评分；

S3、对步骤S2中获得的各风险因素的评分进行加权求和，获得被评估 APP的风险评分，所述风险评分包括可疑度评分和严重度评分；

S4、根据步骤S3中获得的风险评分，确定被评估APP的风险评级；

S5、结束。

所述步骤S2中，对被评估APP进行静态分析，具体是指：

对被评估APP的权限需求、SDK、调用函数进行分析，分别获得权限评分Sp、SDK评分Sm、调用函数评分Ss；

所述权限评分Sp的获取步骤如下：

S2-1-1，建立或完善修正“权限敏感性评分表”，具体地，从安卓官方文档中获取所有权限列表，并根据权限与敏感信息的关联程度，对权限进行评分。

S2-1-2，对照S2-1-1中的“权限敏感性评分表”，逐项累加被评估APP 的权限列表所对应的权限敏感性评分，得到被评估APP的权限评分Sp。