[发明专利]应用程序隐私泄露检测方法、系统、终端及介质

说明书

本发明提供了一种应用程序隐私泄露检测方法及系统，针对GDPR，获取所需检测的APK；建立动态检测体系，对APK进行自动安装及运行，并收集动态检测所需的数据信息；在APK进行自动安装及运行期间，并行地建立静态检测通路，收集与动态检测所需的数据信息相匹配的静态检测所需的数据信息；结合动态检测与静态检测所需的数据信息，通过关联分析对数据流信息匹配，筛选出所需要的信息与隐私，完成对应用程序隐私泄露的检测。同时提供了一种相应的终端及介质。本发明能够在短时间内，不需要人工设定规则，自动高效准确地检测出应用程序中所存在的隐私泄露问题；够实现快速、简便、灵活地检测应用程序的隐私泄露，满足行业的需求。

技术领域

本发明涉及隐私保护技术领域，具体地，涉及一种利用动态检测和静态检测相结合的针对于GDPR(通用数据保护条例)的应用程序隐私泄露检测方法、系统、终端及介质。

背景技术

随着网络、手机技术的普及与泛用化，对于隐私的保护已经引起了各个国家的重视。我国于2017年6月1日起全面实施了《中华人民共和国网络安全法》，其中明确加强对个人隐私的保护，要求网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；网络运营者不得泄露、篡改、毁损其收集的个人信息；任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。美国新通过的《2018加州消费者隐私法案》中规定了，如果企业掌握达到或超过5万名消费者的数据，消费者有权知道企业收集哪些个人数据、收集数据的目的、哪一类第三方获得这些数据；消费者有权要求企业删除这些数据，或是拒绝企业把自己的数据出售给第三方。

特别是于近期全面施行的欧盟《通用数据保护条例》，即GDPR(General DataProtection Regulation)，在安全界产生了深远的影响。条例对应用开发厂商的隐私收集行为做出了明确而详尽的规定，要求保护用户的知情权、访问权、被遗忘权等等，极大的促进了隐私保护的规范和完善。不仅如此，在GDPR关于地域范围的规定中明确，“本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理，不论其实际数据处理行为是否在欧盟内进行”，“本条例适用于如下相关活动中的个人数据处理，即使数据控制者或处理者不在欧盟设立”。也就是说，无论是否是欧盟的企业，只要为欧盟成员国提供了服务，就受到GDPR限制。因此，GDPR对包括中国在内的全球互联网大厂商都产生了一定影响。

于是为了符合各项法律法规的要求，应用开发厂商开始逐渐规范应用程序的隐私收集行为，安全研究人员也依据法律条款对应用程序开展隐私泄露检测。因此能够开发一个针对GDPR的隐私泄露检测方法就显得尤为重要。

现有的隐私泄露检测方法已经可以从静态、动态和通信流量等各个角度对安卓应用程序进行全方面的分析，并取得了较好的效果，但是使用单一的方法来检测仍然存在着一些不足。例如：

用静态分析方法检测安卓隐私泄露情况，在遍历过程中可能会进入到Dead Code分支，即开发人员废弃的代码段或用户正常使用时不可到达的条件分支，造成误报。如果要使用静态检测系统分析体积较大的APK文件，为了提高对单个文件的检测速度，通常会优化它的分支遍历算法，这样必然会省略对一些分支路径的遍历，导致漏报。另外，一些应用程序在运行过程中会通过网络下载和运行动态代码段，这也无法用静态分析检测到，同样造成了漏报。

而使用动态分析方法，除了要定制和root作系统带来额外的开销外，传统的人工调试由于工作量大无法实现自动化检测，动态污点跟踪则需要根据预设的函数集进行污点的标记，这样便无法检测调用第三方API带来的隐私泄露问题，导致漏报，而污点跟踪过程中的污点扩散问题则会造成误报。同样地，在流量分析中，现在的很多公司会选择对于一些比较敏感的隐私信息进行隐藏，使得如果仅对其简单的流量分析无法发现其中的隐私泄露点。

所以，设计一种能够基于静态和动态分析方法相结合的针对GDPR的隐私泄露检测技术具有很大的潜力。但是，如果将静态和动态分析方法同时应用于针对GDPR的隐私泄露检测中，则存在如下技术问题：