2022-09-22
作品名称:PoliScope:安卓应用隐私政策与权限调用一致性合规检测系统
学校名称:西安电子科技大学网络与信息安全学院
队伍名称:PoliScope团队
指导老师:李晖
团队成员:王申奥、王亚龙、王乾旭、贺紫怡
本团队针对安卓应用隐私泄露与权限滥用的问题,提出了一种将隐私政策与应用程序分析相结合的一致性合规检测系统。在隐私政策自动化分析部分,我们构建了首个开源中文隐私政策命名实体识别语料库,通过训练PRI-BiLSTM-CRF模型完成隐私政策危险权限词的实体抽取。在应用程序分析部分,我们构建敏感API、INTENT ACTION、Content Provider URI到危险权限的映射,基于Androguard进行静态分析,实现了程序实际调用权限集与声明权限集的一致性对比,从而对隐私政策明示不全行为进行检测。此外,依托Frida动态插桩与Hook技术,对敏感API进行重载,记录函数调用堆栈、调用频次、关键参数等行为日志信息,针对同意隐私政策前收集、静默状态下频繁访问敏感信息等行为实现运行时状态监测。利用PoliScope对小米应用市场和 360 手机助手的 1941 款应用进行合规检测,共计发现52款典型APP存在隐私合规问题,包括无隐私政策、隐私政策明示不全、用户同意隐私政策前收集个人信息等。本系统检测出的所有违规应用目前均已提交工信部APP专项治理工作组举报受理。
微信公众号