[发明专利]一种Android应用软件用户隐私信息泄露检测方法

权利要求书

1.一种检测Android应用软件用户隐私信息泄露的方法，其步骤为：

1)将Android应用软件进行反编译，提取出应用软件的所有用户输入点以及用户输入点的属性信息；

2)根据预定义好的隐私数据字典从所有用户输入点中过滤出涉及隐私的用户输入点；

3)对涉及隐私的用户输入点进行数据流跟踪，跟踪并记录用户输入的隐私信息的传播路径；所述数据流跟踪的具体步骤包括：

3-1)对Android应用软件进行分析，并依据Android应用软件组件生命周期的特征，生成其对应的调用流程图；

3-2)在调用流程图的基础上定义所有数据流跟踪的源头和终点；所述数据流跟踪的源头包括获取用户输入点内容的API以及非用户输入的隐私信息的源头API；

所述数据流跟踪的终点包括读写文件，读写数据库和网络数据的发送；

3-3)从源头开始沿着调用流程图一步步进行跟踪，如果发现从源头到终点的路径，则保存该路径；

4)根据用户输入的隐私信息的传播路径，检测Android应用软件是否存在泄露用户隐私信息的行为。

2.如权利要求1所述的一种检测Android应用软件用户隐私信息泄露的方法，其特征在于，步骤1)中，通过静态分析方法对Android应用软件的apk安装包进行反编译，得到Android应用软件的布局文件和smali代码，通过对布局文件进行分析，得到所有用户输入点以及用户输入点的属性信息。

3.如权利要求1所述的一种检测Android应用软件用户隐私信息泄露的方法，其特征在于，步骤1)中，所述用户输入点的属性信息包括标识符id，输入框的提示字符串，输入框的密码属性。

4.如权利要求3所述的一种检测Android应用软件用户隐私信息泄露的方法，其特征在于，如果一个用户输入点的输入框指定的属性值包括textPassword、phone或textEmailAddress，则该用户输入点是一个涉及隐私的用户输入点；如果输入框没有指定密码属性，则当用户输入点的android:id属性值在隐私数据字典中时，该用户输入点是一个涉及隐私的用户输入点；如果用户输入点的输入框没有指定密码属性，并且其android:id属性值不在隐私数据字典中，如果该用户输入点存在android:hint属性，则当用户输入点的android:hint属性在隐私数据字典中时，该用户输入点是一个涉及隐私的用户输入点。

5.如权利要求1所述的一种检测Android应用软件用户隐私信息泄露的方法，其特征在于，步骤2)中，所述预定义的隐私数据字典是收集有涉及用户隐私的关键词的字典，所述关键词包括Username,Password,BankCard,Gender,Age。

6.如权利要求1所述的一种检测Android应用软件用户隐私信息泄露的方法，其特征在于，步骤2)中，将步骤1)中提取出的所有用户输入点的属性信息与隐私数据字典中的关键词进行匹配，判断用户输入点是否涉及用户隐私。

7.如权利要求1所述的一种检测Android应用软件用户隐私信息泄露的方法，其特征在于，步骤3)中，所述数据流跟踪为静态数据流跟踪。

8.如权利要求1所述的一种检测Android应用软件用户隐私信息泄露的方法，其特征在于，步骤4)具体包括：在步骤3)获取到的隐私信息的传播路径的基础上，分析隐私信息传播的过程，判断在传播过程中Android应用软件是否对用户输入的隐私信息进行编码以及加密处理，如果隐私信息存在以明文的形式进行传播的现象，则认为该Android应用软件存在泄露用户隐私信息的行为。