[发明专利]一种Android应用软件用户隐私信息泄露检测方法

说明书

本发明涉及一种Android应用软件用户隐私信息泄露检测方法。该方法首先对Android应用软件进行静态的反编译，并提取出其所有用户输入点；通过预定义好的隐私数据字典，将已获取的所有用户输入点进行过滤，获取涉及隐私的用户输入点；通过分析用户隐私输入点的上下文语义和存储方式，对隐私数据进行跟踪，记录隐私数据的变形和流向；通过分析敏感数据的不同流向，建立分析模型，判断应用软件是否存在泄露用户隐私的行为，最后得出检测结果。本发明能够实现快速、高精准的检测Android应用软件中用户隐私信息是否被泄露。

技术领域

本发明涉及移动终端应用安全领域，更具体地涉及一种Android应用软件用户隐私信息泄露检测方法。

背景技术

目前，随着移动终端和移动4G网络的快速普及，移动终端应用数量呈爆发式增长，O2O服务、手机购物和移动支付等业务快速发展，越来越多的用户信息通过互联网上传给各类应用服务商，网民的手机信息安全环境日趋复杂。然而移动应用的安全问题也随之更加严重，被植入恶意代码，不良广告的恶意应用在用户人群中广泛传播，恶意代码将获取并泄露用户存储在手机上的密码账户等敏感数据信息，通过窃取用户信息给用户带来直接或间接经济损失的安全问题越来越隐蔽。比如通过手机病毒盗取用户银行账号密码、话费或流量等安全事件，大多数用户在遭受这类不法侵害后难以感知，等到发现经济损失后再采取应对措施则为时已晚。

与此同时，一些移动终端应用的开发者并没有考虑到用户输入信息的安全性，将用户输入的隐私信息以明文形式存放在数据库或文件当中，甚至将用户输入的隐私信息通过明文的形式进行HTTP的传播，给广大用户的财产和隐私安全带来了极大的威胁。Android平台是目前最流行的移动终端平台，Android应用的数量也占据着移动终端应用市场的绝大部分，所以提出一种检测Android软件是否存在用户输入的隐私信息泄露的方法显得非常重要，这将有效地保护Android移动终端持有者的个人隐私数据和财产安全。

当前很多Android应用程序都将用户输入的信息以文件、数据库的形式存放在手机当中，也会将用户的输入的信息通过网络发送到服务器端来达到数据更新、保存的目标。为了有效地保护用户输入的隐私信息，开发者需要在进行数据的存储和发送之前将数据进行有效地加密处理。但是市场中的很多应用是将用户的输入通过明文的形式进行网络传输和存储，给用户的隐私造成了很大的威胁。

传统的检测Android应用隐私泄露的方法是将一些敏感的Android系统API设置为源头，然后通过数据流跟踪的方法跟踪这些敏感API数据数据传输路径，通过传输路径来判断应用是否存在泄露用户隐私的行为。这种方法存在以下两个方面的问题，首先，传统方案并不能针对用户输入的隐私信息进行跟踪从而判断是否将隐私信息泄露。然而判断用户的输入信息是否泄漏是进行隐私信息泄露检测的重中之重。其次是性能方面的问题，传统的方案将所有的Android隐私API设置为源头，这使得针对应用分析的工作量很大，将导致针对一个普通的Android应用软件的分析在很大程度上依赖于硬件资源，且非常耗时，难以实现对Android应用软件的大批量检测。

发明内容

由于检测用户输入的信息是否泄漏是隐私信息泄露检测的重中之重，针对上述问题，本发明的目的在于提供一种Android应用软件用户隐私信息泄露检测方法，以检测用户输入的隐私信息是否存在泄露。

根据以上目的，实现本发明的技术方案是：

一种检测Android应用软件用户隐私信息泄露的方法，其步骤为：

1)将Android应用软件进行反编译，提取出应用软件的所有用户输入点以及用户输入点的属性信息；

2)根据预定义好的隐私数据字典从所有用户输入点中过滤出涉及隐私的用户输入点；

3)对涉及隐私的用户输入点进行数据流跟踪，跟踪并记录用户输入的隐私信息的传播路径；