[发明专利]iOS应用中用于隐私条例检查的敏感权限提取方法

摘要

本发明属于信息安全技术领域，涉及一种iOS应用中用于隐私条例检查的敏感权限提取方法，包括以下步骤：下载应用到手机端，对加壳应用砸壳，将处理后的ipa包传输到pc端；对ipa包解压缩，读取应用申请的权限信息，定位可执行文件；用ida静态分析可执行文件；用文本相似度检测建立敏感API和敏感权限映射表；自动点击框架结合手工输入，收集流量信息；识别A、B、C类敏感信息；输出应用对敏感信息的使用情况；得到敏感信息与敏感权限的映射表。本发明结合静态检测与流量检测，弥补静态分析无法辨别是否由第三方调取权限的不足，又能得到应用调用的敏感API从而得到敏感权限；并构建流量敏感信息与敏感权限映射表。

主权项

1.一种iOS应用中用于隐私条例检查的敏感权限提取方法，其特征在于，包括以下步骤：1)下载需要检测的应用到已越狱的手机端，使用frida对加壳的应用进行砸壳处理，并将处理之后的ipa包传输到pc端，配置好ipa包的路径；2)对ipa包解压缩之后，读取info.plist文件中应用申请的权限信息，定位可执行文件；3)将步骤2)中得到的可执行文件用ida进行静态分析，遍历规则文件中的每个方法，对于静态函数，直接用交叉引用功能查看函数在哪里被引用；对于OC方法，搜索方法名字符串和selector，然后查找哪些地址引用了此字符串或者selector，以查找方法调用，将找到的关键函数记录出来；4)通过文本的相似度检测建立敏感API和敏感权限的映射表，对于映射表上无法找到对应关系的敏感API，采取ESA文本相似度检测的方法，当相似度超过给定阈值，则找到了该敏感API对应的敏感权限；5)开始流量测试，配置网络代理，开始使用要检测的应用，通过半自动化操作，自动点击框架结合手工输入个人信息，收集应用的流量信息，作为输入；6)构建A、B类隐私分类器，使用A、B类隐私分类器对流量中泄露的A、B类敏感信息进行辨别，并且识别出所述A、B类敏感信息是第三方库获取的还是应用本身获取的，对于C类隐私，通过文本匹配的方法检测C类敏感信息是否分享给了第三方库；7)输出应用对每类敏感信息的使用情况；8)得到流量数据中敏感信息与敏感权限之间的映射表。