李自清，王咏宁

（青海民族大学 物理与电子信息工程学院，青海 西宁 810007）

Android 平台应用隐私泄露检测与评估技术

李自清，王咏宁

（青海民族大学 物理与电子信息工程学院，青海 西宁 810007）

Android手机近年来快速发展，用户可方便地使用各类型应用。然而，应用在使用过程中会产生大量隐私数据，同时隐私泄露已成为Android平台严重的安全问题。本文主要综述了现阶段基于Android平台应用隐私泄露检测技术，介绍了该领域的研究现状和进展，对于目前隐私检测技术评估标准尚未统一的问题，提出了对这类技术进行评估的指标，按照该指标对现有技术进行初步评估，给出评估结果，希望能够以此推动应用隐私泄露检测评估标准的建立。

Android；隐私；泄露检测

0 引言

当前，Android操作系统已跃居全球智能手机市场份额占有率第一[1]。据友盟2016第二季度统计[2]，国内移动用户活跃设备中，Android设备量达62.4%。Android操作系统的开源性，不仅备受手机厂商的青睐，而且 Android应用市场上移动应用迅速发展，也极大丰富了手机用户的生活。移动应用给手机用户带来娱乐与便捷，同时近几年关于应用泄露用户隐私的事件层出不穷。用户隐私泄露问题成为安全界备受瞩目的研究对象，近几年发展出来众多优秀的隐私泄露检测框架。但由于隐私泄露途径手段之多，规模危害之大，检测框架难免会有一些不足之处。本文首先通过对 Android平台的隐私数据进行定义分类，并详细介绍了 Android现有的安全机制对用户隐私数据的保护方案，以及对隐私泄露产生的原因进行分析；其次对现有的隐私泄露检测方案通过静态分析以及动态分析两方面进行阐述，详细说明了主流方案的工作原理，并通过自定义的评测指标横向比较了各方案的优缺性，最后指出了隐私泄露检测的发展方向。

1 概述

1.1 Android平台隐私定义

近年来随着大数据平台的建立与发展，当用户隐私数据成为一种资产，移动应用毫无疑问的成为大数据平台机构的首要监测目标。手机用户在使用应用的过程中产生了大量的隐私数据，然而用户无法确信手机系统或者应用开发者是否对隐私数据做了保护处理。因此，在对隐私数据泄露检测研究之前，首先需明确Android平台隐私的定义。

（1）Android系统隐私。Android操作系统同其他智能手机操作系统一样，为第三方应用程序提供了统一访问系统资源的接口。例如，通讯能力（网络访问，打电话，发短信），用户信息数据库（联系人、日历日程），多媒体（照相机、录音、手机位置数据）等。这些资源本身就是敏感的用户隐私。一旦 Android系统的资源访问机制出现漏洞，恶意应用通过某些手段随意访问或修改这些数据，会造成很严重的隐私泄露问题。

（2）第三方应用产生的隐私。用户在使用第三方应用的时候，会产生大量数据。例如，身份信息（个人账号、密码），应用数据（聊天记录、浏览记录、支付交易记录、购物爱好）等，都会成为该用户的隐私。此外，用户会面临应用提供商对此类数据收集甚至泄露的风险，或者其他恶意应用对可信应用隐私数据窃取的威胁。

1.2 Android现有的隐私保护机制

Android操作系统为保障信息安全并应对各种安全威胁，制定了一整套完备的安全体系。安全机制涉及 linux kernel、library、framework、application各个层面，在保证系统灵活开源的同时，确保系统、应用程序、用户数据等方面的安全性。下面，我们仅介绍现有的 Android安全方案针对 Android对隐私数据的保护机制。（1）应用程序权限声明机制。应用程序默认情况下不能直接访问系统资源。应用程序需要显式地声明权限名称、权限组、保护级别。不同级别 Android系统会要求应用在使用该权限时认证方式不同。同Android6.0之后，更是加强对应用可申请权限的管理[3]，开发者需在程序运行中对权限进行动态处理。

（2）应用程序签名机制。应用程序在发布时必须由应用提供商对应用进行数字签名，这样在一定程度上避免了应用被攻击者重打包的风险；此外，Android提供了“sharedUserId”的机制，可以让相互信任的应用程序运行在同一个进程空间，相互访问资源。

（3）进程沙箱隔离机制。Android应用在安装时就已被系统赋予独特的用户标识（UID）。应用程序及其虚拟机等系统资源运行于独立的进程空间下，不同UID的应用程序之间完全隔离。

（4）进程间通信机制。Android独特地应用了Binder通信机制来管理应用程序进程间的通信。让进程间的通信更为高效安全。传统Linux IPC只能往数据包里面填入UID/PID，而Binder机制本身提供了对请求端身份的识别以及权限检查。

（5）访问控制机制。Android系统是基于linux内核为基础。在linux的基本访问控制下，确保系统资源文件、以及应用程序文件不受非法访问。Android 4.3引入了基于SELinux的安全机制，称为SEAndroid，来加强系统安全性。并且对于资源文件的访问控制更为苛刻。

图1 权限提升流程Fig.1 Process of Privilege Escalation

1.3 Android平台隐私泄露原因

即便 Android系统提供了一整套强大的安全机制，Android平台近几年隐私泄露问题依旧层出不穷。明确隐私泄露的根本原因，对隐私泄露检测技术的改进以及Android系统的发展很有帮助。

（1）应用市场恶意应用程序。Android系统对应用安装市场相对于IOS的应用市场并未有严格的监管制度。由于google play对国内用户的屏蔽，国内第三方应用市场成为 Android用户主要应用下载渠道。有研究表明[4,5,6,7]，第三方应用市场对应用的监管制度良莠不齐，恶意应用可以随意地绕过第三方应用检测并上架，暴露给用户下载。恶意应用常常会申请众多敏感权限，从而获取用户隐私信息，甚至本身含有恶意病毒，对用户手机安全造成巨大破坏。

（2）权限提升漏洞。根据Android的沙箱机制，Android应用程序运行在各自独有的进程空间中，并且默认情况下并不能与其他应用进行交互，访问对方资源。然而，恶意应用可利用 Android组件间通信，通过借助其他应用获取权限，展开权限提升攻击。如图1，该图包含应用A，B，C，其中应用 B中组件1的访问权限为Pb，应用C中组件1访问权限为Pc。应用 A的组件 1具备访问应用B组件1的权限Pb，但不具备访问应用C组件1的权限Pc，但是应用B组件1具备访问应用C组件1的权限Pc。此时，恶意应用A组件1可通过Android ICC机制（Inter-ComponentCommunicate），调用应用B组件1来访问应用 C组件 1。由此，跳过权限检查间接获取访问能力。

（3）应用对隐私数据保护不足。除了常见的恶意应用会带来的用户隐私泄露问题，合法应用也会存在隐私泄漏问题。例如，应用申请过多非必要权限，以获取更多用户信息；应用对运行过程中产生的包含用户敏感信息的文件未作保护；应用本身存在监控、搜集并上报用户信息的行为等。所以，在分析隐私泄露检测的时候，应该对所有应用统一进行检测。

2 国内外隐私泄露研究现状

近年来，由于 Android系统的发展以及针对Android平台隐私泄露事件的频繁曝出，大量国内外安全学者开始对隐私泄露检测进行研究。现有的用于检测用户隐私泄露的技术一般可分为两大类：静态分析技术以及动态分析技术。静态分析主要包括：控制流分析、数据流分析等。通过静态地分析程序代码结构，控制流以及数据流的情况，对所有隐私数据相关的执行路径进行列举。动态分析包括针对核心系统接口检测技术以及污点追踪技术。核心系统接口检测就是对涉及用户敏感数据的系统接口进行检测，一旦程序调用该接口，便会记录下来；污点追踪技术是指当检测用户隐私数据产生时，就将该隐私数据标记为污点。整个污点数据从产生、传播、存储一直到发送网络所有环节都会被标记为污点，是一种非常强有力的检测手段。下面，我们将对这些现有的技术进行分析。

2.1 静态分析技术

Soot[8]是McGill大学的Sable研究小组自1996年就已研究的Java字节码分析工具。Soot提供了多种字节码分析和变化功能，利用该工具可方便地进行程序分析、编译优化等；同时，Soot提供的过程内以及过程间分析功能，使用者可方便地获取各个方法的控制流图，并将其以图形化的形式显示出来。对于程序的安全分析，需寻找程序的各“短板”，需确定程序中与数据处理的有关信息。通过Soot工具，可方便的生成程序的控制流图以及数据流图，全面了解程序每一个阶段内控制流的层级结构以及全局调用关系。因此，很多 Android平台的静态分析工具均建立在Soot工具上，静态地分析Android应用代码中的控制流以及数据流，从而找到隐私数据泄漏的路径。

FlowDroid[9]基于Soot框架实现的针对Android平台隐私泄露分析系统。污点泄露追踪中，常常将污点泄漏源记为source点，将污点终点记为sink点。FlowDroid能够分析从source点到所有sink点之间所有路径的数据流依赖关系。在进行数据流分析时，FlowDroid将Activity生命周期及所有回调函数之间的控制流调用关系用一个虚主函数（dummy main）来模拟。基于该主函数，FlowDroid分析程序所能到达的所有函数，并构造这些函数之间的控制流图，极大地简化数据流分析过程。其次，FlowDroid将数据流分析问题形式化成了 IFDS[10]框架上的染色分析问题。针对每一个source，FlowDroid将其作为起点依据控制流图来进行染色分析，每当染色分析遇到一个sink时，FlowDroid将输出source到sink之间的数据依赖关系。FlowDroid巧妙地将应用内的控制流调用用一个主函数来模拟，极大简化分析流程，但同时 FlowDroid由于仅支持单一组件内的数据流分析，对于组件间的通信尚未解决。针对这一问题，在 FlowDroid基础上发展了许多为解决组件间通信（Inter-Component Communication）的方案。ICCTA[11]便是基于 FlowDroid针对组件间通信的污点分析的工具，主要用来分析不同组件和不同应用之间的隐私泄露问题。它利用ApkCombiner将多个应用合称为一个应用，进而将应用间通信的分析转换为应用内通信分析。Chex[12]是用来检测Android系统组件劫持漏洞的静态数据流分析工具。组件劫持漏洞一般是指应用对于外部请求缺乏合理的访问控制导致恶意应用入侵，如上文提到的权限提升漏洞就是常见的组件劫持漏洞其中一种。在进行数据流分析时，Chex将所有事件触发的函数都当作一个入口结点，所以 Chex的首先会是扫描整个应用找到所有的入口结点。其次，Chex将每一个入口结点能够到达的代码块称为一个代码分片。对每一个代码分片，Chex会进行数据流分析，并生成一个数据流概述（data-flow summary SDS），SDS是指每个分片source点和sink点与敏感数据的关系。第三步，Chex认为程序的运行路径其实就是入口结点所能到达的代码分片的排列组合，Chex分析所有 SDS之间数据流关系的排列组合，就可以找到所有数据流之间的依赖关系。从而，对于应用的隐私泄露情况可以直接反映出来。Amandroid[13]是Android组件间数据流分析框架，在数据流分析的过程中Amandroid对所有对象的指向关系都进行了分析，并且对 intent的目标和所携带的数据流进行了分析。Amnadroid会将数据流分析的结果保存下来，应用中所有对象的数据依赖关系都可W在保存的结果中找到。该分析结果可以用来解决各种数据流相关问题如隐私泄露、数据注入等。AndroidLeaks[14]通过静态分析，将Android应用反编译，利用WALA[15]分析应用的源代码，建立 Android系统接口与对应执行权限之间的映射，从而得出对应泄漏路径。

2.2 动态分析技术

2010年Enck等人在Android2.1操作系统上实现了动态污点跟踪系统 TaintDroid[16]，目前依旧仅适配到Android4.4。如图2，TaintDroid通过对Dalvik VM 解释器源码的修改，加入对应的污点标记，定义了变量级别、方法级别、消息级别以及文件级别的污点追踪。同时，TaintDroid提供日志记录数据系统行为，并使用 TaintDroidNotify向通知栏发送消息，提醒用户存在隐私数据泄露。TaintDroid提供了Android平台上通用的污点分析框架，其后有很多研究学者基于 TaintDroid作了更多特定用途的研究。AppFence[17]使用TaintDroid对用户指定的信息类别进行追踪，并在这些信息将要通过网络发送时进行拦截或使用伪造的相似信息进行替换。VetDroid[18]对 TaintDroid进行了扩展，实现了基于权限的污点分析：当应用使用权限获取相关敏感数据时，权限使用的行为会被作为污点状态进行追踪，从而对Android平台上权限使用行为进行分。TaintChaser[19]基于TaintDroid扩展了隐私监测范围，包括IMEI、电话号码、地理位置信息、相册、录音、通信录、短信、通话记录、电子邮件等，改进了字符串跟踪粒度，防止污点跟踪过程中可能产生的污点爆炸问题。除此之外，MockDroid[20]，Pervasive Privacy[21]等都对 TaintDroid进行了不同程度的扩展。Crowdroid[22]利用strace（linux的一个调试工具）来监控Android系统的每一次系统调用和获得的信号，但是它没有考虑来自Dalvik VM的信息，很难在与虚拟机上运行的程序之间建立程序依赖关系，从而不利于与虚拟机上获取的动态信息综合分析。Phosphor[23]是专门针对Java虚拟机平台的污点追踪系统，可很好地移植到各类 JVM 上，包括 Dalvik虚拟机。Phosphor无需修改操作系统，虚拟机，甚至解释器。Phosphor是一个基于变量级别的污点追踪系统，通过在JVM上层作一层适配，修改对象为所有字节码，并保存对应的污点标签。在对 Dalvik虚拟机的适配上，仅仅做了相对于 TaintDroid很小的虚拟机改动。除此之外，一些学者通过结合静态、动态分析技术检测隐私泄露。Capper[24]通过对应用进行反编译，通过字节码重写注入相应的污点策略，并对应用进行重打包。当应用运行时，与相应的服务端进行通信，以此加入应用上下文控制，输出泄露情况。

图2 TaintDroid工作原理Fig.2 TaitDroid Working Principle

3 隐私泄露检测方案评估

目前，大量国内外学者研究 Android平台隐私泄露问题，同时提出了很多有针对性的隐私泄露检测方案。但根据我们的学习研究，尚未有统一的评估标准来评估和规范现有的检测机制。文献[25]从方案的实时性、系统修改、移植性等方面分析了TaintDroid等动态分析方案修改系统源码的缺陷。针对这一现状，我们制定了如下的评估指标。并通过这些指标，对现有的几款隐私泄露检测方案进行横向评估。

3.1 隐私泄露检测方案评估标准

通过对现有的隐私泄露检测方案的学习与使用，我们统计出隐私泄露检测方案的一些主要特性指标。主要如下：

1. 误报率。系统在运行时，由于业务交互会涉及到一些常规的数据传播。例如，传统的写入数据库或保存到本地文件操作，有些检测系统会当成泄露路径。

2. 漏报率。由于方案策略的不完备，亦或者待检测应用手段特殊，导致本该被检测出来的泄漏路径被忽略。这对于隐私泄露系统的检测能力是一个极大的考验。

3. 移植性。指该方案是否会随着Android版本的更新迭代而具备移植性。

4. 系统/应用修改。该检测方案是需要修改系统源码、Android虚拟机、亦或者是待检测应用本身。

表1 隐私泄露检测方案评估Tab.1 The Evaluation of Privacy Leak Detection Schemes

5. 及时性。能否在发生泄露的同时，检测到该泄露行为并提示给用户。

6. 易用性。是否需要用户过多参与以及是否有合理的提示。

3.2 横向评估结果

我们通过对这目前这几款完备的隐私泄露检测方案进行研究后，得到如表1横向比较的结果。（表1中，“×”表示某检测方案在该项指标中表现不理想（“××”表示较差），“√”表示某检测方案在该项指标中表现良好（“√√”表示较为优秀）。）以下是关于静态分析与动态分析的评估：

1. 静态分析工作大多在应用运行前完成，主要通过静态地分析程序代码结构，控制流以及数据流的情况，对所有隐私数据相关的执行路径进行列举。静态分析从本质上保护了隐私信息泄露，但静态分析有一些显著的缺陷：

（1）静态分析只能分析显示信息流，对于相对错综复杂的信息流，或者信息流出现异常情况等。都无法检测出来，因此其漏报率比较高。

（2）静态分析对于Java反射，JNI到native层调用，以及动态加载等这些 Android编程中的常用手段，不能检测出隐私泄露。

（3）Android应用不同于纯Java应用，没有对应的Main方法，同时各组件又含有生命周期，只静态分析代码并不能体现出生命周期这一概念。现有的例如 FlowDroid，通过模拟“Main”方法并大量覆盖系统API,这种方案务必会导致误报率很高。

（4）静态分析方案的分析结果往往是疑似路径等专业结果，对于用户而言，起点太高，需要一定的专业基础。

2. 动态分析由于自身的特点需要在程序运行时对应用泄漏情况进行实时监控，因此监控策略的引入是主要研究目标。按照现在主流的 TaintDroid的方案，引入污点追踪体系，不需要用户过多参与，但仍然有如下缺点：

（1）对 Android系统虚拟机的修改，这就对Android适配带来问题，目前 TaintDroid仅支持Android4.4，并一直未有更新的消息；同时，对于像Capper这种对应用反编译，往字节码中插入污点追踪策略并重打包的方式，随着应用加固以及签名技术的提高，导致这种方式失败率增加。

（2）虚拟机解释器加入污点标记，导致虚拟机解释时需占用更大内存，且指令变得更加复杂，应用运行时会有很明显的卡顿，对手机性能有严重影响；

（3）动态分析跟踪系统所有信息流行为，很有可能合法的信息流也被检测出来，产生误报可能性增大，因此可能需要更高的泄露策略配置。

4 总结与展望

本文介绍了 Android平台隐私泄露检测的相关工作，首先给出了隐私的定义，介绍了 Android平台现有的隐私保护机制，同时阐述了 Android平台隐私泄露的原因。然后，重点综述了现有的国内外Android平台隐私泄露检测方案。最后，我们通过定义方案评估标准，重点评估了几个代表性的隐私泄露检测方案，并给出静态分析技术以及动态分析技术的优缺点。我们认为，在未来关于隐私泄露检测方面的研究，可以从以下两方面进行提高：

（1）降低误报率与漏报率。从上面分析来看，现有的方案无论是静态分析技术还是动态分析技术，泄露检测产生的误报率与漏报率都很高。因此，研究合适的策略来降低方案本身的误报率漏报率是未来主要的研究方向。

（2）动-静结合分析技术。我们可以发现，动态分析技术与静态分析技术各有自己的优缺点。Capper作为一款动-静结合的检测方案，整体指标要优于传统的单一方案。因此，未来研究方向可以将动-静分析结合，这样会产生更多优秀的隐私泄露检测方案。

[1] kantar. smartphone-os-market-share[OL]. 2016. http://cn-en.kantar.com/media/mobile/kantarworldpanel-comtech-smartphone-os-market-share/.

[2] 友盟. [友盟+]2016Q2中国移动互联网发展报告[OL].2016.07. http://tip.umeng.com/uploads/datareport/2016q2mobilerepory.pdf?spm=0.0.0.0.sKuwvE&file=2016q2mobilere pory.pdf.

[3] Android Developers. Requesting Permissions at Run Time[OL]. https://developer.android.com/training/permissions/requesting.html.

[4] Enck W, Octeau D, McDaniel P, et al. A Study of Android Application Security[C]//USENIX secu-rity symposium.2011, 2: 2.

[5] Mahaffey K, Hering J. App Attack-Surviving the Explosive Growth of Mobile Apps[J]. 2010.

[6] 智测云. Android应用安全研究报告: 恶意扣费与山寨App高居不下[OL]. 2016.03. http://www.smarterapps.cn/index.php?app=home&mod=Appinfo&act=articleDetail&id=71.

[7] 新浪科技. Android应用审核乱象: 诈骗软件冲上排行榜首[OL]. http://tech.sina.com.cn/i/2014-04-15/00379319140.shtml.

[8] Lam P, Bodden E, Lhota′k O, et al. The Soot framework for Java program analysis: a retrospec-tive[C]//Cetus Users and Compiler Infastructure Workshop (CETUS 2011). 2011, 15: 35.

[9] Arzt S, Rasthofer S, Fritz C, et al. Flowdroid: Precise context,flow, field, object-sensitive andlifecycle-aware taint analysis for android apps[J]. ACM SIGPLAN Notices, 2014, 49(6):259-269.

[10] Bodden E. Inter-procedural data-flow analysis with ifds/ide and soot[C]//Proceedings of the ACMSIGPLAN International Workshop on State of the Art in Java Program analysis. ACM,2012: 3-8.

[11] Li L, Bartel A, Bissyande′T F, et al. Iccta: Detecting inter-component privacy leaks in android apps[C]// Proceedings of the 37th International Conference on Software Engineering-Volume 1.IEEE Press, 2015: 280-291.

[12] Lu L, Li Z, Wu Z, et al. Chex: statically vetting android apps for component hijacking vulnera-bilities[C]//Proceedings of the 2012 ACM conference on Computer and communications security. ACM, 2012: 229-240.

[13] Wei F, Roy S, Ou X. Amandroid: A precise and general inter-component data flow analysis frame-work for security vetting of android apps[C]//Proceedings of the 2014 ACM SIGSAC Conferenceon Computer and Communications Security. ACM, 2014: 1329-1341.

[14] Gibler C, Crussell J, Erickson J, et al. AndroidLeaks:automatically detecting potential privacyleaks in android applications on a large scale[C]//International Conference on Trust and TrustworthyComputing. Springer Berlin Heidelberg, 2012: 291-307.

[15] wala.WALA[OL]. https://github.com/wala/WALA.

[16] Enck W, Gilbert P, Han S, et al. TaintDroid: an informationflow tracking system for realtimeprivacy monitoring on smartphones[J]. ACM Transactions on Computer Systems(TOCS), 2014, 32(2): 5.

[17] Hornyack P, Han S, Jung J, et al. These aren’t the droids you’re looking for: retrofitting androidto protect data from imperious applications[C]//Proceedings of the 18th ACM conference on Com-puter and communications security.ACM, 2011: 639-652.

[18] Pravin M N P. VetDroid: Analysis Using Permission for Vetting Undesirable Behaviours in Android Applications[J].

[19] 杨广亮, 龚晓锐, 姚刚, 等. 一个面向Android的隐私泄露检测系统[J]. 计算机工程, 2012, 38(23): 1-6.

[20] Beresford A R, Rice A, Skehin N, et al. Mockdroid: trading privacy for application functionality onsmartphones[C]//Proceedings of the 12th workshop on mobile computing systems and applications. ACM, 2011: 49-54.

[21] Ghasemi H, Haghighat A T, Razazi M, et al. Pervasive privacy: A practical context-aware systemto preserve privacy on android smartphones[C]//Information and Knowledge Technology (IKT), 2015 7th Conference on. IEEE, 2015: 1-6.

[22] Burguera I, Zurutuza U, Nadjm-Tehrani S. Crowdroid: behavior-based malware detection systemfor android[C]// Proceedings of the 1st ACM workshop on Security and privacy in smartphones andmobile devices. ACM, 2011: 15-26.

[23] Bell J, Kaiser G. Phosphor: illuminating dynamic data flow in commodity jvms[C]//ACM SIGPLAN Notices. ACM,2014, 49(10): 83-101.

[24] Zhang M, Yin H. Efficient, context-aware privacy leakage confinement for android applicationswithout firmware modding[C]//Proceedings of the 9th ACM symposium on Information, computerand communications security. ACM, 2014:259-270.

[25] Rastogi V. Uranine: Real-time Privacy Leakage Monitoring without System Modification for Android[M]//Security and Privacy in Communication Networks. Springer International Publishing, 2015.

Survey on Detecting of Application Privacy Leaksbased on Android

LI Zi-qing, WANG Yong-ning
(School of physics and electronic information engineering, Qinghai University for Nationalities QingHaiXin in 810007 China)

In recent years, with the rapid development of the Android mobile operating system, usercan use all kinds of applications conveniently. Privacy leak has become a serious security problem. This paper analyzed the key technologies of privacy leak detection existing in Android platform, andintroduced the current situation and progress in this field. This paper put forward the indicators tosolve the problem that the standard has not yet been unified for evaluating the current privacy detectiontechnologies. Finally, we evaluated these technologies and gave the assessments, hoping to promotethe criteria establishment of privacy leak detection.

: Android; Privacy; Leak and Detection

TP309

A

10.3969/j.issn.1003-6970.2017.10.014

本文著录格式：李自清，王咏宁. Android平台应用隐私泄露检测与评估技术[J]. 软件，2017，38（10）：77-82

教育部“春晖计划”合作科研项目，(S2015037)

李自清(1975-)，讲师，硕士，研究方向：计算机应用技术。