本發明公開了一種移動應用程序第三方庫隱私收集辨識方法，實現對隱私API調用源和隱私收集行為主體的辨識，降低了檢測技術實現的時間成本和技術成本，從而提高了第三方庫隱私收集的檢測效率，同時提高了檢測方法的適配性。

技術領域

本發明屬于計算機技術領域，具體涉及一種移動應用程序第三方庫隱私收集辨識方法。

背景技術

隨著移動互聯網和智能終端的飛速發展，App數量呈指數性增長。由于App開發的準入門檻較低，國內第三方應用市場如雨后春筍般出現，App上架審核機制不完善等一系列原因導致App出現質量參差不齊、安全性無法保證的局面。騰訊發布的《2018年度網絡隱私及網絡欺詐行為研究分析報告》顯示，當前所有的Android端App都會不同程度獲取手機隱私權限，比例達到100％。Android第三方庫封裝系統底層代碼，避免開發者做重復多余的工作，讓其專注于業務邏輯，App通過集成第三方庫得以快速實現業務功能，降低開發成本。但是第三方庫普遍以Jar格式對外發布，App開發者無法閱讀源代碼，因此App開發者不了解第三方庫的全部功能和安全風險。App和第三方庫在同一進程下運行，兩者共享權限，第三方庫可以在用戶不知情的情況下收集隱私信息。第三方庫的安全風險來自App權限的濫用，然而現有的訪問控制機制無法區分隱私訪問請求的來源，因此，辨識第三方庫的隱私收集情況有著迫切的需求。

現有研究主要圍繞App的隱私收集和廣告第三方庫檢測展開，而對于第三方庫的研究較少。隱私收集檢測的方法包括基于污點的靜態數據流分析方法、基于污點的動態數據流分析方法和基于意圖的數據流分析方法等。但是，上述現有方法主要實現的是App級別的隱私收集辨識，但無法辨識App集成的第三方庫的隱私收集行為，另外，開發者為防止App被不法分子破解后重用代碼成果，普遍采用代碼混淆技術模糊源代碼，或者采用加固技術進行安全保護，這些保護措施使依賴靜態檢測技術的檢測方法，提高了時間成本和技術成本；此外，現有技術中，為實現對App隱私收集行為的動態捕獲，現有方法需要修改Android操作系統源代碼，采用Android內核監控技術方案或應用層監控技術方案替換原有系統服務例程函數，這就需要研究人員對Android系統架構和邏輯實現進行深入研究，增大了實現上的技術難度。

總之，現有技術中針對App的第三方庫隱私收集檢測方法主要存在檢測效率低、針對的App有限檢測覆蓋面小、適配性較差及實現難度較高的問題。

發明內容

有鑒于此，本發明提供了一種移動應用程序第三方庫隱私收集辨識方法，實現對隱私API調用源和隱私收集行為主體的辨識，降低了檢測技術實現的時間成本和技術成本，從而提高了第三方庫隱私收集的檢測效率，同時提高了檢測方法的適配性。

本發明提供的一種移動應用程序第三方庫隱私收集辨識方法，具體包括以下步驟：

步驟1、對移動應用程序進行反編譯，得到反編譯后的文件；遍歷所述文件，提取除移動應用程序包名以外的第三方庫名稱列表；

步驟2、動態監控隱私API的調用情況；

當移動應用程序調用某個隱私API時，提取當前線程的系統堆棧信息，分析得到該隱私API調用鏈；

步驟3、分析所述隱私API調用鏈，還原隱私信息收集路徑，如果所述隱私信息收集路徑中涉及的第三方庫調用，與步驟1中得到的所述第三方庫名稱列表中的名稱匹配，則可識別出隱私API調用源和作為隱私收集行為主體的第三方庫。

進一步地，所述步驟2中動態監控隱私API的調用情況，基于Xposed框架實現。

進一步地，所述隱私API調用鏈采用{Api₁,Api₂,...,Api_n}表示，其對應的調用關系為Api₁→Api₂→...→Api_n，其中，Api_n為隱私API。