论文研读:On the (Un)Reliability of Privacy Policies in Android Apps

已于 2024-09-02 13:25:33 修改
阅读量846 收藏 19
点赞数 20
文章标签: android
于 2024-09-02 13:15:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vidi19/article/details/141817187
版权

​​​​​​1.论文信息

作者:Luca Verderame; Davide Caputo; Andrea Romdhana; Alessio Merlo

年份:2020年

机构:DIBRIS, University of Genoa, Genoa, Italy

会议:International Joint Conference on Neural Networks (IJCNN)

主要内容:提出了一种基于静态分析、动态分析和机器学习技术的Android应用程序合规检测工具3PDroid,主要评估应用程序及其使用的第三方库是否符合 Google Play Store的隐私政策。

关键词:Android, Privacy Guidelines, Static Analysis, Dynamic Analysis, Machine Learning

2.问题分析

  1. 大多数隐私政策合规检测方法依赖于静态分析,容易导致误报和漏报,难以准确识别应用的真实隐私合规性。
  2. 部分研究仅考虑应用商店发布的隐私政策,未关注app实际运行时展示给用户的隐私政策页面,因此无法判断应用程序运行时提示给用户的页面是否符合其在应用商店发布的隐私准则。此外,现有研究不能检测用户是否在app访问个人和敏感信息(PSI)之前已明确授权。
  3. 应用程序多使用第三方库和框架,增加了评估的复杂性,难以全面评估应用的隐私合规性

3.研究方案

本文提出了一种基于静态分析、动态分析和机器学习技术相结合隐私合规检测方法3PDroid,以验证 Android应用程序是否符合Google Play Store的隐私政策。

合规标准:文中提出了一系列技术要求和内容要求,将其作为是否合规的判定标准,如下图1.1所示。

图1.1 Google Play 隐私准则的技术要求(TR) 和内容要求(CR)

总的来说,3PDroid的具体检测内容包括:

  1. 应用程序是否包含隐私政策页面。
  2. 隐私政策页面完全符合 Google Play 的隐私准则。
  3. 应用程序是否在用户接受隐私政策后才访问个人敏感信息。
  4. 应用程序及其第三方库/对个人敏感信息的访问是否符合隐私政策。

3PDroid框架:3PDroid共分为7个模块,其框架结构如下图1.2所示。

图1.2 3PDroid检测工作流

各模块具体功能如下:

A. PSI (personal and sensitive information)Mapping: 建立与隐私相关的 Android 权限(图1.3)和第三方库及其相应的 PSI 相关 API 方法的映射(图1.4)。

图1.3  Android 权限、PSI 和 API ⽅法的映射

图1.4 从 InMobi 库中提取的 API ⽅法⽰例及其与 PSI 的映射

B. App Analyzer:从APK反编译,以提取应用程序请求的权限列表及其包含的第三方库列表。之后,会请求PSI Mapping查询权限或库是否与隐私相关,如果是则获取相关的PSI和API方法列表,并将PSI列表发送给CR Checker,将API方法列表发送给PAPI Monitor,并触发DTE进行动态分析。

C. Dynamic Testing Environment(DTE):初始化Android模拟设备并安装APK。

D. Privacy Policy Page Detector (3P Detector):连接到DTE,使用MLP多层感知机分析应用程序页面的 XML文本,判断是否为隐私政策页面。如果找到政策页面,返回相关信息;如果未找到,则标记应用为不合规。该模块可评估应用程序是否符合TR1、TR2规则。

E. Privacy API Monitor (PAPI Monitor):判断接受隐私政策页面之前,应用是否调用任何 PSI 相关的API。该模块可评估应用程序是否符合TR4规则。

F. Technical Requirement (TR) Tester:通过分析页面的 XML判断其他TR规则。

G. Content Requirement (CR) Checker:验证隐私政策页面是否成功声明了应用请求的所有 PSI,判断是否符合CR1规则。该模块会根据App Analyzer模块提供的PSI列表,执行多个基于机器学习的分类器,如下图1.5所示。

图1.5 CR Checker使用的模型参数

4.实验评估

1.实验环境:Intel Core i7-3770@3.40 GHz、16GB RAM 和 Ubuntu 

2.数据集:按照安装数量和平均评分排名从 Google Play Store下载了5,473个程序。其中4,567个应用程序(即约 84.4%)具有指向Google Play Store隐私政策页面的有效链接。

3.实验结果:

  1. 成功率:3PDroid能够分析 92.4% 的应用程序。部分程序失败的原因是不能在具有 root 权限的 Android设备上模拟,部分程序失败的原因是应用程序仅在特定的地理位置才能执行。
  2. 性能:共耗时413 ⼩时,平均每个应用耗时 272 秒。
  3. 合规性分析:结果如图1.6所示。只有 5.5% 的分析应用程序符合 Google Play 隐私准则(其中包括不访问任何 PSI 的应用程序)。

图1.6 3PDroid检测结果

  1. 可靠性分析:手动分析了1348个应用(约占总数据集的26.6%)以评估3P Detector的可靠性。手动分析了满足所有TR 标准的94个应用以评估CR Checker的可靠性。结果如图1.7所示。

图1.7 可靠性分析结果

5.优缺点

优点:

  1. 使用动态分析方法,侧重于从应用行为的角度和用户使用检测应用是否合规,例如应用运行时是否包含隐私政策页面,用户是否明确的点击了确认隐私政策等
  2. 考虑了APP涉及的第三方库的隐私政策合规分析。

缺点:

文中的Content Requirement (CR) Checker仅以隐私政策的完整性作为合规验证指标,相对来说不够全面。

vidi19
关注
  • 20
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
建议收藏:2024新版GPT/Claude超详细论文润色指南「更新至24-08-03」
He_r_o的博客
02-15 29万+
更新至24-08-03,毕业季必看,一站式GPT论文助攻指南,革新论文写作方式。
Chapter1 : Application of Artificial intelligence in Drug Design: Opportunity and Challenges
weixin_52812620的博客
07-03 2499
《Artificial Intelligence in Drug Design》第一章
On the Role of Middleware in Architecture-Based Software Development——Translation Version
Mr.鹏
05-06 4357
On the Role of Middleware in Architecture-Based Software Development——Translation Version Mainly from the machine translation, a small part of the manual modification
【置信度校准】On Calibration of Modern Neural Networks论文阅读笔记
ROYOLE'S
10-04 2282
摘要 置信度校正——预测代表真实正确性似然(可能性)的概率估计问题,在许多应用中对分类模型是重要的。 通过大量的实验,我们观察到深度网络的深度、宽度、权重衰减和批归一化是影响校准的重要因素。 在这篇文章中,还提出了一种基于早期置信度校准方法Platt scaling的变式——temperature scaling 一.引言 校准的概率的重要性 分类网络不仅需要准确,还需要知道什么时候是不正确的。 在一些实际应用中,人们需要可靠的模型进行判断,而不是单纯的需要一个高准确率的模型.以自动驾
The Implementation of RFCOMM in Android
G程师专栏
04-15 4822
Introduction     RFCOMM provides an emulation of serial cable line settings and status of an RS-232 serial port. RFCOMM is a simple transport protocol over L2CAP. So the protocol could supports up to
Bounds on the Reliability of RaptorQ Codes in the Finite-Length Regime
02-08
Bounds on the Reliability of RaptorQ Codes in the Finite-Length Regime
Significant vs meaningful differences in the effects of tangible reinforcement on intelligence test achievement and reliability of tmr subjects
06-29
Significant vs meaningful differences in the effects of tangible reinforcement on intelligence test achievement and reliability of tmr subjects SIGNIFICANT VS MEANINGFUL DIFFERENCES I N THE EFFECTS...
The effect of omitting a limited number of subtests on the full scale reliability of the WISC-R
06-29
The effect of omitting a limited number of subtests on the full scale reliability of the WISC-R T H E EFFECT OF OMITTING A LIMITED NUMBER OF SUBTESTS ON THE FULL SCALE RELIABILITY OF T H E WISC-R ...
安卓14(小米HyperOS)APP中修改用户头像时,APP闪退的问题(报错 ”Mutation of _data is not allowed.“)
一个AR程序猿的博客
09-02 414
安卓14(小米HyperOS)APP中修改用户头像时,APP闪退的问题java.lang.IllegalArgumentException: Mutation of _data is not allowed.
【QNX+Android虚拟化方案】118 - QNX 如何抓取系统 log 方法 之 网络部分日志抓取方法
|~~~热爱生活、努力学习的小伙汁~~~|
08-31 821
【QNX+Android虚拟化方案】118 - QNX 如何抓取系统 log 方法 之 网络部分日志抓取方法
安卓model转鸿蒙ets
最新发布
琼小资的专栏
09-03 257
现在的android studio提供了java自动转kotlin的实现,非常方便。那android的java和kotlin有没有可能转成鸿蒙artts呢。先从最简单的model转换开始,把kotlin的model转成ets。本质上都是字符串文件,讲道理应该是可行的。
【QNX+Android虚拟化方案】107 - QNX NFS Server + Android NFS Client 完整配置
|~~~热爱生活、努力学习的小伙汁~~~|
08-31 835
【QNX+Android虚拟化方案】107 - QNX NFS Server + Android NFS Client 完整配置
C语言入门基础知识(持续更新中)
香草味冰淇淋
08-29 1571
C语言作为面向过程的计算机编程语言,属于高级语言范畴,它既有高级语言的特点,又有汇编语言特点。设计目标是提供一种能以简易方式编译、处理低级储存器的编程语言。它可以作为工作系统设计语言,编写系统应用程序,也可以作为应用程序设计语言,编写不依赖计算硬件的应用程序,代码精简,十分灵活。
Android中AsyncTask的基本用法
m0_63526467的博客
08-31 721
Android中AsyncTask的基本用法
Android 获取ip地址多种方式介绍
wenzhi的博客
08-29 2020
adb shell 的 ifconfig可以获取当前设备网络节点信息;这些信息使用Android代码也是可以获取的;Android 获取网络ip有多种方式,有时候某种方式获取失败的情况下;那么就可以换一种获取方式,所有多学习一下获取网络ip相关信息是有用的。本文介绍三种获取网络ip信息的方式,并且最后一种的代码不用任何权限就能获取到相关节点的ip和MAC地址,有兴趣的可以看看。
vulhub xxe靶机
m0_75036923的博客
08-29 764
进入robots.txt里面会发现俩个目录然后我们进去xxe里面。可以看到关于密码和用户名的是xml,那么就可以考虑用xxe注入。解码出来是/etc/.flag.php然后重新修改xml。将admin.php改为flagmeout.php。可以看到有很多乱码,然后进行base64解码。进入xxe页面进行登录,burp抓包。解码后发现还需要进行以此md5解码。先用御剑扫描出ip然后进入网页。然后编成php文件进行访问。进行base32解密。
MySQL 使用C语言链接
JK01WYX的博客
09-02 1537
mysql_get_client_info() ; msql_real_connect() ; mysql_query() ; mysql_store_result() ; mysql_num_rows() ; mysql_num_fields() ; mysql_fetch_fields() ; mysql_fetch_fields() ; mysql_close()
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值