Android應用程序隱私權限安全研究

鐘 越 付迪陽

(四川大學計算機學院 成都 610065)

(2018223049249@stu.scu.edu.cn)

在過去的10年中，智能手機的普及極大地促進了移動應用程序.根據AppBrain的數據顯示，截至2018年9月，全球最大的Android應用商店Google Play上的可用應用程序數量已經超過280萬.應用程序在我們的日常生活中扮演著極其重要的角色.許多用戶在他們的移動設備上存儲了大量敏感和私有的數據.這類數據面臨遭受惡意收集的風險，這已成為整個Android生態系統的主要威脅.

Android系統由于其開源性，長期以來一直是惡意應用程序攻擊的主要目標.其主要漏洞之一是權限機制，Android的權限機制要求應用程序申請需要訪問的用戶隱私權限(如聯系人、SMS、相機和互聯網訪問等).因此，Android的安全性在很大程度上取決于這種權限機制的有效性.現有的主要威脅是，惡意應用程序可能會請求額外的權限來訪問用戶的敏感和私有數據.為了盡量減少這種威脅，一些研究人員設計了面向用戶的權限提示，以確保智能手機用戶被正確地通知應用程序請求的權限.然而，由于Android許可機制的復雜性，這些努力已被證明幾乎是無效的.主要原因是大多數用戶并不能完全理解Android的權限機制.他們通常只是忽略提示并接受應用程序的權限請求.因此，應用程序可以很容易獲得額外的權限，這增加了用戶隱私泄露的風險.

1 Android應用程序隱私權限

1.1 Android系統權限機制

Android是Google公司以Linux為內核開發的移動設備開源系統，所以在Android中保留了Linux中的一些安全機制，如Linux中的自主訪問控制機制，Android的權限機制其基石就是訪問控制機制[1].

為了讓用戶知道應用程序的隱私權限使用情況，Android要求開發者預先申明需要使用的隱私權限，用戶在安裝應用程序時需要對這些權限請求進行授權.具體來說，Android系統中每個開發者開發的應用程序被分配1個唯一的用戶ID，而每個用戶ID訪問的權限集合是受限的，沒有任何一個Android移動應用程序可以在默認情況下直接訪問其他應用程序.開發者在應用程序的開發過程中，必須把要使用的權限通過〈uses-permission〉標簽在AndroidManifest.xm1文件中進行申明.而用戶在安裝移動應用程序前會被告知這個應用程序需要使用的用戶隱私權限.只有在這些權限被用戶授權的情況下，Android應用程序才能允許在運行過程中使用相關功能.

1.2 Android權限機制存在的問題

通過上文對Android系統權限機制的介紹可知，為了保護用戶的隱私，Google公司在Android隱私權限方面已經做了很多工作，然而Android的權限機制仍然存在一些不容忽略的缺點和不足.

首先，Android應用程序的隱私權限機制太過依賴用戶的判斷，用戶通過應用程序的功能和介紹來決定是否同意授權并安裝應用程序.然而，期望用戶對如此多的應用程序所使用的不同權限保持警覺是不夠明智的.Felt等人[2]評估Android用戶在安裝過程中是否注意、理解和操作權限信息.他們對203個Android用戶的調查表明，用戶對應用程序的隱私權限表現出較低的關注和理解率.17%的調查受訪者在安裝過程中會關注應用申請了什么權限，只有3%的調查受訪者能夠正確理解調查者提出的3個權限問題.Felt等人[2]的研究結果表明，Android權限訪問控制機制并不能讓大多數用戶在安裝和使用應用程序時作出安全的決策.

其次，不同于iOS系統在運行時的用戶權限訪問控制機制，Android權限機制大多是在安裝時期確定的[3]，盡管Google公司在Android 6.0之后進行了改進，可以在應用程序首次使用權限時詢問用戶是否授權.但是Android系統并不能根據運行時環境的不同動態修改應用程序的訪問隱私資源的能力，而且權限一旦被授權給應用程序后，應用程序就始終擁有該權限.這就使得Android的權限控制具有局限性，用戶無法細粒度地對應用程序的隱私權限進行管理，也增加了用戶隱私泄露的風險.

1.3 Android權限機制改進方案

對于Android權限機制存在的問題改進方案大致分為2個方面：

一方面是面向用戶的，針對用戶對Android隱私權限理解的不足，有研究人員試圖通過給出更加合理的提示來使用戶了解權限.例如，Kelley等人[4]設計了更詳細的權限提示框的內容，提醒用戶使用特定權限時的后果和隱含的風險.也有學者試圖通過學習用戶的隱私偏好，自動地為用戶配置應用程序的隱私權限.Liu等人[5]和Lin等人[6]通過詢問用戶隱私權限偏好的問題和研究分析用戶隱私配置文件，預測用戶重視的隱私權限，從而實現自動化權限配置.針對Android的權限只能在安裝或首次使用時確定的問題，有學者開發出細粒度管理應用程序權限的工具，如Nauman等人[7]和Bugiel等人[8]開發了一個細粒度的Android權限使用控制工具，設備中的哪些權限允許被訪問，哪些權限不允許被訪問都可由用戶指定.而且這些決策還能夠在運行時期進行，比如在某些特定的地點、特定的時間才能訪問某些資源，或者限制某個應用程序每天短信發送的最大數量等.而對于隱私權限的監控方面，雷磊等人[9]通過重打包注入代碼的方法，實現對目標應用敏感權限的實時監控.

另一方面主要是面向開發人員，由于Android權限的復雜性，開發人員往往不能夠完全了解自己程序調用的API需要申請的權限.Felt等人[10]提出了一組指導原則，以幫助開發者確定最合適的權限申請配置文件，它提醒開發人員加強對權限的理解，在開發過程中不要聲明不必要或錯誤的權限，但由于Android開發文檔沒有成熟的API描述，該方法可能會出現一些錯誤.而PScout[11]使用靜態分析從Android OS源代碼中提取權限規范，并推薦開發人員遵循權限規范配置隱私權限.

2 Android應用程序隱私權限安全風險檢測方案

上文對Android應用程序隱私權限研究是基于Android系統本身的權限機制，主要的研究思路是通過各種方法提高用戶和開發者對應用程序隱私權限的認知和管理.但是這些方法最終對用戶和開發者的影響仍然很小.而且對于應用程序開發者而言，開發者本身并沒有規范其隱私權限管理的意愿.相反，一些應用程序開發商為了某些商業利益，會故意申請一些與其應用程序業務和功能無關的權限.Felt等人[12]研究分析了940個應用程序，發現大約1/3的應用程序出現了濫用用戶隱私權限的情況.中國互聯網應急中心的監測也發現同樣的現象，在用戶下載量較大的千余移動應用程序中，應用程序平均申請25項權限，其中有超過30%的移動應用程序申請與自身業務無關的權限.所以只是提高用戶和開發人員的隱私保護意識顯然是不夠的.為了解決這個問題，我們需要一種自動化的檢測方法，這種方法可以自動地分析和檢測應用程序是否申請使用與其功能無關的隱私權限，從而對應用程序是否有隱私泄露風險進行合理的評估.近年來，有學者分別在3個不同的方向進行了探索：1)從描述(App商店的功能簡介)中提取應用程序所需的隱私權限；2)基于靜態代碼分析的方法檢測隱私權限風險；3)從隱私政策(privacy policy)中提取應用程序所需的隱私權限.

2.1 基于描述的隱私權限分析

應用程序的描述(description)指的是應用程序在App商店的簡介，開發者把自己開發的應用程序功能和特點介紹給用戶.用戶根據應用程序的描述，決定是否下載這些應用程序.

使用應用程序的描述信息對隱私權限進行分析始于2013年，Whyper[13]使用自然語言處理技術對應用程序的描述進行語義建模，從而提取各種特征詞組合作為應用程序的聲明功能，并將它們映射到應用程序聲明的權限，判斷其描述信息中是否與用戶隱私相關的3種權限(通訊簿、日歷和錄音音頻)有關，Whyper的實驗結果表明，使用應用程序的描述信息可以成功地判斷應用程序是否需要某些用戶隱私權限.Autocog[14]對Whyper的語義模型進行了改進，并根據API的文檔中提取自然語言關鍵字來關聯描述和權限語義.Autocog語義提取的關鍵組成部分是顯式語義分析，它利用如維基百科這樣的大語料庫來創建一個大規模的語義數據庫，這種的分析方法大大緩解了描述語義信息有限的問題.Whyper和Autocog使用的都是自然語言處理特征詞提取的方法，通過提取特征詞映射到各個隱私權限，最后評估應用程序申請的隱私權限是否與描述相一致.這種方法的缺點在于應用程序的描述信息是有限的，一些應用程序的描述非常簡短，通過語義建模的方式提取特征詞可能無法提取出太多有效的信息，而且，應用程序開發者未必會把其開發的程序所有功能都在App商店中描述清楚.

針對上述問題，一些學者提出使用LDA主題模型提取應用程序描述文本的特征，用這些主題特征進行聚類，為每類應用程序推斷出其合理的權限集合.隱狄利克雷分布(latent Dirichlet allocation, LDA)[15]是一種主題模型，它可以將文檔的主題提取出來，并按照概率分布的形式給出，LDA主題模型在自然語言處理領域有廣泛的應用.Gorla等人[16]使用LDA主題模型對應用程序描述進行分析，把應用程序調用的隱私接口函數名作為一個自然語言的單詞與應用程序描述的語料庫一起進行LDA主題建模，通過訓練好的模型得到隱私接口出現在每個主題的概率，從而判斷應用程序是否需要某個隱私權限.Han等人[17]和Xiao等人[18]則在使用LDA主題模型提取出應用程序的主題特征后，通過協同過濾推薦算法對應用程序應當具有的隱私權限進行分析，其基本思路是描述主題特征相似的應用程序應該給與推薦相似的隱私權限，他們使用良性的應用程序訓練這個推薦系統，并使用惡意程序推薦的權限集進行對比，從而得到基于描述的最小用戶隱私權限集合，并把最小權限集合與程序實際使用的權限進行對比，分析應用程序隱私權限是否過度使用.TFDroid[19]使用機器學習的方法分析應用程序描述，通過LDA主題模型對描述文本進行特征提取，使用K-Mean算法對應用程序進行分類，然后對每一類的應用程序訓練一個One-Class SVM分類器判斷其是否有隱私安全風險.

2.2 基于靜態代碼分析的方法檢測隱私權限風險

靜態代碼分析(program static analysis)[20]是指并不需要運行程序代碼，僅僅通過分析和掃描程序的語法、數據流、控制流等，檢查代碼是否滿足安全、規范、可靠等指標.靜態代碼分析在PC端已有相應的研究，而移動端在這個方向的研究是近些年才開始的.

有學者[21-24]通過靜態代碼分析的方法構建應用程序的數據流和控制流，通過判斷隱私敏感數據在良性應用程序和惡意應用程序中不同的行為方式，判斷應用程序是否有隱私泄露的風險.由于僅通過分析應用程序的隱私數據流得到的信息是有限的，有一些研究人員[25-30]通過提取UI(用戶界面)元素上下文，結合隱私數據流對應用程序的隱私權限安全進行檢測.其具體思路是對涉及用戶隱私信息的數據流進行跟蹤，挖掘與這個數據流有關的UI元素所包含的文本信息，通過機器學習方法比對UI上下文信息和調用的隱私API文檔的一致性，從而判斷程序的使用隱私權限行為是否符合其UI上下文.還有一種研究方法[31-35]是通過靜態代碼分析應用程序所使用的API，從API推斷合理的隱私權限.Bartel等人[31]和Karim等人[32]使用靜態代碼分析提取程序使用的API，然后通過關聯規則識別每個API所需要的隱私權限.從API到權限的映射關系中得到應用程序應該配置的隱私權限.而Bao等人[33]和Liu等人[34]通過挖掘應用程序使用的API和API描述特征，基于具有相似特性API通常具有相似的權限這樣一種思路，使用協同過濾算法為給定的應用程序推薦權限.

基于靜態代碼分析方法的問題在于，應用程序靜態分析比較耗費實驗設備的運算能力，如果對復雜的應用程序進行靜態代碼分析可能需要較長的時間.結合UI元素上下文進行靜態分析方法的問題在于UI元素的文本碎片化，從這些碎片化的文本信息很難映射到相應的權限.而對于通過分析程序API進行權限推薦的方法，由于Android的版本頻繁更新和豐富的第三方庫，API的數量、功能和描述也隨之變化，API分析方法可能不適用于新版本的Android系統.

2.3 基于隱私政策的隱私權限分析

所謂隱私政策，是App商店出于對用戶個人隱私信息的保護，要求開發者在上傳其開發的應用程序時，需要提供1份用戶隱私信息使用情況的說明文檔，在這個文檔里，開發者要明確告知用戶其應用程序收集、使用、處理個人信息的目的、方式和范圍.

PVDetector[35]分析應用程序隱私使用情況與隱私策略描述的不一致來檢測Android應用程序違反隱私政策的行為.PPChecker[36]使用自然語言處理技術分析Android應用程序隱私政策，然后通過比對應用程序實際使用用戶隱私權限的情況，判斷出應用程序的隱私政策可能會出現的5個問題(incomplete，incorrect，imprecise，inconsistent，unfriendly).Wilson等人[37]將基于機器學習的隱私策略分析與應用程序靜態代碼分析相結合，判斷隱私政策與程序行為不一致情況.而Yu等人[38]則開發出TAPVerifier對隱私政策、描述和程序實際使用的隱私權限進行分析，并在其中進行交叉驗證，判斷應用程序的隱私安全問題.

基于隱私政策的分析方法優點在于隱私政策就是介紹應用權限的使用情況，其與權限的高相關性使得自然語言處理提取的權限信息更加簡單和準確.這種方法的缺點在于隱私政策是開發者自己撰寫的，其聲明的隱私權限未必是應用程序所必須的.

3 研究總結和展望

本文介紹了Android系統隱私權限安全機制、存在的問題及改良方法，總結了現有的Android應用程序隱私權限安全風險檢測方案，并詳細介紹了基于描述、靜態代碼分析和隱私政策3個方向的主要研究思路和技術手段.雖然目前已經有許多關于Android應用程序隱私權限的研究工作，其中一些取得了很好的研究成果.但是現有研究方法都存在著一些問題，需要進一步的優化.無論應用程序的描述、隱私政策和程序代碼，其實都在一定程度上體現了程序所需要的隱私權限信息，而單方面的分析方法都沒有使用到我們可以獲得的全部信息.如何統一這些應用程序信息，從中提取出有效的隱私權限特征，從而更加準確地評估Android應用程序的隱私安全風險將是未來重要的研究方向.