计算机科学与探索 ›› 2019, Vol. 13 ›› Issue (1): 56-69.DOI: 10.3778/j.issn.1673-9418.1710031
王靖瑜1,徐明昆1,王浩宇2+,徐国爱3
WANG Jingyu1, XU Mingkun1, WANG Haoyu2+, XU Guo'ai3
摘要: 移动应用会频繁使用敏感信息,因此,Google建议开发者在上传应用时发布隐私条例文档,从而更好地保护用户隐私。尽管很多工作关注于隐私条例与应用行为的一致性分析,然而现有工作均使用静态分析和白名单分析第三方库的方法,导致隐私条例的一致性检测结果的不准确和不完整。提出一种自动化检测应用隐私条例文档是否与应用行为相一致的工具。首先,使用一种改进的自然语言处理的方法提取隐私条例文档中的隐私信息和应用敏感行为;然后,使用静态分析和动态分析相结合的方法分析应用实际的隐私行为,同时区别于传统的白名单对照方式,使用了基于聚类的第三方库的检测方法提高了检查的准确性,最后将文本中声明的隐私信息行为和代码中分析出的隐私权限进行一致性校验。实验对455个应用进行分析,工具对隐私条例中隐私信息提取的准确率为94.75%,大约有50%的应用存在着应用行为和隐私条例文档不一致的问题。