多維度iOS隱私泄露評(píng)估模型研究

邢月秀，胡愛(ài)群，王永劍，趙然

（1. 東南大學(xué)信息安全研究中心，江蘇 南京210096；2. 公安部第三研究所，上海200031）

多維度iOS隱私泄露評(píng)估模型研究

邢月秀1，胡愛(ài)群1，王永劍2，趙然1

（1. 東南大學(xué)信息安全研究中心，江蘇 南京210096；2. 公安部第三研究所，上海200031）

針對(duì)目前iOS平臺(tái)隱私泄露檢測(cè)缺乏系統(tǒng)性的評(píng)估方法，提出了一種多維度iOS隱私泄露評(píng)估模型。該模型分為綜合靜態(tài)分析、動(dòng)態(tài)分析和網(wǎng)絡(luò)數(shù)據(jù)分析方法，從多維度對(duì)應(yīng)用程序隱私泄露行為進(jìn)行特征抽取和評(píng)估。實(shí)驗(yàn)測(cè)試了30款來(lái)自蘋(píng)果App Store不同類(lèi)型的應(yīng)用程序，發(fā)現(xiàn)超過(guò)50%的應(yīng)用程序會(huì)讀取用戶(hù)位置信息，約40%的應(yīng)用程序存在未經(jīng)用戶(hù)同意發(fā)送數(shù)據(jù)到服務(wù)器的情況。該模型彌補(bǔ)了單一使用靜態(tài)分析或動(dòng)態(tài)分析方法的局限性，有效解決了隱私泄露的量化問(wèn)題。

iOS；隱私泄露；靜態(tài)分析；動(dòng)態(tài)分析；網(wǎng)絡(luò)數(shù)據(jù)分析

1　引言

互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC，Internet data center）2015年第二季度智能手機(jī)市場(chǎng)調(diào)查報(bào)告［1］顯示：iOS智能手機(jī)的市場(chǎng)占有率為 13.9%，總出貨量達(dá)到了4 750萬(wàn)部。智能手機(jī)普及的同時(shí)，也帶來(lái)了用戶(hù)隱私泄露等安全問(wèn)題。但由于iOS平臺(tái)是一個(gè)相對(duì)封閉的系統(tǒng)，國(guó)內(nèi)外研究人員對(duì)該平臺(tái)的隱私泄露問(wèn)題研究相對(duì)較少。

2011年2月，Egele等［2］提出并實(shí)現(xiàn)了一種基于靜態(tài)分析的iOS隱私泄露檢測(cè)模型PiOS，該模型通過(guò)數(shù)據(jù)流分析和切片技術(shù)檢測(cè)iOS應(yīng)用程序的隱私泄露行為。但是，這種單一的靜態(tài)分析方法存在無(wú)法解析消息目的地等固有缺陷。

2011年6月，Gilbert等［3］指出PiOS存在較高的誤報(bào)率，并提出了基于動(dòng)態(tài)分析的iOS隱私泄露檢測(cè)方法。該方法通過(guò)掛鉤敏感應(yīng)用程序編程接口（API，application programming interface）函數(shù)，分析iOS應(yīng)用程序的函數(shù)調(diào)用行為，判定應(yīng)用程序是否讀取了隱私信息。

2014年，Andreas等［4］提出并實(shí)現(xiàn)了基于動(dòng)態(tài)API調(diào)用序列的iOS隱私泄露分析模型DIOS，DIOS主要包括3個(gè)部分：backend用作中央數(shù)據(jù)存儲(chǔ)；worker作為backend和iOS設(shè)備的數(shù)據(jù)交互鏈路；client安裝在iOS設(shè)備上，用于運(yùn)行和分析iOS App的行為。該模型通過(guò)掛鉤iOS API函數(shù)監(jiān)控應(yīng)用程序訪(fǎng)問(wèn)用戶(hù)隱私數(shù)據(jù)的行為，但是應(yīng)用程序?qū)﹄[私數(shù)據(jù)的訪(fǎng)問(wèn)行為并不等同于隱私泄露行為，而且相比于靜態(tài)分析，動(dòng)態(tài)分析也存在容易遺漏和檢測(cè)速度較慢的缺點(diǎn)。

綜上，目前國(guó)內(nèi)外對(duì)iOS隱私泄露的檢測(cè)大多采用單一的分析方法，缺少對(duì)應(yīng)用程序隱私泄露風(fēng)險(xiǎn)的綜合評(píng)估。為了更加合理和準(zhǔn)確地評(píng)估iOS應(yīng)用程序的隱私泄露，本文在深入研究靜態(tài)分析、動(dòng)態(tài)分析和網(wǎng)絡(luò)數(shù)據(jù)分析模型的基礎(chǔ)上，對(duì)iOS應(yīng)用程序隱私泄露行為進(jìn)行多維度檢測(cè)，提出并實(shí)現(xiàn)了基于多維度的iOS隱私泄露評(píng)估模型。

2　多維度iOS隱私泄露評(píng)估模型

從多維的角度來(lái)看，應(yīng)用程序主要是由代碼、行為和數(shù)據(jù)3個(gè)維度組成，多維度iOS隱私泄露評(píng)估模型也分為靜態(tài)分析、動(dòng)態(tài)分析和網(wǎng)絡(luò)數(shù)據(jù)分析3個(gè)維度，如圖1所示。根據(jù)已有的研究可知，靜態(tài)分析速度快、效率高，可以有效地提高檢測(cè)率［5］，但是誤報(bào)率較高；動(dòng)態(tài)分析速度相對(duì)較慢，但是可以監(jiān)控應(yīng)用程序?qū)﹄[私數(shù)據(jù)的實(shí)際訪(fǎng)問(wèn)行為，有效地解決了程序加殼、隱藏API調(diào)用等靜態(tài)分析無(wú)法解決的問(wèn)題；網(wǎng)絡(luò)數(shù)據(jù)分析則解決了靜態(tài)分析和動(dòng)態(tài)分析只能檢測(cè)應(yīng)用程序?qū)﹄[私數(shù)據(jù)的訪(fǎng)問(wèn)，但不能確定應(yīng)用程序是否通過(guò)網(wǎng)絡(luò)途徑泄露隱私數(shù)據(jù)的問(wèn)題。3個(gè)維度相輔相成，有效地彌補(bǔ)了單一分析方法自身的局限性，可有效提高iOS隱私泄露評(píng)估模型的科學(xué)性和嚴(yán)謹(jǐn)性。

圖1　多維度iOS隱私泄露評(píng)估模型

2.1應(yīng)用程序行為特征的定義

多維度iOS隱私泄露評(píng)估模型分為iOS應(yīng)用程序靜態(tài)分析、動(dòng)態(tài)分析和網(wǎng)絡(luò)數(shù)據(jù)分析3個(gè)維度，每個(gè)維度對(duì)應(yīng)應(yīng)用程序隱私泄露行為的一個(gè)特征向量。

綜合靜態(tài)分析特征向量、動(dòng)態(tài)分析特征向量和網(wǎng)絡(luò)數(shù)據(jù)分析特征向量，iOS應(yīng)用程序隱私泄露行為特征定義如下。

定義4應(yīng)用程序隱私泄露行為特征向量集為PL，PL包括靜態(tài)分析特征向量、動(dòng)態(tài)分析特征向量和網(wǎng)絡(luò)數(shù)據(jù)分析特征向量3個(gè)元素。

2.2隱私泄露風(fēng)險(xiǎn)評(píng)估

定義 iOS應(yīng)用程序隱私泄露行為之后，需要對(duì)其隱私泄露風(fēng)險(xiǎn)進(jìn)行量化和評(píng)估。根據(jù)PL 中3個(gè)元素的隱私泄露相關(guān)性大小，設(shè)置對(duì)應(yīng)的權(quán)重值（Weight）進(jìn)行隱私泄露風(fēng)險(xiǎn)量化，量化完成后，通過(guò)權(quán)重值加權(quán)的方式計(jì)算檢測(cè)結(jié)果的總權(quán)重，最后歸一化計(jì)算該結(jié)果占模型總權(quán)重值的百分比，得到應(yīng)用程序隱私泄露風(fēng)險(xiǎn)的綜合評(píng)估值。

定義6iOS應(yīng)用程序隱私泄露風(fēng)險(xiǎn)綜合評(píng)估值為App［ i］_Risk，根據(jù)靜態(tài)分析、動(dòng)態(tài)分析和網(wǎng)絡(luò)數(shù)據(jù)分析中實(shí)際檢測(cè)到的各種隱私泄露行為，采用權(quán)重值加權(quán)和歸一化方式計(jì)算得到評(píng)估值。

應(yīng)用程序隱私泄露評(píng)估值越大，說(shuō)明被檢測(cè)應(yīng)用程序涉及的隱私泄露行為數(shù)量占系統(tǒng)定義的全部隱私泄露行為的比重越大，可能泄露的隱私信息越多，隱私泄露的可能性就越大。

3　具體實(shí)現(xiàn)

3.1模型實(shí)現(xiàn)

多維度iOS隱私數(shù)據(jù)泄露評(píng)估模型實(shí)現(xiàn)如圖2所示。

在圖2中，左邊虛線(xiàn)框內(nèi)為靜態(tài)分析特征向量抽取流程，主要操作包括：App存儲(chǔ)路徑定位、解除應(yīng)用程序版權(quán)保護(hù)、反匯編處理和敏感 API函數(shù)掃描；中間虛線(xiàn)框內(nèi)為動(dòng)態(tài)分析特征向量抽取流程，主要操作包括：編寫(xiě)Tweak程序掛鉤和隱私數(shù)據(jù)相關(guān)的敏感API函數(shù)、遍歷App功能按鈕以及分析系統(tǒng)日志獲取應(yīng)用程序調(diào)用敏感 API的行為記錄；右邊虛線(xiàn)框內(nèi)為網(wǎng)絡(luò)數(shù)據(jù)分析特征向量抽取流程，主要操作包括：通過(guò)流量轉(zhuǎn)發(fā)，在PC端使用Tshark對(duì)應(yīng)用程序進(jìn)行抓包處理，對(duì)抓取的數(shù)據(jù)分組進(jìn)行協(xié)議，地址分析，通過(guò)掛鉤SSL讀寫(xiě)函數(shù)，在數(shù)據(jù)分組SSL加密之前捕獲數(shù)據(jù)內(nèi)容，進(jìn)行數(shù)據(jù)分組內(nèi)容分析。

3.2隱私泄露行為特征抽取

圖2　多維度iOS隱私數(shù)據(jù)泄露評(píng)估模型實(shí)現(xiàn)

隱私泄露行為特征中靜態(tài)分析特征向量和動(dòng)態(tài)分析特征向量的抽取主要是基于API調(diào)用序列的檢測(cè)［6］。iOS API［7］包括 Published API、UnPublished API和Private API［8］。參考iOS系統(tǒng)的隱私分類(lèi)［9］，本文定義了9類(lèi)隱私API，每類(lèi)隱私API中包括可能訪(fǎng)問(wèn)這類(lèi)隱私信息的多個(gè)關(guān)鍵API函數(shù)，本文共檢測(cè)了20個(gè)API函數(shù)［7］。表1為隱私API分類(lèi)。

表1　隱私API分類(lèi)

靜態(tài)分析特征向量的抽取主要包括 App解密、反匯編和敏感API遍歷3個(gè)步驟。App Store發(fā)布的應(yīng)用程序都是經(jīng)過(guò) FairPlay［10］加密的二進(jìn)制文件，所以，靜態(tài)檢測(cè)的第一步就是對(duì)應(yīng)用程序進(jìn)行解密［11］，獲得解密的二進(jìn)制文件appname. decrypted后，調(diào)用 hopper Disassembler軟件［12］對(duì)應(yīng)用程序進(jìn)行反匯編，得到應(yīng)用程序的反匯編文件appname.asm。最后，分析appname.asm中的敏感API函數(shù)，得到靜態(tài)分析特征向量。

動(dòng)態(tài)分析特征向量的抽取主要是利用MobileSubstrate［13］框架編寫(xiě) Tweak插件，通過(guò)代碼注入技術(shù)掛鉤和監(jiān)控敏感API函數(shù)。在應(yīng)用程序運(yùn)行期間記錄應(yīng)用程序的函數(shù)調(diào)用行為。根據(jù)上文定義的敏感API函數(shù)，本文使用%hook方法編寫(xiě)對(duì)應(yīng)的掛鉤函數(shù)對(duì)原函數(shù)進(jìn)行覆蓋，并在掛鉤函數(shù)中添加彈框提示和日志記錄功能。當(dāng)應(yīng)用程序調(diào)用相關(guān)敏感API時(shí)，系統(tǒng)會(huì)先執(zhí)行掛鉤函數(shù)，彈框提示用戶(hù)，并將其調(diào)用行為記錄到系統(tǒng)日志中。通過(guò)分析系統(tǒng)日志中應(yīng)用程序的隱私泄露行為，就可得到動(dòng)態(tài)分析特征向量。

網(wǎng)絡(luò)數(shù)據(jù)分析特征向量的抽取是使用Tshark［14］工具對(duì)應(yīng)用程序所有的數(shù)據(jù)分組進(jìn)行網(wǎng)絡(luò)抓包分析，解析數(shù)據(jù)分組的協(xié)議和目的地址；編寫(xiě)Tweak程序掛鉤SSL讀寫(xiě)函數(shù)，捕獲未經(jīng)SSL加密的發(fā)送數(shù)據(jù)。綜合檢測(cè)結(jié)果進(jìn)行隱私泄露的網(wǎng)絡(luò)數(shù)據(jù)分析，可能檢測(cè)到 4種隱私泄露行為。

1）應(yīng)用程序發(fā)送數(shù)據(jù)到非法地址，可以解析出發(fā)送數(shù)據(jù)為敏感信息。

2）應(yīng)用程序發(fā)送數(shù)據(jù)到非法地址，但無(wú)法解析出數(shù)據(jù)是否為敏感信息。

3）未經(jīng)用戶(hù)同意，應(yīng)用程序發(fā)送數(shù)據(jù)到應(yīng)用程序官方服務(wù)器，可以解析出發(fā)送數(shù)據(jù)為敏感信息。

4）未經(jīng)用戶(hù)同意，應(yīng)用程序發(fā)送數(shù)據(jù)到應(yīng)用程序官方服務(wù)器，無(wú)法解析出數(shù)據(jù)是否為敏感信息。

通過(guò)檢測(cè)這4種隱私泄露行為，獲得網(wǎng)絡(luò)數(shù)據(jù)分析特征向量。

3.3權(quán)重設(shè)置

靜態(tài)分析特征向量、動(dòng)態(tài)分析特征向量和網(wǎng)絡(luò)數(shù)據(jù)分析特征向量的權(quán)重值是根據(jù)其對(duì)應(yīng)用程序隱私泄露風(fēng)險(xiǎn)評(píng)估的貢獻(xiàn)值進(jìn)行設(shè)定的，最后的評(píng)估值使用歸一化的方式計(jì)算。因此，計(jì)算結(jié)果僅對(duì)權(quán)重值的相對(duì)大小敏感，所以下文權(quán)重值根據(jù)各個(gè)特征向量的相對(duì)影響大小確定，權(quán)重值的具體數(shù)值沒(méi)有特別含義。靜態(tài)分析、動(dòng)態(tài)分析和網(wǎng)絡(luò)數(shù)據(jù)分析特征向量的權(quán)重值設(shè)定依據(jù)如下。

1）靜態(tài)分析是對(duì)應(yīng)用程序的反編譯文件進(jìn)行隱私API掃描，但是掃描到隱私API代碼并不能證明有實(shí)際調(diào)用行為的發(fā)生，而且靜態(tài)分析存在較高的誤報(bào)率［3］，因此，其對(duì)應(yīng)用程序隱私泄露風(fēng)險(xiǎn)評(píng)估的貢獻(xiàn)值較低。

2）動(dòng)態(tài)分析通過(guò)掛鉤隱私API函數(shù)，監(jiān)控和記錄應(yīng)用程序?qū)PI函數(shù)的調(diào)用行為，記錄結(jié)果可以代表應(yīng)用程序?qū)﹄[私信息的實(shí)際訪(fǎng)問(wèn)操作，因此，其對(duì)應(yīng)用程序隱私泄露風(fēng)險(xiǎn)評(píng)估的貢獻(xiàn)值較高。

3）靜態(tài)分析和動(dòng)態(tài)分析的檢測(cè)對(duì)象都是隱私API函數(shù)，本文定義了9組隱私API，每組隱私 API又可以根據(jù)函數(shù)功能劃分為 3類(lèi)：讀寫(xiě)API、申請(qǐng)授權(quán)API和查看授權(quán)狀態(tài)API，每類(lèi)函數(shù)對(duì)應(yīng)用程序隱私泄露風(fēng)險(xiǎn)評(píng)估的貢獻(xiàn)值也不一樣。其中，讀寫(xiě)API會(huì)直接獲取用戶(hù)隱私數(shù)據(jù)，風(fēng)險(xiǎn)等級(jí)高，貢獻(xiàn)值高；申請(qǐng)授權(quán)API向用戶(hù)申請(qǐng)對(duì)某類(lèi)隱私數(shù)據(jù)的訪(fǎng)問(wèn)權(quán)限，沒(méi)有直接訪(fǎng)問(wèn)行為，而且用戶(hù)可以選擇拒接授權(quán)，因此，風(fēng)險(xiǎn)等級(jí)和貢獻(xiàn)值為中；查看授權(quán)狀態(tài)API用于查詢(xún)用戶(hù)對(duì)此類(lèi)敏感數(shù)據(jù)的授權(quán)狀態(tài)，如果狀態(tài)為未授權(quán)，應(yīng)用程序可能發(fā)起授權(quán)申請(qǐng)，此類(lèi)API僅說(shuō)明應(yīng)用程序有訪(fǎng)問(wèn)敏感數(shù)據(jù)的意圖，風(fēng)險(xiǎn)等級(jí)為低，貢獻(xiàn)值最小。

4）網(wǎng)絡(luò)數(shù)據(jù)分析中直接檢測(cè)到行為1）和行為 3）時(shí)，可以直接判定應(yīng)用程序通過(guò)手機(jī)邊界泄露了用戶(hù)隱私數(shù)據(jù)，即App［i］_Risk=100%。行為2）和行為4）雖然不能確定發(fā)送數(shù)據(jù)是否為本文定義的隱私數(shù)據(jù)，但是未經(jīng)用戶(hù)同意發(fā)送數(shù)據(jù)，和發(fā)送數(shù)據(jù)到非法地址的行為都存在很大的隱私泄露嫌疑。對(duì)判定應(yīng)用程序是否存在直接的隱私數(shù)據(jù)泄露行為貢獻(xiàn)值很高。

綜上所述，靜態(tài)分析、動(dòng)態(tài)分析和網(wǎng)絡(luò)數(shù)據(jù)分析對(duì)應(yīng)用程序隱私泄露風(fēng)險(xiǎn)評(píng)估的貢獻(xiàn)值排序如下：網(wǎng)絡(luò)數(shù)據(jù)分析＞動(dòng)態(tài)分析＞靜態(tài)分析。其中，靜態(tài)分析和動(dòng)態(tài)分析中的不同類(lèi)API函數(shù)的貢獻(xiàn)值排序如下：讀寫(xiě)API＞申請(qǐng)授權(quán)API＞查看授權(quán)狀態(tài) API。根據(jù)以上排序規(guī)則以及評(píng)估值計(jì)算僅對(duì)權(quán)重值相對(duì)大小敏感的理論基礎(chǔ)，可以得出本文具體權(quán)重設(shè)置，如表2所示，最小權(quán)重值設(shè)為1，在同一分析方法中權(quán)重值遞增間隔為2，不同分析方法之間權(quán)重值遞增間隔為5。

表2　API函數(shù)權(quán)重設(shè)置

應(yīng)用程序隱私泄露行為特征抽取和權(quán)重值設(shè)置完成后，可以計(jì)算模型總權(quán)重值為

4　系統(tǒng)測(cè)試與分析

4.1測(cè)試環(huán)境

本文的測(cè)試環(huán)境如表3所示。

表3　測(cè)試環(huán)境

4.2測(cè)試結(jié)果與分析

4.2.1應(yīng)用程序隱私泄露行為

為了保證樣本能夠最大程度地反映總體情況，本文根據(jù)蘋(píng)果App Store的10類(lèi)最受歡迎App（社交、攝影、新聞、兒童、工作、運(yùn)動(dòng)、學(xué)習(xí)、美食、游戲、購(gòu)物），選擇了來(lái)自App Store的30款軟件作為模型測(cè)試樣本，每類(lèi)App選擇下載量排名前3的應(yīng)用程序進(jìn)行測(cè)試。樣本的行為特征檢測(cè)結(jié)果如圖3所示。

圖3中9類(lèi)敏感API的數(shù)據(jù)取靜態(tài)分析和動(dòng)態(tài)分析的合集，N1、N2、N3、N4分別表示網(wǎng)絡(luò)數(shù)據(jù)分析的4種隱私泄露行為。靜態(tài)分析和動(dòng)態(tài)分析的相同檢測(cè)項(xiàng)的結(jié)果取并集。

由圖3可以看出50.0%的應(yīng)用程序都存在訪(fǎng)問(wèn)用戶(hù)位置信息的行為，訪(fǎng)問(wèn)通訊錄、相冊(cè)和相機(jī)的應(yīng)用也超過(guò)了30%以上，在網(wǎng)絡(luò)數(shù)據(jù)分析結(jié)果中可以看到 36.7%的應(yīng)用程序都存在未經(jīng)用戶(hù)同意發(fā)送數(shù)據(jù)到服務(wù)器的行為，但是難以解析出發(fā)送內(nèi)容。

本文的分析結(jié)果與PiOS模型［2］相比，增加了動(dòng)態(tài)監(jiān)控和網(wǎng)絡(luò)數(shù)據(jù)分析，解決了基于靜態(tài)分析的PiOS模型存在的兩個(gè)缺陷：1）部分應(yīng)用程序進(jìn)行了混淆和加密處理，無(wú)法進(jìn)行反匯編處理，從而導(dǎo)致靜態(tài)分析失效；2）靜態(tài)分析無(wú)法解析出應(yīng)用程序通過(guò)容器發(fā)出的請(qǐng)求數(shù)據(jù)（如Objective-C的NSArray數(shù)據(jù)），而導(dǎo)致不能檢測(cè)出應(yīng)用程序發(fā)送數(shù)據(jù)的內(nèi)容和目的地。本文的動(dòng)態(tài)分析對(duì)應(yīng)用程序運(yùn)行時(shí)分析，繞過(guò)了應(yīng)用程序代碼混淆和加密的問(wèn)題；網(wǎng)絡(luò)數(shù)據(jù)在系統(tǒng)網(wǎng)絡(luò)邊界對(duì)應(yīng)用程序發(fā)送的數(shù)據(jù)分組進(jìn)行協(xié)議、目的地址和數(shù)據(jù)內(nèi)容的分析，可以解析出應(yīng)用程序是否存在通過(guò)系統(tǒng)網(wǎng)絡(luò)接口發(fā)送用戶(hù)隱私數(shù)據(jù)的行為。

4.2.2應(yīng)用程序隱私泄露評(píng)估值計(jì)算

30款測(cè)試軟件中有24款軟件的隱私泄露評(píng)估值在30%以下，4款軟件評(píng)估值在30%～40%之間。有一款軟件X的評(píng)估值為60.3%，其具體檢測(cè)結(jié)果如表4所示。

還有一款游戲軟件Y在網(wǎng)絡(luò)數(shù)據(jù)分析時(shí)檢測(cè)到發(fā)送用戶(hù)位置信息到非法地址，即行為1），因此判定隱私風(fēng)險(xiǎn)評(píng)估值為100%。

5　結(jié)束語(yǔ)

多維度 iOS隱私泄露評(píng)估模型綜合靜態(tài)分析、動(dòng)態(tài)分析和網(wǎng)絡(luò)數(shù)據(jù)分析方法對(duì)應(yīng)用程序的隱私泄露行為進(jìn)行檢測(cè)，有效地彌補(bǔ)了單一靜態(tài)分析或動(dòng)態(tài)分析的局限性，并且能夠捕捉和分析應(yīng)用程序?qū)嶋H泄露的隱私數(shù)據(jù)分組，有效證明了應(yīng)用程序的隱私泄露行為。模型對(duì)應(yīng)用程序的隱私泄露進(jìn)行了風(fēng)險(xiǎn)評(píng)估，評(píng)估值能在一定程度上代表應(yīng)用程序泄露隱私的數(shù)量多少和可能性大小。

圖3　應(yīng)用程序行為特征檢測(cè)結(jié)果

表4　應(yīng)用程序X的檢測(cè)結(jié)果

［1］Smartphone OS market share，2015 Q2［EB/OL］. http：//www.idc. com/prodserv/smartphone-os-market-share.jsp.

［2］EGELE M，KRUEGEL C，KIRDA E，et al. PiOS： detecting privacy leaks in iOS applications［C］//NDSS. c2011：289-291.

［3］GILBERT P，CHUN B G，LANDON P，et al. Automating privacy testing of smartphone applications： technical report： CS-2011-02［R］. Duke University，2011.

［4］KURTZ A，WEINLEIN A，SETTGAST C，et al. DiOS： dynamic privacy analysis of iOS applications： friedrich-alexander-universit?t erlangen-nürnberg，dept of computer science，CS-2014-03［R］. 2014.

［5］PENG L，CUI B J. A comparative study on software vulnerability static analysis techniques and tools［C］//Information Theory and Information Security. c2010：521-524.

［6］EPIFANI M，PASQUALE S. Learning iOS Forensics［M］//Birmingham： Packt Publishing Ltd. 2015： 153-170.

［7］iOS developer library［EB/OL］. https：//developer.apple.com/library/ios/navigation/#section=Frameworks&topic=AssetsLibrary.

［8］NYGARD S. Class-dump［EB/OL］. http：//stevenygard.com/projects/class-dump/.2013.

［9］AGARWAL Y，HALL M. Protect my privacy： detecting and mitigating privacy leaks on iOS devices using crowdsourcing［C］//The Intemational Conference on Mobile Systems，Application，and Services. c2013：97-110.

［10］Dumpdecrypted［EB/OL］.https：//github.com/stefanesser/dumpdecrypted.

［11］FairPlay［EB/OL］. https：//en.wikipedia.org/wiki/FairPlay.

［12］Hopper［EB/OL］. http：//www.hopperapp.com/.2015.

［13］FREEMAN J. Mobile substrate［EB/OL］. http：//www.cydiasubstrate. com.

［14］Tshark［EB/OL］. https：//www.wireshark.org/docs/man-pages/tshark. html.

Research on multi-dimensional iOS privacy disclosure evaluation model

XING Yue-xiu1，HU Ai-qun1，WANG Yong-jian2，ZHAO Ran1

（1.Information Security Research Center，Southeast University，Nanjing 210096，China；2.The Third Research Institute of Ministry of Public Security，Shanghai 200031，China）

The existing iOS platform is lacking ofsystematic assessment methods of privacy leak detection. To solve this problem，a multi-dimensional iOSprivacy disclosure evaluation model was presented. This model combined static analysis，dynamic analysis and network data analysis method to extract the features of the application's privacy disclosure behavior and evaluate it form multiple dimensions way. The model on 30 different types of apps from the iOS App Store and found out that more than 50% of all investigated apps aretracking users' locations were evaluated，almost 40% of all send data to a server without the user's consent. The model makes up for the limitations of single static analysis or dynamic analysis methods，solves the quantization problem of privacy disclosure effectively.

iOS，privacy disclosure，static analysis，dynamic analysis，network data analysis

The National Basic Research Program of China（973 Program）（No.2013CB338003）

TN929.53

A

10.11959/j.issn.2096-109x.2016.00043

2016-02-04；

2016-03-08。通信作者：胡愛(ài)群，aqhu@seu.edu.cn

國(guó)家重點(diǎn)基礎(chǔ)研究發(fā)展計(jì)劃（“973”計(jì)劃）基金資助項(xiàng)目（No.2013CB338003）

邢月秀（1991-），女，安徽宣城人，東南大學(xué)碩士生，主要研究方向?yàn)殡[私保護(hù)、手機(jī)取證。

胡愛(ài)群（1964-），男，江蘇如皋人，博士，東南大學(xué)教授、博士生導(dǎo)師，主要研究方向?yàn)榫W(wǎng)絡(luò)與信息安全、物理層安全技術(shù)。

王永劍（1981-），男，山西長(zhǎng)治人，公安部第三研究所副研究員，主要研究方向?yàn)榫W(wǎng)絡(luò)與信息安全。

趙然（1991-），男，江蘇南京人，東南大學(xué)碩士生，主要研究方向?yàn)殡[私保護(hù)、手機(jī)取證。