多維度iOS隱私泄露評估模型研究

邢月秀，胡愛群，王永劍，趙然

（1. 東南大學(xué)信息安全研究中心，江蘇 南京210096；2. 公安部第三研究所，上海200031）

多維度iOS隱私泄露評估模型研究

邢月秀1，胡愛群1，王永劍2，趙然1

（1. 東南大學(xué)信息安全研究中心，江蘇 南京210096；2. 公安部第三研究所，上海200031）

針對目前iOS平臺隱私泄露檢測缺乏系統(tǒng)性的評估方法，提出了一種多維度iOS隱私泄露評估模型。該模型分為綜合靜態(tài)分析、動態(tài)分析和網(wǎng)絡(luò)數(shù)據(jù)分析方法，從多維度對應(yīng)用程序隱私泄露行為進行特征抽取和評估。實驗測試了30款來自蘋果App Store不同類型的應(yīng)用程序，發(fā)現(xiàn)超過50%的應(yīng)用程序會讀取用戶位置信息，約40%的應(yīng)用程序存在未經(jīng)用戶同意發(fā)送數(shù)據(jù)到服務(wù)器的情況。該模型彌補了單一使用靜態(tài)分析或動態(tài)分析方法的局限性，有效解決了隱私泄露的量化問題。

iOS；隱私泄露；靜態(tài)分析；動態(tài)分析；網(wǎng)絡(luò)數(shù)據(jù)分析

1　引言

互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC，Internet data center）2015年第二季度智能手機市場調(diào)查報告［1］顯示：iOS智能手機的市場占有率為 13.9%，總出貨量達到了4 750萬部。智能手機普及的同時，也帶來了用戶隱私泄露等安全問題。但由于iOS平臺是一個相對封閉的系統(tǒng)，國內(nèi)外研究人員對該平臺的隱私泄露問題研究相對較少。

2011年2月，Egele等［2］提出并實現(xiàn)了一種基于靜態(tài)分析的iOS隱私泄露檢測模型PiOS，該模型通過數(shù)據(jù)流分析和切片技術(shù)檢測iOS應(yīng)用程序的隱私泄露行為。但是，這種單一的靜態(tài)分析方法存在無法解析消息目的地等固有缺陷。

2011年6月，Gilbert等［3］指出PiOS存在較高的誤報率，并提出了基于動態(tài)分析的iOS隱私泄露檢測方法。該方法通過掛鉤敏感應(yīng)用程序編程接口（API，application programming interface）函數(shù)，分析iOS應(yīng)用程序的函數(shù)調(diào)用行為，判定應(yīng)用程序是否讀取了隱私信息。

2014年，Andreas等［4］提出并實現(xiàn)了基于動態(tài)API調(diào)用序列的iOS隱私泄露分析模型DIOS，DIOS主要包括3個部分：backend用作中央數(shù)據(jù)存儲；worker作為backend和iOS設(shè)備的數(shù)據(jù)交互鏈路；client安裝在iOS設(shè)備上，用于運行和分析iOS App的行為。該模型通過掛鉤iOS API函數(shù)監(jiān)控應(yīng)用程序訪問用戶隱私數(shù)據(jù)的行為，但是應(yīng)用程序?qū)﹄[私數(shù)據(jù)的訪問行為并不等同于隱私泄露行為，而且相比于靜態(tài)分析，動態(tài)分析也存在容易遺漏和檢測速度較慢的缺點。

綜上，目前國內(nèi)外對iOS隱私泄露的檢測大多采用單一的分析方法，缺少對應(yīng)用程序隱私泄露風(fēng)險的綜合評估。為了更加合理和準(zhǔn)確地評估iOS應(yīng)用程序的隱私泄露，本文在深入研究靜態(tài)分析、動態(tài)分析和網(wǎng)絡(luò)數(shù)據(jù)分析模型的基礎(chǔ)上，對iOS應(yīng)用程序隱私泄露行為進行多維度檢測，提出并實現(xiàn)了基于多維度的iOS隱私泄露評估模型。

2　多維度iOS隱私泄露評估模型

從多維的角度來看，應(yīng)用程序主要是由代碼、行為和數(shù)據(jù)3個維度組成，多維度iOS隱私泄露評估模型也分為靜態(tài)分析、動態(tài)分析和網(wǎng)絡(luò)數(shù)據(jù)分析3個維度，如圖1所示。根據(jù)已有的研究可知，靜態(tài)分析速度快、效率高，可以有效地提高檢測率［5］，但是誤報率較高；動態(tài)分析速度相對較慢，但是可以監(jiān)控應(yīng)用程序?qū)﹄[私數(shù)據(jù)的實際訪問行為，有效地解決了程序加殼、隱藏API調(diào)用等靜態(tài)分析無法解決的問題；網(wǎng)絡(luò)數(shù)據(jù)分析則解決了靜態(tài)分析和動態(tài)分析只能檢測應(yīng)用程序?qū)﹄[私數(shù)據(jù)的訪問，但不能確定應(yīng)用程序是否通過網(wǎng)絡(luò)途徑泄露隱私數(shù)據(jù)的問題。3個維度相輔相成，有效地彌補了單一分析方法自身的局限性，可有效提高iOS隱私泄露評估模型的科學(xué)性和嚴(yán)謹(jǐn)性。

圖1　多維度iOS隱私泄露評估模型

2.1應(yīng)用程序行為特征的定義

多維度iOS隱私泄露評估模型分為iOS應(yīng)用程序靜態(tài)分析、動態(tài)分析和網(wǎng)絡(luò)數(shù)據(jù)分析3個維度，每個維度對應(yīng)應(yīng)用程序隱私泄露行為的一個特征向量。

綜合靜態(tài)分析特征向量、動態(tài)分析特征向量和網(wǎng)絡(luò)數(shù)據(jù)分析特征向量，iOS應(yīng)用程序隱私泄露行為特征定義如下。

定義4應(yīng)用程序隱私泄露行為特征向量集為PL，PL包括靜態(tài)分析特征向量、動態(tài)分析特征向量和網(wǎng)絡(luò)數(shù)據(jù)分析特征向量3個元素。

2.2隱私泄露風(fēng)險評估

定義 iOS應(yīng)用程序隱私泄露行為之后，需要對其隱私泄露風(fēng)險進行量化和評估。根據(jù)PL 中3個元素的隱私泄露相關(guān)性大小，設(shè)置對應(yīng)的權(quán)重值（Weight）進行隱私泄露風(fēng)險量化，量化完成后，通過權(quán)重值加權(quán)的方式計算檢測結(jié)果的總權(quán)重，最后歸一化計算該結(jié)果占模型總權(quán)重值的百分比，得到應(yīng)用程序隱私泄露風(fēng)險的綜合評估值。

定義6iOS應(yīng)用程序隱私泄露風(fēng)險綜合評估值為App［ i］_Risk，根據(jù)靜態(tài)分析、動態(tài)分析和網(wǎng)絡(luò)數(shù)據(jù)分析中實際檢測到的各種隱私泄露行為，采用權(quán)重值加權(quán)和歸一化方式計算得到評估值。

應(yīng)用程序隱私泄露評估值越大，說明被檢測應(yīng)用程序涉及的隱私泄露行為數(shù)量占系統(tǒng)定義的全部隱私泄露行為的比重越大，可能泄露的隱私信息越多，隱私泄露的可能性就越大。

3　具體實現(xiàn)

3.1模型實現(xiàn)

多維度iOS隱私數(shù)據(jù)泄露評估模型實現(xiàn)如圖2所示。

在圖2中，左邊虛線框內(nèi)為靜態(tài)分析特征向量抽取流程，主要操作包括：App存儲路徑定位、解除應(yīng)用程序版權(quán)保護、反匯編處理和敏感 API函數(shù)掃描；中間虛線框內(nèi)為動態(tài)分析特征向量抽取流程，主要操作包括：編寫Tweak程序掛鉤和隱私數(shù)據(jù)相關(guān)的敏感API函數(shù)、遍歷App功能按鈕以及分析系統(tǒng)日志獲取應(yīng)用程序調(diào)用敏感 API的行為記錄；右邊虛線框內(nèi)為網(wǎng)絡(luò)數(shù)據(jù)分析特征向量抽取流程，主要操作包括：通過流量轉(zhuǎn)發(fā)，在PC端使用Tshark對應(yīng)用程序進行抓包處理，對抓取的數(shù)據(jù)分組進行協(xié)議，地址分析，通過掛鉤SSL讀寫函數(shù)，在數(shù)據(jù)分組SSL加密之前捕獲數(shù)據(jù)內(nèi)容，進行數(shù)據(jù)分組內(nèi)容分析。

3.2隱私泄露行為特征抽取

圖2　多維度iOS隱私數(shù)據(jù)泄露評估模型實現(xiàn)

隱私泄露行為特征中靜態(tài)分析特征向量和動態(tài)分析特征向量的抽取主要是基于API調(diào)用序列的檢測［6］。iOS API［7］包括 Published API、UnPublished API和Private API［8］。參考iOS系統(tǒng)的隱私分類［9］，本文定義了9類隱私API，每類隱私API中包括可能訪問這類隱私信息的多個關(guān)鍵API函數(shù)，本文共檢測了20個API函數(shù)［7］。表1為隱私API分類。

表1　隱私API分類

靜態(tài)分析特征向量的抽取主要包括 App解密、反匯編和敏感API遍歷3個步驟。App Store發(fā)布的應(yīng)用程序都是經(jīng)過 FairPlay［10］加密的二進制文件，所以，靜態(tài)檢測的第一步就是對應(yīng)用程序進行解密［11］，獲得解密的二進制文件appname. decrypted后，調(diào)用 hopper Disassembler軟件［12］對應(yīng)用程序進行反匯編，得到應(yīng)用程序的反匯編文件appname.asm。最后，分析appname.asm中的敏感API函數(shù)，得到靜態(tài)分析特征向量。

動態(tài)分析特征向量的抽取主要是利用MobileSubstrate［13］框架編寫 Tweak插件，通過代碼注入技術(shù)掛鉤和監(jiān)控敏感API函數(shù)。在應(yīng)用程序運行期間記錄應(yīng)用程序的函數(shù)調(diào)用行為。根據(jù)上文定義的敏感API函數(shù)，本文使用%hook方法編寫對應(yīng)的掛鉤函數(shù)對原函數(shù)進行覆蓋，并在掛鉤函數(shù)中添加彈框提示和日志記錄功能。當(dāng)應(yīng)用程序調(diào)用相關(guān)敏感API時，系統(tǒng)會先執(zhí)行掛鉤函數(shù)，彈框提示用戶，并將其調(diào)用行為記錄到系統(tǒng)日志中。通過分析系統(tǒng)日志中應(yīng)用程序的隱私泄露行為，就可得到動態(tài)分析特征向量。

網(wǎng)絡(luò)數(shù)據(jù)分析特征向量的抽取是使用Tshark［14］工具對應(yīng)用程序所有的數(shù)據(jù)分組進行網(wǎng)絡(luò)抓包分析，解析數(shù)據(jù)分組的協(xié)議和目的地址；編寫Tweak程序掛鉤SSL讀寫函數(shù)，捕獲未經(jīng)SSL加密的發(fā)送數(shù)據(jù)。綜合檢測結(jié)果進行隱私泄露的網(wǎng)絡(luò)數(shù)據(jù)分析，可能檢測到 4種隱私泄露行為。

1）應(yīng)用程序發(fā)送數(shù)據(jù)到非法地址，可以解析出發(fā)送數(shù)據(jù)為敏感信息。

2）應(yīng)用程序發(fā)送數(shù)據(jù)到非法地址，但無法解析出數(shù)據(jù)是否為敏感信息。

3）未經(jīng)用戶同意，應(yīng)用程序發(fā)送數(shù)據(jù)到應(yīng)用程序官方服務(wù)器，可以解析出發(fā)送數(shù)據(jù)為敏感信息。

4）未經(jīng)用戶同意，應(yīng)用程序發(fā)送數(shù)據(jù)到應(yīng)用程序官方服務(wù)器，無法解析出數(shù)據(jù)是否為敏感信息。

通過檢測這4種隱私泄露行為，獲得網(wǎng)絡(luò)數(shù)據(jù)分析特征向量。

3.3權(quán)重設(shè)置

靜態(tài)分析特征向量、動態(tài)分析特征向量和網(wǎng)絡(luò)數(shù)據(jù)分析特征向量的權(quán)重值是根據(jù)其對應(yīng)用程序隱私泄露風(fēng)險評估的貢獻值進行設(shè)定的，最后的評估值使用歸一化的方式計算。因此，計算結(jié)果僅對權(quán)重值的相對大小敏感，所以下文權(quán)重值根據(jù)各個特征向量的相對影響大小確定，權(quán)重值的具體數(shù)值沒有特別含義。靜態(tài)分析、動態(tài)分析和網(wǎng)絡(luò)數(shù)據(jù)分析特征向量的權(quán)重值設(shè)定依據(jù)如下。

1）靜態(tài)分析是對應(yīng)用程序的反編譯文件進行隱私API掃描，但是掃描到隱私API代碼并不能證明有實際調(diào)用行為的發(fā)生，而且靜態(tài)分析存在較高的誤報率［3］，因此，其對應(yīng)用程序隱私泄露風(fēng)險評估的貢獻值較低。

2）動態(tài)分析通過掛鉤隱私API函數(shù)，監(jiān)控和記錄應(yīng)用程序?qū)PI函數(shù)的調(diào)用行為，記錄結(jié)果可以代表應(yīng)用程序?qū)﹄[私信息的實際訪問操作，因此，其對應(yīng)用程序隱私泄露風(fēng)險評估的貢獻值較高。

3）靜態(tài)分析和動態(tài)分析的檢測對象都是隱私API函數(shù)，本文定義了9組隱私API，每組隱私 API又可以根據(jù)函數(shù)功能劃分為 3類：讀寫API、申請授權(quán)API和查看授權(quán)狀態(tài)API，每類函數(shù)對應(yīng)用程序隱私泄露風(fēng)險評估的貢獻值也不一樣。其中，讀寫API會直接獲取用戶隱私數(shù)據(jù)，風(fēng)險等級高，貢獻值高；申請授權(quán)API向用戶申請對某類隱私數(shù)據(jù)的訪問權(quán)限，沒有直接訪問行為，而且用戶可以選擇拒接授權(quán)，因此，風(fēng)險等級和貢獻值為中；查看授權(quán)狀態(tài)API用于查詢用戶對此類敏感數(shù)據(jù)的授權(quán)狀態(tài)，如果狀態(tài)為未授權(quán)，應(yīng)用程序可能發(fā)起授權(quán)申請，此類API僅說明應(yīng)用程序有訪問敏感數(shù)據(jù)的意圖，風(fēng)險等級為低，貢獻值最小。

4）網(wǎng)絡(luò)數(shù)據(jù)分析中直接檢測到行為1）和行為 3）時，可以直接判定應(yīng)用程序通過手機邊界泄露了用戶隱私數(shù)據(jù)，即App［i］_Risk=100%。行為2）和行為4）雖然不能確定發(fā)送數(shù)據(jù)是否為本文定義的隱私數(shù)據(jù)，但是未經(jīng)用戶同意發(fā)送數(shù)據(jù)，和發(fā)送數(shù)據(jù)到非法地址的行為都存在很大的隱私泄露嫌疑。對判定應(yīng)用程序是否存在直接的隱私數(shù)據(jù)泄露行為貢獻值很高。

綜上所述，靜態(tài)分析、動態(tài)分析和網(wǎng)絡(luò)數(shù)據(jù)分析對應(yīng)用程序隱私泄露風(fēng)險評估的貢獻值排序如下：網(wǎng)絡(luò)數(shù)據(jù)分析＞動態(tài)分析＞靜態(tài)分析。其中，靜態(tài)分析和動態(tài)分析中的不同類API函數(shù)的貢獻值排序如下：讀寫API＞申請授權(quán)API＞查看授權(quán)狀態(tài) API。根據(jù)以上排序規(guī)則以及評估值計算僅對權(quán)重值相對大小敏感的理論基礎(chǔ)，可以得出本文具體權(quán)重設(shè)置，如表2所示，最小權(quán)重值設(shè)為1，在同一分析方法中權(quán)重值遞增間隔為2，不同分析方法之間權(quán)重值遞增間隔為5。

表2　API函數(shù)權(quán)重設(shè)置

應(yīng)用程序隱私泄露行為特征抽取和權(quán)重值設(shè)置完成后，可以計算模型總權(quán)重值為

4　系統(tǒng)測試與分析

4.1測試環(huán)境

本文的測試環(huán)境如表3所示。

表3　測試環(huán)境

4.2測試結(jié)果與分析

4.2.1應(yīng)用程序隱私泄露行為

為了保證樣本能夠最大程度地反映總體情況，本文根據(jù)蘋果App Store的10類最受歡迎App（社交、攝影、新聞、兒童、工作、運動、學(xué)習(xí)、美食、游戲、購物），選擇了來自App Store的30款軟件作為模型測試樣本，每類App選擇下載量排名前3的應(yīng)用程序進行測試。樣本的行為特征檢測結(jié)果如圖3所示。

圖3中9類敏感API的數(shù)據(jù)取靜態(tài)分析和動態(tài)分析的合集，N1、N2、N3、N4分別表示網(wǎng)絡(luò)數(shù)據(jù)分析的4種隱私泄露行為。靜態(tài)分析和動態(tài)分析的相同檢測項的結(jié)果取并集。

由圖3可以看出50.0%的應(yīng)用程序都存在訪問用戶位置信息的行為，訪問通訊錄、相冊和相機的應(yīng)用也超過了30%以上，在網(wǎng)絡(luò)數(shù)據(jù)分析結(jié)果中可以看到 36.7%的應(yīng)用程序都存在未經(jīng)用戶同意發(fā)送數(shù)據(jù)到服務(wù)器的行為，但是難以解析出發(fā)送內(nèi)容。

本文的分析結(jié)果與PiOS模型［2］相比，增加了動態(tài)監(jiān)控和網(wǎng)絡(luò)數(shù)據(jù)分析，解決了基于靜態(tài)分析的PiOS模型存在的兩個缺陷：1）部分應(yīng)用程序進行了混淆和加密處理，無法進行反匯編處理，從而導(dǎo)致靜態(tài)分析失效；2）靜態(tài)分析無法解析出應(yīng)用程序通過容器發(fā)出的請求數(shù)據(jù)（如Objective-C的NSArray數(shù)據(jù)），而導(dǎo)致不能檢測出應(yīng)用程序發(fā)送數(shù)據(jù)的內(nèi)容和目的地。本文的動態(tài)分析對應(yīng)用程序運行時分析，繞過了應(yīng)用程序代碼混淆和加密的問題；網(wǎng)絡(luò)數(shù)據(jù)在系統(tǒng)網(wǎng)絡(luò)邊界對應(yīng)用程序發(fā)送的數(shù)據(jù)分組進行協(xié)議、目的地址和數(shù)據(jù)內(nèi)容的分析，可以解析出應(yīng)用程序是否存在通過系統(tǒng)網(wǎng)絡(luò)接口發(fā)送用戶隱私數(shù)據(jù)的行為。

4.2.2應(yīng)用程序隱私泄露評估值計算

30款測試軟件中有24款軟件的隱私泄露評估值在30%以下，4款軟件評估值在30%～40%之間。有一款軟件X的評估值為60.3%，其具體檢測結(jié)果如表4所示。

還有一款游戲軟件Y在網(wǎng)絡(luò)數(shù)據(jù)分析時檢測到發(fā)送用戶位置信息到非法地址，即行為1），因此判定隱私風(fēng)險評估值為100%。

5　結(jié)束語

多維度 iOS隱私泄露評估模型綜合靜態(tài)分析、動態(tài)分析和網(wǎng)絡(luò)數(shù)據(jù)分析方法對應(yīng)用程序的隱私泄露行為進行檢測，有效地彌補了單一靜態(tài)分析或動態(tài)分析的局限性，并且能夠捕捉和分析應(yīng)用程序?qū)嶋H泄露的隱私數(shù)據(jù)分組，有效證明了應(yīng)用程序的隱私泄露行為。模型對應(yīng)用程序的隱私泄露進行了風(fēng)險評估，評估值能在一定程度上代表應(yīng)用程序泄露隱私的數(shù)量多少和可能性大小。

圖3　應(yīng)用程序行為特征檢測結(jié)果

表4　應(yīng)用程序X的檢測結(jié)果

［1］Smartphone OS market share，2015 Q2［EB/OL］. http：//www.idc. com/prodserv/smartphone-os-market-share.jsp.

［2］EGELE M，KRUEGEL C，KIRDA E，et al. PiOS： detecting privacy leaks in iOS applications［C］//NDSS. c2011：289-291.

［3］GILBERT P，CHUN B G，LANDON P，et al. Automating privacy testing of smartphone applications： technical report： CS-2011-02［R］. Duke University，2011.

［4］KURTZ A，WEINLEIN A，SETTGAST C，et al. DiOS： dynamic privacy analysis of iOS applications： friedrich-alexander-universit?t erlangen-nürnberg，dept of computer science，CS-2014-03［R］. 2014.

［5］PENG L，CUI B J. A comparative study on software vulnerability static analysis techniques and tools［C］//Information Theory and Information Security. c2010：521-524.

［6］EPIFANI M，PASQUALE S. Learning iOS Forensics［M］//Birmingham： Packt Publishing Ltd. 2015： 153-170.

［7］iOS developer library［EB/OL］. https：//developer.apple.com/library/ios/navigation/#section=Frameworks&topic=AssetsLibrary.

［8］NYGARD S. Class-dump［EB/OL］. http：//stevenygard.com/projects/class-dump/.2013.

［9］AGARWAL Y，HALL M. Protect my privacy： detecting and mitigating privacy leaks on iOS devices using crowdsourcing［C］//The Intemational Conference on Mobile Systems，Application，and Services. c2013：97-110.

［10］Dumpdecrypted［EB/OL］.https：//github.com/stefanesser/dumpdecrypted.

［11］FairPlay［EB/OL］. https：//en.wikipedia.org/wiki/FairPlay.

［12］Hopper［EB/OL］. http：//www.hopperapp.com/.2015.

［13］FREEMAN J. Mobile substrate［EB/OL］. http：//www.cydiasubstrate. com.

［14］Tshark［EB/OL］. https：//www.wireshark.org/docs/man-pages/tshark. html.

Research on multi-dimensional iOS privacy disclosure evaluation model

XING Yue-xiu1，HU Ai-qun1，WANG Yong-jian2，ZHAO Ran1

（1.Information Security Research Center，Southeast University，Nanjing 210096，China；2.The Third Research Institute of Ministry of Public Security，Shanghai 200031，China）

The existing iOS platform is lacking ofsystematic assessment methods of privacy leak detection. To solve this problem，a multi-dimensional iOSprivacy disclosure evaluation model was presented. This model combined static analysis，dynamic analysis and network data analysis method to extract the features of the application's privacy disclosure behavior and evaluate it form multiple dimensions way. The model on 30 different types of apps from the iOS App Store and found out that more than 50% of all investigated apps aretracking users' locations were evaluated，almost 40% of all send data to a server without the user's consent. The model makes up for the limitations of single static analysis or dynamic analysis methods，solves the quantization problem of privacy disclosure effectively.

iOS，privacy disclosure，static analysis，dynamic analysis，network data analysis

The National Basic Research Program of China（973 Program）（No.2013CB338003）

TN929.53

A

10.11959/j.issn.2096-109x.2016.00043

2016-02-04；

2016-03-08。通信作者：胡愛群，aqhu@seu.edu.cn

國家重點基礎(chǔ)研究發(fā)展計劃（“973”計劃）基金資助項目（No.2013CB338003）

邢月秀（1991-），女，安徽宣城人，東南大學(xué)碩士生，主要研究方向為隱私保護、手機取證。

胡愛群（1964-），男，江蘇如皋人，博士，東南大學(xué)教授、博士生導(dǎo)師，主要研究方向為網(wǎng)絡(luò)與信息安全、物理層安全技術(shù)。

王永劍（1981-），男，山西長治人，公安部第三研究所副研究員，主要研究方向為網(wǎng)絡(luò)與信息安全。

趙然（1991-），男，江蘇南京人，東南大學(xué)碩士生，主要研究方向為隱私保護、手機取證。