X-Decaf : Android平臺社交類應用的緩存文件泄露檢測

李 暉 王 斌 張 文 湯 祺 張艷麗

?

X-Decaf : Android平臺社交類應用的緩存文件泄露檢測

李 暉 王 斌*張 文 湯 祺 張艷麗

(北京郵電大學計算機學院 北京 100876)

由于社交類應用涉及的隱私數據類型非常多，導致這類應用在被廣泛使用的同時，頻繁出現用戶隱私泄露事件，但是目前還鮮有針對社交應用的隱私泄露檢測機制的研究。該文結合Android系統的特性，提出一個面向Android社交類應用檢測框架X-Decaf(Xposed-based-detecting-cache-file)，創新性地利用污點追蹤技術以及Xposed框架，獲取應用內疑似泄露路徑，監測隱私數據的緩存文件。此外，該文給出了對隱私泄露進行評級的建議，并利用該框架對50款社交類應用進行了檢測，發現社交類應用普遍存在泄露用戶隱私信息的漏洞。

隱私泄露；污點追蹤；緩存文件；Xposed；Android系統

1 引言

iiMedia Research在“2015年中國手機APP市場研究報”的調查報告中顯示，截止2015第2季度，中國手機用戶規模達到6.57億人，智能手機用戶規模為6.01億人，龐大的用戶基礎推動了中國手機應用軟件的快速發展。同時，報告中顯示，在2014 ~2015年中國手機網民對各類型移動應用歡迎狀況調查中，即時通訊與社交應用所占比為64.1%。2016年2月份，微信、QQ活躍用戶占比均超過70%。可見，微信、QQ等應用成為了當前手機用戶使用最多和最為頻繁的移動社交應用。

特別是近年來隨著大數據平臺的建立與發展，當用戶隱私數據成為一種資產，社交應用毫無疑問地成為大數據平臺機構的首要監測目標。用戶在使用應用的過程中產生了大量的隱私數據，然而用戶無法確信應用開發者是否對隱私數據做了保護處理。因此，有必要對社交應用的用戶數據保護情況進行研究分析。

Android平臺上應用的隱私數據泄露問題已經引起國內外的廣泛關注。由于Android是一個基于權限控制的操作系統，因此很多安全解決方案集中在針對權限的分析上。文獻[1]提出通過動態分析平臺VetDroid，重建細粒度的權限分析，進而判別應用程序的敏感行為；文獻[2]設計了一個基于上下文的訪問控制機制，通過這個機制，基于用戶的特定的上下文，可動態授予或撤銷應用程序的權限；文獻[3]提出一個細粒度的、以用戶為中心的權限模型，這個模型允許用戶對他們安裝的軟件進行有選擇的授予權限。文獻[4]基于訪問控制提出了組件級別的權限方案讓開發者更好地管理應用中組件的安全性。在這些研究中，由于基于權限控制對用戶數據泄露檢測的方式需要用戶的頻繁參與，被認為是一種不實用的手段。

還有一部分學者側重于分析某一類數據的隱私檢測與隱私保護。文獻[5]提出了CHEX，一種靜態分析方法，可以自動審查Android應用程序的組件劫持漏洞，保護用戶數據。文獻[6]提出的一個基于內容的細粒度運行時訪問控制系統，對應用程序的照片訪問進行控制。文獻[7]通過研究Android手機的外部設備對用戶隱私數據的泄露，提出了針對藍牙、NFC等方式連接的外部設備的管理。在文獻[8,9]中，針對地理位置信息的泄露，學者們提出了相應的保護策略。

此外，研究人員通過修改Android系統源代碼和Android應用程序，對隱私數據的泄露進行追蹤。文獻[10]基于Linux Container機制，實現應用程序分離以及敏感組件隔離，并保護隱私數據。文獻[11]將解決隱私保護作為一種學習的問題，利用貝葉斯定理等建立定量/概率的二元判斷模式，根據擴散點所處的環境來判斷它是不是隱私泄露。TaintDriod[12]通過對Android系統虛擬機以及解釋器的修改，提供了完備的動態污點追蹤功能。許多學者也在TaintDroid基礎上提出了更為優化的方案[13,14]。文獻[15,16]通過對Android應用程序進行字節碼重寫，加入相應的隱私檢測策略，通過應用重打包的方式實現隱私追蹤與漏洞檢測。

以上是國內外研究學者針對Android平臺應用軟件隱私泄露以及污點追蹤的常用技術。由于社交類應用涉及的系統權限以及隱私數據類型種類很多，因此很難使用現有的基于某類權限或者隱私數據的框架方案檢測隱私泄露；同時，如果利用基于TaintDroid的思路，采用修改Android系統的方法策略，或者修改并重打包應用的方式去分析應用的隱私泄露，不僅實驗成本增加，而且對應用的運行效率產生很大影響。可見，現有的隱私泄露分析方法并不適用于社交類應用。

針對社交類應用，本文提出了一個檢測框架X- Decaf(Xposed-based-detecting-cache-file)，創新性地以社交應用運行中產生的緩存文件作為研究對象，利用污點追蹤技術以及Xposed框架，獲取應用內疑似泄露路徑，對敏感數據的泄露情況進行檢測。Xposed是Android平臺成熟的鉤子技術(Hook)框架，可運行在dalvik, art虛擬機上，并能替換任意java方法。Xposed框架作用于Android系統Zygote啟動階段，通過替換app_process進程，以及對Android虛擬機運行時的修改，完成對Zygote進程的劫持。Android系統中應用是由Zygote創建，應用所運行的進程中也包含Xposed框架，因此，利用Xposed提供的接口編寫對應的Hook Module，可實現對應用運行中的行為動作進行監控、修改甚至替換。利用Xposed的這個特性，本文所設計的X-Decaf可對社交應用的敏感數據進行分類統計，靈活地選擇待檢測的隱私數據類型，在待測應用運行時動態監測應用本身對緩存文件的處理情況，同時具有與Android系統低耦合、無需修改應用程序、低功耗等特點。

本文第2節對社交應用的隱私數據進行了定義，并給出泄露評判標準；第3節具體介紹X-Decaf框架系統；第4節給出了利用X-Decaf框架對國內主流的50款社交應用進行泄露分析的實驗數據和結果分析；第5節為本文結論，并討論了本框架的不足以及未來相關工作。

2 隱私數據與泄露

2.1隱私數據

廣泛使用的移動社交類應用涉及到大量的用戶數據信息，因此首先需要明確本文所討論的社交類應用的隱私數據類型。本文通過對市場主流50款社交應用進行分析統計(如圖1)，發現圖片、視頻、語音、地理位置、聯系人、電話短信等用戶隱私數據在社交應用中均不同程度地被涉及到。由于本文是對社交類應用緩存數據泄露的研究，并且在實驗過程中顯示，多媒體類型用戶數據(圖片、視頻、語音等)常常產生大量緩存文件。因此，本文將圖片、視頻、語音等作為首要隱私數據，研究社交應用對這些隱私數據的泄露情況。

圖1 社交類應用涉及用戶隱私數據類型統計圖

2.2隱私泄露定義

在Android系統中，系統在/data/data/目錄下，為每個應用創建獨享的文件目錄。應用程序在運行過程中默認在該目錄下創建數據文件。該文件目錄的安全性由Android系統本身提供的安全保護機制來保證。當某應用進程訪問文件時，首先需要通過基于UID/GID的DAC安全檢查，接著進行基于SEAndroid的MAC安全檢查。然而，即便應用的隱私數據保存在該目錄下，也面臨手機被破解(root)后，惡意軟件沖破Android保護機制，獲取用戶隱私數據的風險。

同時，許多原因造成應用開發者并未將應用的所有運行數據存放在對應的/data/data/目錄下。這些原因主要如下：(1)應用開發者在開發應用時，未考慮應用的安全性，隨意調用Android系統API(例如getExternalStorageDirectory( )等)，并將應用運行時產生的緩存文件、數據信息等放在一些公共目錄下；(2)Android手機配置參差不齊，內存小的手機需SD卡擴展，因此，一些應用運行的緩存文件被存放在SD卡公共目錄下，同時應用并未對這些公共目錄下的文件數據進行管理，手機內的任何應用均可以訪問SD卡目錄下的文件，這時便存在隱私泄露問題。

傳統的隱私泄露行為指應用未顯式告知用戶需遠程收集相關信息，卻利用網絡等途徑收集并傳播用戶隱私。本文以一種新的角度定義用戶的隱私泄露。本文討論的隱私泄露行為是指應用由于自身設計的缺陷以及運行期間的表現，產生了涉及用戶隱私的緩存文件，并且缺乏良好的策略管理這些緩存文件。為了分析社交軟件是否面臨著隱私泄露的風險，我們利用X-Decaf框架對社交應用運行時產生的緩存文件進行檢測分析，分析緩存文件是否產生含有隱私數據，以及應用本身是否對這些敏感緩存文件進行生命周期管理。

2.3 隱私泄露評判標準

緩存文件隱私泄露的評判標準的定義，應遵照以下依據：

(1)緩存文件存儲路徑：根據2.2節的討論，Android系統中，應用在運行時將在以下文件路徑中產生緩存文件，如表1所示。

表1緩存文件產生路徑

緩存文件產生路徑路徑簡記 /data/data/包名/DATA_PRI /data/data/包名/(全局可讀)DATA_PUB /storage/emulated/0/Android/data/包名/SD_PRI /storage/emulated/0/SD_PUB

在Android系統中，文件的存儲路徑一定程度上反映了文件的訪問權限。根據文件的存儲路徑分析Android平臺上常見的攻擊場景如下：

DATA_PRI：只限應用自身可以訪問，攻擊者在不破解的情況下很難獲取該目錄下文件信息；

DATA_PUB：若目錄下的文件為全局可讀，手機中任意應用均可訪問。攻擊者可以通過惡意應用訪問該目錄文件；

SD_PUB, SD_PRI：由于是在SD卡公共目錄下，攻擊者可以隨意篡改。

此處區分SD_PUB與SD_PRI，是由于SD_PUB目錄反映出來的是應用開發者的不規范行為，并且利用Android系統設置中的清理數據功能或者刪除應用可以刪除SD_PRI目錄下的所有數據；然而除非應用自身去管理，否則SD_PUB目錄下的數據是不被刪除的。

(2)緩存文件保護狀態：通過上述攻擊場景分析可看出，僅僅依靠Android系統的文件目錄安全機制無法保證應用產生的數據文件的安全。常見的文件保護手段有混淆、加密等，即便攻擊者沖破Android系統的保護機制，獲取到了應用產生的文件，也需花費很大代價將保護后的文件還原。經保護處理的緩存文件提高了安全性，同時也避免了隱私泄露。因此，文件保護與否也是對文件的隱私泄露分析的重要依據。

(3)緩存文件生命周期：緩存文件的生命周期是指緩存文件從產生、轉移、存儲以及刪除等過程。在整個生命周期中，緩存文件都有可能遭受攻擊者的惡意攻擊。因此，對于應用在緩存文件的生命周期中對緩存文件的管理，情景模擬主要有以下3種：

情景1：應用在運行時產生緩存文件，并且緩存文件在應用退出后銷毀；

情景2：緩存文件在應用退出后依據存在，但應用內部提供清理緩存等相關功能，可將緩存文件刪除；

情景3：應用內部提供清理緩存等相關功能，依然無法將緩存文件刪除。

針對以上3個評判依據，緩存文件隱私泄露的評判標準定義了如下：對于保護處理的緩存文件，我們默認應用的保護手段是安全的，因此不存在泄露情況。對于未保護的緩存文件，根據其存儲路徑以及生命周期，隱私泄露評判標準如表2所示。

表2未保護隱私泄露評判標準

DATA_PRIDATA_PUBSD_PRISD_PUB 情景1輕度泄露中度泄露中度泄露中度泄露 情景2輕度泄露重度泄露重度泄露重度泄露 情景3輕度泄露超重度泄露超重度泄露超重度泄露

根據上述隱私泄露評判標準的定義，并結合目前常見的Android平臺攻擊場景，將隱私泄露等級分為無泄露、輕度泄露、中度泄露、重度泄露以及超重度泄露，具體為：

無泄露：應用在運行中并未產生緩存文件或者緩存文件是經過保護處理；

輕度泄露：需要攻擊者破解手機后，才能進行相關隱私竊取；

中度泄露：無需破解手機，需攻擊者監聽應用運行時的動作；

重度泄露：攻擊者僅需利用Android提供的接口或直接利用文件夾工具查看相關路徑，便可進行攻擊；

超重度泄露：應用自身提供的清理緩存功能并未對緩存文件進行清除，本文視為“超重度泄露”。

X-Decaf框架依據以上隱私泄露定義以及標準，將應用、隱私數據、緩存文件聯系起來，對應用的泄露情況進行高效的分析。

3 檢測框架

3.1總體框架

本文結合動態檢測與靜態分析技術，設計并實現了X-Decaf(圖2)框架，該框架具有與Android系統低耦合，無需修改應用程序，檢測精度高以及對應用運行影響低的特點。

圖2 X-Decaf總體框架

X-Decaf主要由3部分組成：敏感函數庫、污點追蹤(由動態追蹤與污點標記組成)以及緩存文件分析(分為策略判定與人工檢驗)。

(1)敏感數據庫：通過對市場上社交應用大量分析，統計出應用調用系統API的情況，篩選出與敏感數據產生、傳播相關的系統API，最終形成X-Decaf框架的敏感函數庫，針對性地分析隱私數據的泄露情況。

(2)污點追蹤：污點追蹤主要由兩部分組成：動態追蹤模塊是基于Xposed框架，通過向敏感數據庫請求相關隱私數據的系統API函數，對應用的敏感函數進行鉤子技術(Hook)操作，實現在隱私數據產生、傳播以及最終的存儲過程中的監控；污點標記模塊針對不同的隱私數據類型進行污點標記。通過源隱私數據類型、源文件名，制定相應策略，實現基于文件的污點標記。

(3)緩存文件分析：首先，人工驗證階段是依據第2節中對隱私泄露的定義以及標準來執行對應的檢測；其次，策略判定為自動化的監測腳本，將監測所有污點追蹤階段產生的污點標記緩存文件。策略判定模塊依據污點緩存文件的TAG值以及隱私泄露評判標準(見表2)，監測污點緩存文件變化情況，并最終形成泄露報告。

圖3 X-Decaf具體工作流程

3.2具體技術

圖3顯示了X-Decaf整個的運行流程，其各模塊介紹如下：

(1)敏感函數庫建立：在X-Decaf框架的設計初期，我們對市場上近百款社交應用進行統計采集，

分析社交類軟件的隱私數據與對應的系統API的相關性。應用程序產生、獲取或者傳播用戶隱私數據需申請相關權限并調用相關系統API，且這些系統API是固定的(例如照片涉及調用相機功能、讀取系統圖庫、圖片壓縮、文件I/O等系統API)。通過常用的軟件分析工具(如apktool, IDA pro等)，對應用軟件逆向反匯編，分析并統計出與敏感數據產生、傳播相關系統API，最終形成X-Decaf框架的敏感函數庫。

本文主要針對社交軟件的緩存文件進行分析，因此，敏感函數庫將涉及語音、照片、視頻這3類包含大量用戶信息的敏感數據的系統接口。為方便自動化腳本申請檢測的敏感函數，敏感函數庫以XML格式對外開放敏感API策略。表3列出了敏感函數庫中語音數據對應的部分系統敏感API策略。

sensitive-policy標簽。該標簽為指定隱私數據的根標簽。其后緊跟的屬性顯示了該隱私策略標簽對應的隱私類型(privacy-type)。

uses-permission標簽。該標簽表示該類型隱私數據涉及到系統敏感權限，它與Android應用中聲明的權限一致。

class-info標簽。該標簽表示該類型敏感數據涉及到的Android系統API的類信息，其后緊跟的屬性(class-name)表示具體的類名。

method-info標簽。該標簽列出了該類型敏感數據具體的方法信息，其后緊跟的屬性分別表示方法名(method-name)以及方法參數(method-args)。

(2)動態追蹤：敏感函數庫中的敏感函數是應用運行期間的主要監測對象。動態追蹤模塊首先向敏感函數庫請求這些敏感函數，然后利用Xposed框架以這些敏感函數作為檢測對象，生成對應的函數劫持模塊(Hook Module)，之后在待測應用運行前將對應的模塊(Module)加載到手機系統中，最后，在應用運行時進行檢測，產生運行日志。

(3)污點標記：X-Decaf框架的污點標記模塊主要是對緩存文件的篩選與污點標記，主要步驟如下：

(a)緩存文件篩選： 在動態追蹤階段，X-Decaf監控系統I/O操作。由于系統在運行過程中存在許多系統級文件I/O操作，如果不進行過濾操作，污點標記將標記出許多無關項，同時影響整個系統的運行速度。為了提高整個污點標記的精度以及盡可能小地影響待測應用的性能，X-Decaf框架對文件進行了細粒度的過濾。

首先，X-Decaf一旦發現緩存文件后綴名為.jpg, .jpeg和.bmp等格式，直接判斷為敏感緩存文件；對于非常規文件后綴名，X-Decaf框架才對其做進一步數據流檢測(例如常見的jpg格式文件的固定文件頭由“JFIF”字符串組成)；此外，如果應用本身對緩存文件做了保護處理(混淆、加密等手段)，X-Decaf也可以檢測出來，方便污點標記階段進行處理。這樣，無論緩存文件以何種形式存在，通過X-Decaf框架對文件數據流進行過濾，依舊可以追蹤到對應的泄露緩存文件。

(b)污點標記：通過前一階段的緩存文件篩選，X-Decaf已經篩選出敏感緩存文件(包含已保護處理的緩存文件)。X-Decaf采用污點標記機制對敏感緩存文件進行標記，即在有緩存文件名后追加對應的TAG。TAG由緩存文件對應的隱私數據類型、緩存文件的哈希值以及文件的保護狀態(0表示未保護，1表示經過保護處理)3部分組成。例如，照片類緩存文件的原文件名為“cache.tmp”，該文件的哈希值為hash，并且文件未經應用保護處理，則經過X-Decaf標記后緩存文件名變為“cache_photo_ hash_0.tmp”。這樣處理的好處有：①不改變待檢測應用對緩存文件的調用邏輯；②污點TAG可以傳播，并且可以將source文件與之后的所有緩存文件關聯起來；③可監測出數據流在各緩存文件傳播過程中文件保護狀態是否改變。

(4)人工驗證：通過X-Decaf對應用的污點追蹤，產生了一系列污點標記的緩存文件，需對這些污點標記的緩存文件進行分析。首先，通過人工測試(如2.3節中描述的情景模擬)，驗證社交應用軟件本身是否對緩存文件進行生命周期管理；其次，依據2.3節隱私泄露的評判標準來執行檢測，根據文件的存儲路徑以及文件保護狀態，觀察緩存文件在測試過程中，是否存在或已被刪除，在“策略判定”階段執行相應策略。

(5)策略判定：策略判定與人工驗證協調配合完成。策略判定為自動化的監測腳本，將監測所有污點追蹤階段產生的污點標記緩存文件，即依據污點緩存文件的TAG值，監測污點緩存文件的保護狀態變化、文件路徑、文件生命周期，同時根據隱私泄露評判標準(表2所示)，最終形成泄露報告。

表3敏感函數庫語音數據敏感API函數(部分)

3.3 X-Decaf框架分析

與同類型泄露檢測框架相比，X-Decaf具有如下優點：

(1)系統耦合度降低且無需修改應用程序：目前多數動態污點追蹤或者隱私泄露檢測框架均需要修改Android系統，例如建立在TaintDroid基礎上的研究就需要修改Android系統。而現有的另外一些檢查方法則將修改目標轉向待檢測應用本身，對應用進行字節碼重寫與策略插入，然而，隨著應用軟件的防篡改、簽名機制等保護措施的不斷完善使重打包應用的代價逐步增大。X-Decaf既不需要對Android系統平臺進行修改，也不需要對應用程序進行字節碼重寫，巧妙地從系統API入手，分析并利用隱私數據與對應的系統API的相關性，針對隱私數據泄露進行檢測。

(2)檢測多類型隱私泄露：敏感函數庫對外提供了常見應用隱私數據與系統API的關系模型。因此X-Decaf針對不同隱私數據，可以靈活地選取多種敏感函數策略進行監測。

(3)多應用橫向檢測：通過研究發現，應用在操作敏感數據時所調用的系統API具有規律性。因此，X-Decaf系統可以方便地同時監測市場上多種應用對某類敏感數據的泄露情況。

4 實驗結果分析

為分析國內市場上社交應用的隱私泄露情況，利用X-Decaf框架對國內主流的50款社交應用進行了多類型隱私數據基于緩存文件的泄露分析。測試手機為Nexus5, Android系統版本為5.1.1，內存16 G，不支持外置SD卡，且已經被破解。

4.1隱私數據泄露縱向分析

首先使用X-Decaf對國內最流行的手機社交應用-微信進行了縱向隱私數據分析，主要對微信內隱私數據(語音、圖片、視頻等)進行緩存文件泄露分析，同時對緩存文件泄露的路徑個數進行了統計。由表4所示，X-Decaf框架可以精確地監測到某一數據源在應用運行過程中，產生、轉移、傳播等動作對應的緩存文件。例如對于同一源照片數據，微信將為其產生3個緩存文件(*.jpg為原圖片拷貝，th_*為小的縮略圖，th_*hd為大的縮略圖)。X- Decaf可對應用運行中數據的精準分析，不會漏報、誤報任一條隱私泄露路徑。

4.2隱私數據泄露橫向分析

對于國內市場的主流社交應用，我們利用X- Decaf進行了橫向分析，分析了應用對語音、圖片、視頻數據的泄露情況，并列出對應的泄露等級以及泄露路徑的個數，結果如表5所示。

4.3 社交應用隱私泄露評分

應用對不同類型隱私數據產生不同等級、不同數量的泄露，這也是社交應用隱私泄露評分需考慮的。對于應用隱私數據泄露，我們定義了如表6的泄露評分規則以及式(1)所示的分數計算公式：

其中，表示應用對某類型隱私數據的泄露分數，V表示泄露等級對應的泄露評分，表示該類型隱私數據泄露的路徑個數。

表4微信對隱私(圖片、語音、視頻)泄露情況

微信(6.3.13)泄露路徑泄露路徑個數 語音SD_PUB/tencent/MicroMsg//voice2/../msg_*.amr1 圖片SD_PUB/tencent/MicroMsg/../image2/../*.jpgSD_PUB/tencent/MicroMsg/../image2/../th_*SD_PUB/tencent/MicroMsg/../image2/../th_*hd3 視頻SD_PUB/tencent/MicroMsg/../video/*.mp4SD_PUB/tencent/MicroMsg/../video/*.jpgSD_PUB/tencent/MicroMsg/../draft/..SD_PUB/tencent/MicroMsg/../draft/*.thumb4

表5主流社交應用關于語音、照片、視頻類隱私數據的泄露情況

應用程序應用版本語音圖片視頻 泄露等級泄露路徑個數泄露等級泄露路徑個數泄露等級泄露路徑個數 微信6.3.13超重度泄露1超重度泄露3超重度泄露4 手機QQ6.2.3.2700超重度泄露1超重度泄露3超重度泄露2 微博6.3.0無泄露0重度泄露2重度泄露2 易信4.3.1超重度泄露1超重度泄露2超重度泄露1 陌陌6.7_0413超重度泄露1超重度泄露2超重度泄露3 無秘5.3.0重度泄露1重度泄露1無泄露0

依據表5的結果，我們得出主流社交應用針對語音、照片、視頻隱私數據的泄露分數(圖4所示)。泄露分數反映了應用對隱私數據的緩存文件的處理情況。微信由于其相關復雜業務以及提供的豐富社交功能，使得其對于這3類隱私數據的泄露分數都居于首位也是在意料之中。

表6泄露評分規則

泄露等級泄露評分V 超重度泄露4 重度泄露3 中度泄露2 輕度泄露1 無泄露0

最后，X-Decaf繼續擴大到50款社交應用，并針對社交應用最流行的隱私數據-照片進行分析。如圖5，在隨機的抽檢樣本中，除了4%的社交應用由于不涉及照片隱私數據而不存在泄露外，其他96%應用均存在重度泄露以上的情況，并且這其中有74%的應用是超重度泄露。這充分反映出了目前應用開發者在開發應用時，代碼編寫不規范并且未考慮用戶的隱私泄露風險。

圖4 主流社交應用關于語音、照片、視頻的泄露分數

4.4 對社交應用運行性能影響

為測試X-Decaf在檢測應用隱私泄露過程中對應用運行性能的影響，我們選擇Android SDK提供的DDMS(Dalvik Debug Monitor Service)中的“method profiling”工具。利用DDMS，可以方便地查看手機終端應用進程的執行情況。其中“method profiling”工具可在無源碼的情況下，對應用運行時進行動態分析。當對應用進程某段運行時開啟調試后，“method profiling”會反饋調試過程中涉及到的所有Java方法，包括方法的執行時間、調用次數、在總體耗時中的占比等信息。這些運行信息可用于分析社交應用的運行性能。

我們依舊以微信作為研究對象，通過以下5個典型的測試場景，分析X-Decaf框架對微信運行性能耗時(單位為ms)的影響：

測試1：在微信非聊天界面，進行多處相同點擊操作，判斷X-Decaf對微信整體運行的性能影響；

測試2：調用攝像頭拍照并發送，判斷X-Decaf對微信拍照發送流程影響；

測試3：連續發送9張圖片，判斷X-Decaf對圖片發送流程的性能影響；

測試4：連續發送3個時長為6 s小視頻，判斷X- Decaf對語音發送流程的性能影響；

測試5：連續發送9張圖片以及3個6 s小視頻，判斷X-Decaf對圖片、視頻的發送流程的性能影響。

測試中，每項測試均在20次以上，且使用相同的wifi網絡。為防止由于人工測試、網絡條件以及緩存對下次實驗結果的影響，在每次測試結束時，將應用運行中產生的緩存清除。

由圖6的測試結果可以看出， X-Decaf在未修改應用程序的情況下，對應用運行性能造成的影響很低。而X-Decaf作為一款緩存文件泄露檢測的框架，作用于Android框架層，并未對待測應用的運行邏輯產生影響。

圖5 社交應用針對照片隱私數據的泄露情況統計表 圖6 X-Decaf對微信運行性能影響分析

5 結束語

社交應用已然成為最受用戶歡迎的移動類應用。通常情況下，用戶認為該類應用在從設計開始就應該考慮如何保護用戶隱私的問題。然而實驗結果表明，多數的社交類應用在對多媒體類型數據使用過程中存在嚴重的緩存泄露情況。

盡管X-Decaf實現了預期目標，但同時也存在一些不足，我們將從以下方面改進X-Decaf：(1)敏感函數庫的擴建。擴大用戶敏感數據的定義范圍，分析這些敏感數據傳播中調用的系統API，擴充敏感函數庫。(2)支持更多類型應用。將調整X-Decaf的相關流程，使其支持更多類型的應用緩存數據的檢測，并能夠支持對更多數據類型的緩存泄露追蹤。(3)緩存文件的透明保護。透明保護應用產生的緩存文件，即對緩存文件進行自動加密，當應用讀取緩存數據時，對加密的緩存文件進行自動透明解密，使得在不影響應用本身的業務邏輯的同時，有效防止緩存文件泄露引起的隱私數據泄露。為達到不影響原有應用的運行，這將是一個很大的挑戰。

[1] ZHANG Y, YANG M, YANG Z,Permission use analysis for vetting undesirable behaviors in android apps[J]., 2014, 9(11): 1828-1842. doi: 10.1109/TIFS.2014.2347206.

[2] Shebaro B, Oluwatimi O, and Bertino E. Context- based access control systems for mobile devices[J]., 2015, 12(2): 150-163. doi: 10.1109/TDSC.2014.2320731.

[3] Nauman M, Khan S, Othman A T,. Realization of a user-centric, privacy preserving permission framework for Android[J]., 2015, 8(3): 368-382. doi: 10.1002/sec.986.

[4] WU L, DU X, and ZHANG H. An effective access control scheme for preventing permission leak in Android[C]. 2015 International Conference on Computing, Networking and Communications (ICNC), IEEE, Anaheim, CA, USA, 2015: 57-61. doi: 10.1109/ ICCNC.2015.7069315.

[5] Lu L, Li Z, Wu Z,. Chex: Statically vetting android apps for component hijacking vulnerabilities[C]. Proceedings of the 2012 ACM Conference on Computer and Communications Security, North Carolina, USA, 2012: 229-240.

[6] Tan J, Drolia U, Martins R,. Short paper: Chips: Content-based heuristics for improving photo privacy for smartphones[C]. Proceedings of the 2014 ACM Conference on Security and Privacy in Wireless & Mobile Networks. Oxford, UK, 2014: 213-218. doi: 10.1145/2627393.2627394.

[7] Naveed M, Zhou X, Demetriou S,. Inside job: Understanding and mitigating the threat of external device mis-binding on Android[C]. Network and Distributed System Security Symposium, San Diego, California, USA, 2014. doi: 10.14722/ndss.2014.23097.

[8] Rahman M, Ballesteros J, Carbunar B,. Toward preserving privacy and functionality in geosocial networks[C]. Proceedings of the 19th ACM Annual International Conference on Mobile Computing & Networking, Miami, Florida, USA, 2013: 207-210.

[9] Fawaz K, Feng H, and Shin K G. Anatomization and protection of mobile apps’ location privacy threats[C]. 24th USENIX Security Symposium (USENIX Security 15). Washington, D.C., USA, 2015: 753-768.

[10] Yan L, Guo Y, and Chen X. SplitDroid: isolated execution of sensitive components for mobile applications[C]. International Conference on Security and Privacy in Communication Systems. Springer International Publishing, Dallas, TX, USA, 2015: 78-96.

[11] Tripp O and Rubin J. A Bayesian approach to privacy enforcement in smartphones[C]. 23rd USENIX Security Symposium (USENIX Security 14). California, USA, 2014: 175-190.

[12] Enck W, Gilbert P, Han S,. TaintDroid: An information-flow tracking system for realtime privacy monitoring on smartphones[J].(), 2014, 32(2): 5. doi: 10.1145/ 2619091.

[13] Hsiao S W, Hung S H, Chien R,. PasDroid: real- time security enhancement for Android[C]. 2014 Eighth International Conference on Innovative Mobile and Internet Services in Ubiquitous Computing (IMIS), Birmingham, UK, 2014: 229-235.

[14] Bal G, Kai R, and Hong J I. Styx: Privacy risk communication for the Android smartphone platform based on apps' data-access behavior patterns[J].&, 2015, 53: 187-202.

[15] Cui X, Yu D, Chan P,. Cochecker: Detecting capability and sensitive data leaks from component chains in android[C]. Information Security and Privacy. Springer International Publishing, Wollongong, NSW, Australia, 2014: 446-453.

[16] Zhang M and Yin H. Efficient, context-aware privacy leakage confinement for android applications without firmware modding[C]. Proceedings of the 9th ACM Symposium on Information, Computer and Communications Security. Kyoto, Japan, 2014: 259-270.

李 暉： 女，1970年生，副教授，碩士生導師，研究方向為密碼學及其應用、移動通信安全、智能終端安全.

王 斌： 男，1992年生，碩士生，研究方向為智能終端安全、移動操作系統安全和軟件安全.

張 文： 男，1982年生，博士生，研究方向為智能終端安全、移動操作系統安全和軟件安全.

湯 祺： 女，1991年生，碩士生，研究方向為智能終端安全、移動操作系統安全和軟件安全.

張艷麗： 女，1990年生，碩士生，研究方向為智能終端安全、移動操作系統安全和軟件安全.

X-Decaf : Detection of Cache File Leaks in Android Social Apps

LI Hui WANG Bin ZHANG Wen TANG Qi ZHANG Yanli

(,,100876,)

Since social applications involve various types of information related to the user privacy, events of privacy leakageoccur frequently along with their popular applications and few studies are available on the privacy leakage detection for social applications. With the combination of the characteristics of the Android system as well as the exploitation of the taint trackingtechnology and Xposed framework,a privacy leakage detection tool named X-Decaf (Xposed-based-detecting-cache-file) is proposed, which is oriented to social applications on Android platform. It suspects the leakage paths within the applications and detects the privacy data’s cache files.This paper also presents a suggestion for the evaluation of the privacy leakage. Evaluation results of 50 kinds of Android social applications show that many vulnerabilities of user privacy leakage exist in the social applications on Android platform.

Privacy leakage; Taint tracking; Cache file; Xposed; Android system

TP309

A

1009-5896(2017)01-0066-09

10.11999/JEIT160555

2016-05-28；改回日期：2016-10-12；

2016-12-14

王斌 wangbin_bupt@163.com

國家自然科學基金資助(61370195)，中興通訊產學研項目

The National Natural Science Foundation of China (61370195), ZTE Corporation and University Joint Research Project