Android應用程序個人信息安全量化評估模型研究*

趙 波，劉賢剛，劉 行，胡 影

（中國電子技術標準化研究院，北京 100007）

0 引言

隨著移動互聯網的飛速發展，移動智能終端及運行于各類移動智能終端上的移動互聯網應用程序（Mobile Internet Application，以下簡稱App）已全面滲透入人們的工作和生活。中國互聯網絡信息中心發布的《第45次中國互聯網絡發展狀況統計報告》[1]顯示，截至2020年3月，我國網民規模達9.04億，其中使用手機上網的網民達8.97億，占比達99.3%。同時，根據中國網信網發布的《2019年我國移動應用程序（APP）數量增長情況》[2]，截至2019年12月末，我國國內應用市場上監測到的App數量已達367萬款。在依賴性上，2020年第一季度國內手機網民人均安裝App 63款，人均單日App使用時長達6.7 h[3]。可見，App已經成為人們工作和生活離不開的基礎軟件。

然而，App在為用戶提供便捷服務的同時，也帶來了嚴重的個人信息安全問題，如App強制授權、過度索權、超范圍收集個人信息的現象大量存在。中國消費者協會于2018年進行的App個人信息泄露情況調查顯示，遇到個人信息泄露情況的人數占比達85.2%[4]。全國信息安全標準化技術委員會秘書處發布的文件顯示，App存在的典型個人信息安全問題包括超范圍收集個人信息、設置不合理賬號注銷條件、強制索取權限、無隱私政策、默認選擇同意以及未充分明示個人敏感信息使用規則等[5]。

針對App個人信息安全問題，國家監管部門陸續開展了多項針對性的監管活動。例如，中央網信辦、工信部、公安部和國家市場監管總局等四部門聯合開展的App違法違規收集使用個人信息專項治理行動（以下簡稱“四部門專項治理行動”），工信部開展的App侵害用戶權益專項整治工作等。同時，相繼發布了多個App個人信息安全相關監管文件，如《數據安全管理辦法（征求意見稿）》《App違法違規收集使用個人信息行為認定方法》以及GB/T 35273-2020《信息安全技術 個人信息安全規范》等。這些監管活動和監管文件的有效執行，均依賴于對App的個人信息安全進行檢測評估。如前文所述，App個人信息安全問題不同于惡意代碼、系統漏洞等傳統信息安全問題，在相應的檢測方法和評估準則方面仍缺少相關研究，特別是在App個人信息安全量化評估方面，目前仍處于探索階段。

本文以市場占有率80%以上的Android系統為研究對象，對國內監管要求和Android應用個人信息安全檢測方法進行綜合分析，在檢測技術可實現的基礎上提出Android應用個人信息安全評估指標體系，通過按層次細分評估指標和層次分析法，對Android應用個人信息安全進行量化評估。需要說明的是，本研究僅關注移動設備端App的個人信息安全，暫不考慮App后端服務處理個人信息的行為。

1 App個人信息安全要求與標準

App個人信息安全量化評估通常應當以App個人信息安全評估標準為準則。然而，國內目前缺少直接針對App個人信息安全評估的標準。因此，本文對當前已發布的針對個人信息安全的部門規章、政策文件、標準文件進行分析，作為評估指標依據。

1.1 部門規章

為配合《網絡安全法》中對個人信息保護的基本要求，有關行業主管和監管部門積極制定了細化的部門規章，其中和App個人信息安全保護相關的主要包括工信部發布的《電信和互聯網用戶個人信息保護規定》《移動智能終端應用軟件預置和分發管理暫行規定》，網信辦發布的《移動互聯網應用程序信息服務管理規定》等。這些部門規章提出了收集、使用用戶的個人信息，應當明確告知用戶收集、使用個人信息的目的、方式和范圍；收集、使用用戶的個人信息須經用戶同意；不得收集與所提供服務無關的個人信息或調用與所提供服務無關的終端功能；應當提供給用戶選擇終止服務、停止收集其個人信息以及注銷賬號等要求。

1.2 政策文件

《App違法違規收集使用個人信息行為認定方法》是四部門專項治理行動的工作成果，為監管部門認定App違法違規收集使用個人信息行為提供了參考。該文件給出了App未公開收集使用規則，未明示收集使用個人信息的目的、方式和范圍，未經用戶同意收集使用個人信息，違反必要原則收集與其提供的服務無關的個人信息，未經同意向他人提供個人信息，未公布投訴、舉報方式等，共6大類違法違規收集使用個人信息行為，且每一類詳細列舉了認定準則。該政策文件為提出Android應用程序個人信息安全評估的指標提供了直接依據。

1.3 標準文件

個人信息保護標準對于個人信息保護工作具有基礎性、規范性和引領性作用，是本文提出評估指標的主要依據。

在國家標準層面，針對個人信息保護要求，目前已有標準包括GB/T 35273-2020《信息安全技術個人信息安全規范》、GB/T 34978-2017《信息安全技術 移動智能終端個人信息保護技術要求》以及《信息安全技術 移動互聯網應用程序（App）收集個人信息基本規范（送審稿）》等。其中，《信息安全技術 個人信息安全規范》對個人信息以及個人敏感信息的范圍進行了界定，明確了個人信息控制者在開展個人信息處理活動中應當遵循的基本原則，及其在對個人信息進行收集、保存、使用和對外提供等環節應遵守的相關要求，是目前使用最廣泛的個人信息安全保護標準。《信息安全技術 移動智能終端個人信息保護技術要求》規范了全部或部分通過移動智能終端進行個人信息處理的過程，根據移動智能終端個人信息的分類和不同的處理階段，對相應的個人信息保護提出了技術要求。《信息安全技術 移動互聯網應用程序（App）收集個人信息基本規范（送審稿）》明確了移動互聯網應用程序收集個人信息時應滿足的基本要求，用以規范移動互聯網應用程序運營者收集個人信息的行為。該標準附錄中給出了地圖導航、網絡約車、即時通信、網絡社區等38類常用服務類型可收集的最小必要信息

在行業標準方面，中國通信標準化協會已發布YD/T 2781-2014《電信和互聯網服務 用戶個人信息保護 定義及分類》、YD/T 2782-2014《電信和互聯網服務 用戶個人信息保護 分級指南》以及YD/T 3082-2016《移動智能終端上的個人信息保護技術要求》等行業標準。

2 App個人信息安全檢測技術

雖然Android應用個人信息安全檢測的問題點與Android應用傳統信息安全的檢測點不同，但在基礎檢測技術上兩者是一致的。Android應用個人信息安全基礎檢測技術包括靜態分析技術和動態分析技術。在靜態分析和動態分析的基礎上，要對個人信息安全問題進行判斷，還需要人工進行分析。

2.1 靜態分析技術

Android應用靜態分析技術包括資源文件掃描技術、代碼特征掃描技術以及靜態污點分析技術等。Android應用的APK文件中包含Dalvik字節碼文件和AndroidManifest、圖片、布局、so文件等其他資源文件。資源文件掃描技術對App的AndroidManifest文件、布局文件等進行掃描，通過分析App的AndroidManifest文件可以獲得App聲明可能會使用的系統權限；通過分析布局文件可以獲得App可能讓用戶輸入的個人信息。代碼特征掃描技術對反編譯后的Dalvik字節碼進行掃描，通過分析代碼發現App調用的敏感API、嵌入的第三方SDK等。其中，敏感API是指能夠獲取用戶個人信息的API。靜態污點分析技術通過在反編譯后的代碼上進行靜態污點追蹤，識別特定數據在代碼中的傳播路徑。靜態污點分析可用于分析敏感API被調用時可能接收的參數值。靜態分析技術的特點是覆蓋的代碼范圍廣，但準確度較低。

2.2 動態分析技術

Android應用動態分析技術包括App動態運行技術、App敏感API Hook技術、動態污點分析技術以及網絡數據抓包技術等。App動態運行技術是指在無人操作的情況下自動運行App，自動觸發App中的特定操作。在固定時間內，盡可能多地觸發App中的不同操作，可提高動態運行代碼的覆蓋率。App敏感API Hook技術通過在敏感API上添加Hook，記錄App在實際運行時調用敏感API的時間、傳遞的參數以及調用棧等。動態污點分析技術通過修改Android操作系統底層代碼，追蹤App在實際運行時污點數據的傳播情況，在被打上污點標簽的個人信息傳播至文件、短信或網絡出口時，記錄該個人信息發送行為。網絡數據抓包技術通過代理程序攔截App發送的網絡數據包。結合在設備端的Hook技術和中間人攻擊方法，可以在一定程度上攔截通過SSL/TLS等加密信道發送的明文數據。與靜態分析相比，動態分析技術的特點是準確度較高，但代碼覆蓋率較低。

2.3 人工分析

對于Android應用的個人信息安全問題，技術分析通常用于收集基礎數據。一款App是否確認存在個人信息安全問題，還需進一步進行人工分析判斷。人工分析包括隱私政策分析、App功能試用等。人工分析主要完成兩方面的工作。一方面是對技術分析的結果進行問題判定，如通過技術分析可以獲得App聲明了哪些系統權限，但這些權限是否都是App實現業務功能所必須的權限，還需人工結合App的業務功能進行判定；另一方面是彌補技術分析無法進行的問題分析，如App的隱私政策是否說明個人信息收集使用情況、使用敏感系統權限時是否說明目的等。這些內容涉及到對自然語言語義的理解，雖然當前有很多對自然語言處理的相關工作，但對隱私政策等的分析仍離不開人工判斷。

3 App個人信息安全量化評估模型

3.1 層次分析法

層次分析法（Analytic Hierarchy Process，AHP）[6]是一種定性與定量相結合、系統的、層次的分析方法。該方法將與最終的決策目標有關的要素按照其相互關聯影響及相互隸屬關系分解成目標、準則、方案等層次，通過對要素的兩兩比較，利用較少的定量信息使決策的思維過程數學化，從而為多目標、多準則或無結構特性的復雜決策問題提供簡便的決策方法。

運用層次分析法構造決策模型時，可分為以下4個步驟。

（1）建立層次結構模型。按照決策的目標、考慮的要素、決策對象等建立層次結構，繪制層次結構圖。

（2）構造判斷矩陣。兩兩比較每一層的各要素，根據該要素對上一層要素的重要性構造判斷矩陣。對比時采用相對尺度，以減少性質不同的要素相互比較的困難。成對比較矩陣的元素aij表示第i個要素相對于第j個要素的比較結果，這個值使用Santy的1～9標度方法給出。

表1 Santy 1～9標度表

（3）層次單排序及一致性檢驗。假設某一層要素的n階判斷矩陣A的最大特征根為λmax，其對應的特征向量經歸一化后記為W。W的元素為同一層要素對于上一層某要素相對重要性的排序權值，這一過程稱為層次單排序。完成層次單排序后，為了避免出現違背常識的判斷結果，需要對該次排序進行一致性檢驗。一致性指標用CI計算。CI越小，說明一致性越大。CI的定義為：

為衡量CI的大小，引入隨機一致性指標RI，表示矩陣出現一致性隨機偏離的可能性。矩陣階數n與RI的對應關系如表2所示。

表2 隨機一致性指標RI對照表

將CI和隨機一致性指標RI進行比較，得出檢驗系數CR，CR=CI/RI如果CR＜0.1，則認為該判斷矩陣通過一致性檢驗。

（4）層次總排序及一致性檢驗。層次總排序是指從最高層到最低層依次計算某一層所有要素對于最高層相對重要性的權值。假設第一層（A層）m個要素對總目標的權重為(a1,a2,…,am)，第二層（B層）n個要素對A層中要素Aj，j∈(0,m)的權重為(b1j,b2j,…,bnj)，一致性指標為CIj，隨機一致性指標為RIj則B層第i個要素對總目標的權重為若B層中與Aj相關的要素的成對比較判斷矩陣在層次單排中滿足一致性檢驗，一致性指標為CIj，隨機一致性指標為RIj，則B層層次總排序的CR：

當層次總排序的CR＜0.1時，認為層次總排序通過一致性檢驗。

3.2 量化評估模型

通過對部門規章、政策文件、標準規范的研究分析可以發現，App個人信息安全問題包含個人信息主體權益保障和個人信息安全保障兩個方面。結合個人信息安全規范中提出的個人信息安全基本原則，本文以明確告知、選擇同意、最小必要、確保安全和主體參與5個要素作為Android應用個人信息安全的直接評價準則。在此基礎上，按照層次分析法的決策思維，結合Android應用的特點和檢測技術，從隱私政策、權限申請、信息收集、第三方共享以及賬號注銷等方面對直接評價準則進行逐層分解。對于各層指標，按照該指標不符合時對個人信息主體權益減損多少或可能造成的個人信息安全影響大小進行兩兩比較。

本文構造的層次模型如圖1所示。對于第一層的直接評價準則層，根據相關要求與標準文件描述，認為該層各要素對Android應用個人信息安全的重要度相同，因此該層要素相對總目標的權重W=(0.2,0.2,0.2,0.2,0.2)。而對于從第二層開始的各要素，根據其對上一層要素的重要程度兩兩進行比較，確定其相對上一層要素的權重。

圖1 Android應用個人信息安全評估指標層次結構模型

以C1～C5為例，其相對B1的權重確定過程如下。

首先根據B1的重要度，兩兩比較C1～C5的要素，構造判斷矩陣Ac。

計算判斷矩陣Ac的最大特征根λmax=5.278 7、一致性指標CI=0.069 7和檢驗系數CR=0.062 2。由CR＜0.1可知，該判斷矩陣通過一致性檢驗，各項權重無邏輯錯誤。由判斷矩陣的特征值向量歸一化，可得C1～C5要素對B1的重要度權重為W=(0.455 2,0.040 0,0.125 9,0.308 9,0.070 0)。

按照同樣的方法，計算各層要素對上一層要素的重要度權重，再根據3.1節描述的層次總排序計算方法計算各層要素對總目標的重要度權重，最終計算結果如圖2所示。經檢驗，該層次結構模型的層次總排序CR＜0.1，滿足一致性指標。評估中使用該層次結構模型作為Android應用的量化評估模型。設Android應用個人信息安全水平的滿分為100，各指標項的權重值乘以100為該項的分值，對App滿足的指標項的分值求和，即為該App個人信息安全水平的量化評分。

圖2 評估指標層次結構權重

4 評估實例分析

按照上述評估模型，本文選擇了12款不同服務類型的Android應用進行對比評估。表3顯示了每款App對應的主要個人信息安全問題及其對應的量化評分。可以看出，通過提出的量化評估模型，量化評分結果可以較好地反映App的個人信息安全保護水平。對于存在無隱私政策、無法注銷賬號、申請無關權限等較嚴重個人信息安全問題的App，本文所提方法會打出較低的評分。而對于打開權限時未同步明示目的、頻繁提示缺少的權限等問題，這些問題雖然在一定程度上造成用戶知情權和用戶體驗的下降，但實際對用戶個人信息安全的影響低于無隱私政策等問題。對于僅存在這些問題的App，本文所提方法給出了較高的評分。利用本文所提出的量化評估模型，通過量化評分結果的對比，一方面可以促進當前評分較低的App改進自身存在的嚴重個人信息安全問題，快速提升自身評分；另一方面可以鼓勵當前評分較高的App進一步提升自身的個人信息保護水平，從而取得更高的分數。因此，本文所提評估模型具有較好的實用意義。

表3 12款Android應用的對比評分

5 結語

本文針對Android應用個人信息安全的量化評估問題，研究了App個人信息安全的要求與標準，結合Android應用個人信息安全的檢測技術，提出了層次結構的Android應用個人信息安全評估指標項。按照某項指標不符合時對個人信息主體權益減損多少或可能造成的個人信息安全影響大小，采用層次分析法計算了各項指標的權重。最后，通過在12款App上的對比使用，驗證了方法的有效性。本文所提指標雖然針對Android應用，但其中大部分指標和方法同樣適用于iOS應用個人信息安全的量化評估。在未來工作中，計劃更深入地研究評估指標的分層拆解，進一步減小同一層次不同指標間的關聯性，并通過多位專家共同決策的方式提高指標間比較結果的客觀性，從而提高整個評估模型的準確性。