網(wǎng)絡(luò)安全研究國際學(xué)術(shù)論壇移動平臺用戶隱私保護技術(shù)綜述

文/楊哲慜 楊珉

?

網(wǎng)絡(luò)安全研究國際學(xué)術(shù)論壇移動平臺用戶隱私保護技術(shù)綜述

文/楊哲慜 楊珉

以谷歌公司的安卓系統(tǒng)和蘋果公司的iOS系統(tǒng)為代表的移動操作系統(tǒng)正逐漸取代桌面操作系統(tǒng)，成為公眾接入互聯(lián)網(wǎng)的主要入口平臺。短短數(shù)年內(nèi)，移動智能終端出現(xiàn)爆發(fā)式增長，據(jù)權(quán)威市場研究機構(gòu)IDC的數(shù)據(jù)顯示[1]，2013年全球智能手機的出貨量達4.3億臺，比2009年增長了十倍，到2015年第二季度更是單季度出貨量達3.415億臺，其主要增長來自于亞太和中東亞地區(qū)。

移動操作系統(tǒng)生態(tài)鏈正從智能手機拓展到如平板電腦、智能家居、可穿戴設(shè)備、車載控制系統(tǒng)等多種衍生產(chǎn)品中，日益驅(qū)動著互聯(lián)網(wǎng)的改變和發(fā)展。作為移動互聯(lián)時代的突出標(biāo)志之一，移動應(yīng)用聚集大量高附加值的信息和資源。這些信息和資源不僅包含個人的手機信息、身份信息、地理位置信息，還包含諸多賬號信息以及郵件、文件等信息。

移動應(yīng)用利用用戶賦予的個人信息為其提供便捷、即時、精確的定制服務(wù)。在這一背景下，移動平臺得以取代傳統(tǒng)PC平臺成為人們接入互聯(lián)網(wǎng)的首選方式。然而，移動平臺的高度互聯(lián)性也是一把雙刃劍，它同時使用戶輕易暴露在攻擊者的威脅之下。受政治、軍事和商業(yè)利益驅(qū)使，針對移動終端系統(tǒng)的攻擊行為層出不窮，其中針對個人隱私的竊取行為又是其中的重災(zāi)區(qū)。“棱鏡門”以及多項外電資料披露，多個國家在資助移動操作系統(tǒng)安全防護方法的同時，也在研究利用移動操作系統(tǒng)的安全缺陷，通過惡意軟件對我國重要人員以及公眾實施高級持續(xù)性的大規(guī)模數(shù)據(jù)搜集。美國政府曾在過去的三年中資助英國政府通信總部（GCHQ）1億英鎊，專門用于研究手機操作系統(tǒng)的攻擊方法。

在過去的2015年中，國內(nèi)個人信息泄露事件頻發(fā)。中國互聯(lián)網(wǎng)協(xié)會2015年發(fā)布的《中國網(wǎng)民權(quán)益保護調(diào)查報告》[2]稱，2015年中，中國網(wǎng)民因個人信息泄露、垃圾信息、詐騙信息等現(xiàn)象導(dǎo)致總體損失約805億元。其中，78.2%的網(wǎng)民個人身份信息被泄露過，63.4%的網(wǎng)民個人網(wǎng)上活動信息被泄露過。11月份被批露的百度Wormhole漏洞，其影響力覆蓋過億安卓手機用戶，造成大量用戶隱私泄漏風(fēng)險。

面對移動互聯(lián)網(wǎng)用戶隱私保護的嚴(yán)峻形勢，隱私泄漏的檢測和保護近年來頗受關(guān)注。本文結(jié)合團隊的研究成果和正在進行的研究工作，揭示了移動應(yīng)用隱私泄露檢測和防護的總體進展，并在增強對用戶隱私的識別和保護能力等方面提出值得關(guān)注的方向。

主要技術(shù)發(fā)展歷程

自從2008年第一部安卓智能手機面世以來，智能移動終端正在逐漸取代PC成為匯集個人隱私的核心媒介。這在賦予智能移動終端越來越強大功能的同時，也給個人隱私安全防護提出了必須面對的嚴(yán)峻挑戰(zhàn)：面對海量的移動應(yīng)用，種類眾多的隱私數(shù)據(jù)，復(fù)雜的數(shù)據(jù)流動渠道，如何確保個人隱私不被惡意利用？針對這一問題，早期的隱私泄漏分析的關(guān)注點主要集中在敏感數(shù)據(jù)的傳播上。研究人員通過用戶的隱私數(shù)據(jù)是否離開移動設(shè)備來判斷應(yīng)用是否存在隱私泄露，并從隱私泄漏的檢測和防護兩個方面展開研究：

1.隱私泄漏檢測

從核心原理來看，隱私泄露檢測技術(shù)經(jīng)歷了靜態(tài)分析、動態(tài)分析、動靜態(tài)分析結(jié)合的發(fā)展路線。

靜態(tài)分析方法通常采用靜態(tài)數(shù)據(jù)流分析的手段分析程序中的靜態(tài)敏感數(shù)據(jù)流向，如加利福尼亞大學(xué)戴維斯分校的Androidleaks系統(tǒng)[3]、加利福尼亞大學(xué)伯克利分校的ComDroid系統(tǒng)[4]、我們之前提出的LeakMiner系統(tǒng)[5]、喬治亞理工的Chex系統(tǒng)[6]和德國達姆施塔特工業(yè)大學(xué)的FlowDroid系統(tǒng)[7]。在隱私泄露檢測上，靜態(tài)分析方法具有運行速度快，代碼覆蓋率高等特點，但是由于靜態(tài)方法無法反映惡意軟件運行時的動態(tài)行為，使得這類檢測方法的實際效果受到明顯影響。在攻防持續(xù)對抗的過程中，攻擊者如果采用代碼混淆技術(shù)也可輕易規(guī)避此類方法的檢測。

意識到靜態(tài)分析的缺陷，動態(tài)分析方法根據(jù)應(yīng)用程序的敏感信息傳輸特征動態(tài)監(jiān)測安卓系統(tǒng)中的惡意隱私泄露應(yīng)用，其中最有代表性的是賓夕法尼亞大學(xué)的William Enck等人提出的TaintDroid系統(tǒng)[8]，該系統(tǒng)通過修改安卓內(nèi)核代碼，利用動態(tài)指令插樁的方式實時監(jiān)控程序中的數(shù)據(jù)傳播過程，并在發(fā)生敏感數(shù)據(jù)傳播時警告用戶。劍橋大學(xué)的Rubin Xu等人提出的Aurasium系統(tǒng)[9]則通過另一種方式實現(xiàn)了類似的功能，他們通過對需要監(jiān)控的應(yīng)用程序進行重打包，以此給應(yīng)用程序插入監(jiān)控邏輯。相比靜態(tài)分析方法，動態(tài)數(shù)據(jù)流跟蹤具有分析精度高的特點，但是由于動態(tài)監(jiān)測技術(shù)的局限，其具有代碼覆蓋率不足、檢測結(jié)果滯后于數(shù)據(jù)傳輸發(fā)生等問題。

鑒于動、靜態(tài)分析在隱私泄露檢測過程中的不足和優(yōu)點，如果可以結(jié)合兩種分析方法，綜合利用其優(yōu)勢，實現(xiàn)既具有較高覆蓋率和檢測速度，又具有高分析精度的檢測方法就具有了相當(dāng)大的現(xiàn)實意義。筆者在2013年提出的AppIntent系統(tǒng)[10]對此作了一些嘗試，AppIntent首先利用靜態(tài)數(shù)據(jù)流分析獲取應(yīng)用程序中敏感數(shù)據(jù)傳播的候選集，再通過動態(tài)符號化執(zhí)行驗證候選敏感數(shù)據(jù)流是否會真實發(fā)生。通過結(jié)合兩種分析方法，可以在較短時間內(nèi)，在不損失分析覆蓋率的前提下，提高隱私泄露的檢測精度。

2.隱私泄漏防護

在隱私泄漏的防范方面，移動終端系統(tǒng)主動抑制惡意軟件對敏感資源的不合理使用是防范惡意軟件的重要途徑。微軟雷蒙德研究院的Jaeyeon Jung研究員提出AppFence系統(tǒng)[11]在動態(tài)檢測隱私泄漏風(fēng)險的基礎(chǔ)上實時阻止軟件對隱私信息的收集行為。北卡羅來納大學(xué)的William Enck教授所在團隊提出的Kirin[12]和Saint[13]系統(tǒng)用于阻止一個應(yīng)用軟件同時申請多個可疑的敏感資源。此外，雪城大學(xué)的Wenliang Du教授所在團隊提出的AFrame系統(tǒng)[14]、伯克利的David Wagner教授所在團隊提出的AdDroid系統(tǒng)[15]、和萊斯大學(xué)的Shashi Shekhar 等人提出的AdSplit系統(tǒng)[16]均通過進程隔離的方式限制程序內(nèi)部不可信組件對敏感資源的使用。此外，劍橋大學(xué)的Ross Anderson等人提出的Aurasium系統(tǒng)[9]提供給用戶直接管理程序訪問敏感資源行為的能力。

隱私泄漏研究的新問題

隨著隱私泄漏研究的深入展開，近年來研究者們逐漸意識到傳統(tǒng)的隱私泄漏定義并不準(zhǔn)確。而該定義的不精確和不完整限制了隱私泄漏檢測技術(shù)的效率和效果。為了在隱私泄漏檢測和防護過程中獲得更準(zhǔn)確更全面的結(jié)果，相關(guān)研究在以下兩個方面對隱私泄漏定義進行了修正。

1.隱私泄漏的用戶感知問題

基于敏感數(shù)據(jù)傳播的隱私泄漏檢測技術(shù)認(rèn)為：通過檢測用戶的隱私數(shù)據(jù)是否離開移動設(shè)備就可以判斷應(yīng)用是否存在隱私泄露。事實上，由于大量手機應(yīng)用都采用云計算，許多非惡意應(yīng)用均利用云服務(wù)器為終端用戶提供定制化服務(wù)。這些應(yīng)用通常需要收集一些敏感數(shù)據(jù)（比如位置、聯(lián)系人信息等），并將其發(fā)送到自身服務(wù)器。而一些惡意應(yīng)用在竊取用戶敏感數(shù)據(jù)后也表現(xiàn)為類似的行為，也就是將隱私信息傳送到自己的服務(wù)器。因此，僅僅依靠應(yīng)用程序是否傳輸敏感數(shù)據(jù)不可以真正判別出應(yīng)用軟件是否存在隱私泄露。

意識到這一問題之后，安全研究人員通過不斷改進隱私泄漏的判斷標(biāo)準(zhǔn)，力圖提高隱私泄漏檢測的精度。美國杜克大學(xué)的Peter Gilbert等人提出的Vision系統(tǒng)[17]認(rèn)為如果應(yīng)用程序?qū)⒆陨砻舾袛?shù)據(jù)傳輸行為加入最終用戶許可協(xié)議（EULA）并得到用戶許可，或者應(yīng)用程序在敏感數(shù)據(jù)傳輸行為發(fā)生時明確的通知告知用戶，則該數(shù)據(jù)傳輸可以被認(rèn)為并非隱私泄露。與之類似的是，佐治亞理工學(xué)院的Wenke Lee教授所在團隊提出的BLADE系統(tǒng)[18]通過識別應(yīng)用程序是否得到了用戶許可，來檢測從網(wǎng)絡(luò)上動態(tài)下載的惡意軟件。然而，手機應(yīng)用一般不提供最終用戶許可協(xié)議（EULA），同時，即使在數(shù)據(jù)傳輸符合用戶意圖的時候（如轉(zhuǎn)發(fā)短信），應(yīng)用程序也很少向用戶彈出顯式的用戶提示。伯克利的Dawn Song教授所在團隊提出的Pegasus系統(tǒng)[19]以應(yīng)用程序使用API和權(quán)限的順序為特點來檢測軟件惡意行為。與我們的研究類似的是，它也檢測那些與圖形界面操作不相符的惡意行為。然而，隱私泄露無法通過簡單的權(quán)限或者API的使用順序來概括。因此應(yīng)用程序的隱私泄露行為無法通過這種方法被檢測出來。此外，Pegasus需要分析人員根據(jù)應(yīng)用程序的行為手動指定用戶程序行為驗證的屬性特征。在不了解應(yīng)用程序代碼的情況下，分析人員很難制定這些屬性特征。這些方法通過歸納隱私泄漏行為的外部表征試圖區(qū)分隱私泄漏和應(yīng)用軟件的正常敏感數(shù)據(jù)傳輸行為，對隱私泄漏的精確檢測進行了有效嘗試，但是這些方法仍然不能準(zhǔn)確判斷隱私泄漏。

筆者所在團隊于2013年發(fā)表在CCS會議上的論文[10]中提出了另一種判斷隱私泄漏的方法，即一個更好的隱私泄露判別方法應(yīng)該是敏感信息傳輸是否出于用戶本身的意圖。

（1）符合用戶意圖的敏感數(shù)據(jù)傳輸。為了使用應(yīng)用軟件的一些功能，用戶經(jīng)常需要容忍自己的隱私數(shù)據(jù)經(jīng)過特定渠道被發(fā)送出手機。比如，當(dāng)使用輔助管理短信的應(yīng)用時，用戶可以通過點擊屏幕上的一些按鈕將特定短信轉(zhuǎn)發(fā)給其它用戶；而在使用一些基于用戶地理位置的服務(wù)時，用戶為了得到一些其感興趣的內(nèi)容，往往要允許將自己的位置信息發(fā)送給應(yīng)用服務(wù)器。由于這類功能在使用敏感數(shù)據(jù)時，用戶已經(jīng)知情，所以不應(yīng)該將其歸類為隱私泄露。

表1　檢測到的傳輸敏感數(shù)據(jù)的應(yīng)用

（2）不符合用戶意圖的敏感數(shù)據(jù)傳輸。惡意應(yīng)用在用戶不知情且與用戶使用的功能無關(guān)的情況下非法傳輸敏感數(shù)據(jù)，我們稱之為用戶不知情的敏感數(shù)據(jù)傳輸，或者叫隱私泄露。在大部分情況下，惡意應(yīng)用為了使得用戶很難察覺到其惡意行為，通常都會秘密傳輸敏感數(shù)據(jù)。

綜上所述，應(yīng)用程序?qū)γ舾袛?shù)據(jù)的傳輸是不是在泄露隱私，取決于它是否滿足用戶的意圖。不幸的是，由于用戶的意圖非常繁雜而且不同的應(yīng)用采用不同的實現(xiàn)方式，因此通過工具自動化檢測用戶意圖基本不可能實現(xiàn)。相對而言，通過為人工分析人員提供敏感數(shù)據(jù)傳輸?shù)纳舷挛男畔⑹且环N較為可行的方法。通過分析數(shù)據(jù)傳輸對應(yīng)的用戶輸入序列，分析人員可以更容易的判斷數(shù)據(jù)傳輸是否出于用戶意圖。這促使我們設(shè)計并實現(xiàn)了AppIntent應(yīng)用分析框架。

AppIntent從敏感數(shù)據(jù)的傳播路徑中進一步分析出導(dǎo)致這次數(shù)據(jù)傳輸?shù)挠脩魯?shù)據(jù)輸入和交互輸入。再利用這兩部分用戶輸入控制應(yīng)用程序的執(zhí)行。在控制應(yīng)用程序執(zhí)行的過程中，AppIntent將對應(yīng)敏感信息傳輸?shù)膱D形界面操作的順序呈現(xiàn)給軟件分析人員。通過觀察這些界面操作，軟件分析人員可以快速做出判斷。

表1中的第一部分是750個惡意軟件樣本的數(shù)據(jù)，第二部分是1000個Google Play上熱門應(yīng)用樣本的測試結(jié)果。對每個樣本集，第一行的內(nèi)容是檢測到的敏感數(shù)據(jù)類型。第二行的數(shù)據(jù)是AppIntent各個階段發(fā)現(xiàn)的敏感數(shù)據(jù)傳播應(yīng)用數(shù)，第三行是通過AppIntent最終確定的符合用戶意圖和不符合用戶意圖的應(yīng)用數(shù)。

如表 1所示，靜態(tài)污點分析從這兩個數(shù)據(jù)組中檢測出582（442+140）個可能包含敏感數(shù)據(jù)傳輸?shù)膶嵗?。?jīng)過分析，我們發(fā)現(xiàn)其中有164個為誤報，在我們的AppIntent系統(tǒng)中，我們通過符合化執(zhí)行去除了這些誤報。隨后，利用符號化執(zhí)行提取的應(yīng)用程序輸入，AppIntent成功的對358（288+70）個應(yīng)用程序生成了演示案例。其中，245（219+26）個應(yīng)用中發(fā)現(xiàn)含有不符合用戶意圖的數(shù)據(jù)傳輸行為。我們注意到，即使是在熱門免費應(yīng)用中，用戶隱私泄露的現(xiàn)象依舊存在，這一現(xiàn)象主要發(fā)生在一些社交網(wǎng)絡(luò)服務(wù)或者含有內(nèi)嵌廣告模塊的應(yīng)用中。其中，泄露用戶的短信和聯(lián)系人信息的行為都發(fā)生在社交網(wǎng)絡(luò)服務(wù)中。此外，我們也發(fā)現(xiàn)，由于惡意的數(shù)據(jù)泄露行為可以隱藏在正常的數(shù)據(jù)傳輸背后去欺騙軟件安全檢查，因此惡意應(yīng)用程序中可能既包含符合用戶意圖的數(shù)據(jù)傳輸，也包含不符合用戶意圖的數(shù)據(jù)傳輸。例如，我們發(fā)現(xiàn)了一個將自己偽裝成短信應(yīng)用的程序，但在背地里，它偷偷的在未得到用戶允許的情況下將用戶的聯(lián)系人信息從手機上傳送出去。

2.隱私泄漏的敏感數(shù)據(jù)源問題

早在研究人員把敏感數(shù)據(jù)傳播作為隱私泄漏判斷依據(jù)的同時，“何為敏感數(shù)據(jù)”這個問題就已經(jīng)存在了。早期的移動平臺隱私泄漏檢測方法把固定格式的API函數(shù)作為定義敏感數(shù)據(jù)的標(biāo)準(zhǔn)，例如，在安卓隱私泄漏檢測方面，研究人員通常將安卓系統(tǒng)管控的隱私數(shù)據(jù)（如IMEI，地理位置、短信等）作為敏感數(shù)據(jù)源。但是隨著用戶越來越依賴移動終端管理其隱私數(shù)據(jù)，敏感數(shù)據(jù)的邊界正在被不斷拓展，而傳統(tǒng)的隱私泄漏檢測技術(shù)中對敏感數(shù)據(jù)源的定義已經(jīng)無法覆蓋這些新的敏感數(shù)據(jù)。

德國達姆施塔特工業(yè)大學(xué)Siegfried Rasthofe等人在2014年時提出[20]，現(xiàn)有方法在確定敏感數(shù)據(jù)源時采用的API函數(shù)列表是不完整的，并提出通過機器學(xué)習(xí)獲取更詳細(xì)的敏感數(shù)據(jù)訪問API，提高隱私泄漏檢測的覆蓋率。

我們提出的UIPicker系統(tǒng)[21]和普渡大學(xué)的SUPOR系統(tǒng)[22]認(rèn)為，單純檢測系統(tǒng)定義的API是不足以覆蓋所有的隱私泄露源的，其問題主要來源于由應(yīng)用程序管控的用戶輸入的隱私數(shù)據(jù)，其中包括但不限于用戶的個人資料信息如賬戶密碼，用戶輸入的地理位置信息，以及銀行卡等支付類信息。

盡管用戶輸入的隱私數(shù)據(jù)面臨著重大的安全威脅，如何保護這類隱私數(shù)據(jù)卻具有很大的挑戰(zhàn)性。與系統(tǒng)管控的隱私數(shù)據(jù)不同，用戶輸入隱私數(shù)據(jù)無法通過某些特定的API函數(shù)進行標(biāo)注，而是依賴于需要針對界面的語義信息以及上下文進行解析。在TaintDroid等系統(tǒng)中，將所有用戶輸入標(biāo)記為隱私數(shù)據(jù)，這樣明顯覆蓋太廣，并且將很多常規(guī)數(shù)據(jù)納入了不必要的保護范疇，增加了系統(tǒng)分析工作量以及性能。

為了保護用戶輸入的敏感數(shù)據(jù)免于各類情況的泄露，自動化地標(biāo)識這類數(shù)據(jù)變得非常必要以及緊迫。然而由于該類數(shù)據(jù)缺乏固定的結(jié)構(gòu)，使得識別工作非常具有挑戰(zhàn)性。為了解決這個問題，UIPicker和SUPOR發(fā)現(xiàn)在應(yīng)用當(dāng)中，很多與隱私輸入相關(guān)的界面元素均在界面自身，以及界面描述文件當(dāng)中通過豐富的語義信息有著較為明確的表述。在這樣一個觀察基礎(chǔ)之上，這兩個系統(tǒng)通過結(jié)合自然語言處理，機器學(xué)習(xí)，以及程序分析等技術(shù)，利用界面語義信息識別由用戶輸入的敏感信息源。

表2中第二列揭示了包含系統(tǒng)管控隱私的應(yīng)用個數(shù)，第三列為含有敏感屬性標(biāo)簽的用戶輸入隱私個數(shù)。

表2　敏感信息源數(shù)量

如表格2所示，通過對Google Play 上17425個應(yīng)用的分析，我們發(fā)現(xiàn)其中有六千多個應(yīng)用使用了用戶輸入的隱私數(shù)據(jù)。在傳統(tǒng)使用系統(tǒng)管控隱私API的系統(tǒng)中，受限于隱私數(shù)據(jù)的識別能力，無法對此類隱私進行有效保護。

在經(jīng)歷了系統(tǒng)管控隱私數(shù)據(jù)、用戶輸入隱私數(shù)據(jù)之后，我們不禁會想，下一個敏感信息源是什么？事實上，能夠推測用戶隱私的敏感信息遠(yuǎn)不止上文提到的這些。在移動平臺上，印第安納大學(xué)的Xiaofeng Wang教授[23]曾經(jīng)利用安卓應(yīng)用的網(wǎng)絡(luò)數(shù)據(jù)統(tǒng)計、應(yīng)用程序聲音開關(guān)等信息，利用旁道攻擊的方式獲取用戶的身份、位置、身體狀況等敏感信息。類似的工作還揭露出用戶的其他敏感信息也可以被惡意工作所捕獲。面對這一類型的攻擊，目前尚沒有成熟的方法可以進行有效檢測和防御。

在移動互聯(lián)網(wǎng)飛速發(fā)展的背景下，為增強對用戶隱私信息的保護能力，還可以從兩個角度開展研究工作：

第一，用戶隱私的定義范圍還可以做進一步擴展。在傳統(tǒng)系統(tǒng)定義用戶隱私和本文提到的用戶輸入用戶隱私以外還存在眾多用戶數(shù)據(jù)可以被用于推測用戶隱私。現(xiàn)有工作雖然揭示了相關(guān)問題的存在，但是并未達成對此類隱私的有效分析和檢測。因此，需要進一步深化對用戶隱私的分析和保護。

第二，對于隱私泄漏的用戶感知問題，目前已經(jīng)實現(xiàn)了輔助分析人員判斷敏感數(shù)據(jù)傳輸?shù)挠脩舾兄?，但是在大?guī)模應(yīng)用程序分析時，此類方法無法做到自動化判斷。目前仍有大量應(yīng)用收集各類用戶隱私，其中大部分不經(jīng)用戶同意。因此，仍需要加強對應(yīng)用商城運營商與程序開發(fā)商（者）的監(jiān)督管理。同時從技術(shù)角度講，也需要研究用戶感知度評估的自動化方法。

(作者單位為復(fù)旦大學(xué))

（本文部分內(nèi)容引用課題組撰寫的相關(guān)學(xué)術(shù)論文和技術(shù)報告。）

參考文獻

[1] Smartphone Vendor Market Share, 2015 Q2. http://www. idc.com/prodserv/smartphone-market-share.jsp

[2] 中國網(wǎng)民權(quán)益保護調(diào)查報告（2015）. http://www.cac. gov.cn/2015-07/22/c_1116002040.htm

[3] C. Gibler, J. Crussell, J. Erickson, and H. Chen. Androidleaks: automatically detecting potential privacy leaks in android applications on a large scale. In Proceedings of the 5th international conference on Trust and Trustworthy Computing, TRUST’12, pages 291?307, 2012

[4] Chin, E., Felt, A. P., Greenwood, K., and Wagner, D. Analyzing Inter-Application Communication in Android. In Proc. of the Annual International Conference on Mobile Systems, Applications, and Services (2011).

[5] Z. Yang and M. Yang. Leakminer: Detect information leakage on android with static taint analysis. In Software Engineering (WCSE), 2012 Third World Congress on, pages 101-104, 2012.

[6] L. Lu, Z. Li, Z. Wu, W. Lee, and G. Jiang. Chex: statically vetting android apps for component hijacking vulnerabilities. In CCS 2012, pages 229-240, 2012.

[7] C. Fritz. FlowDroid: A Precise and Scalable Data Flow Analysis for Android. Master’s thesis, TU Darmstadt, July 2013.

[8] W. Enck, P. Gilbert, B. gon Chun, L. P. Cox, J. Jung, P. McDaniel, and A. Sheth. Taintdroid: An information-flow tracking system for realtime privacy monitoring on smartphones. In R. H. Arpaci-Dusseau and B. Chen, editors, OSDI, pages 393?407. USENIX Association, 2010.

[9] R. Xu, H. Sa¨?di, and R. Anderson. Aurasium: practical policy enforcement for android applications. In USENIX Security 2012, Security’12, pages 27?27, Berkeley, CA, USA, 2012. USENIX Association.

[10] Z. Yang, M. Yang, Y. Zhang, G. Gu, P. Ning, and X. S. Wang. Appintent: Analyzing sensitive data transmission in android for privacy leakage detection. In Proc. of ACM CCS’13, 2013.

[11] P. Hornyack, et al., "These aren't the droids you're looking for: retrofitting android to protect data from imperious applications," In Proc. CCS, 2011.

[12] ENCK, W., ONGTANG, M., AND MCDANIEL, P. On Lightweight Mobile Phone Application Certification. In Proceedings of the 16th ACM Conference on Computer and Communications Security (CCS) (November 2009).

[13] ONGTANG, M., MCLAUGHLIN, S., ENCK, W., AND MCDANIEL, P. Semantically Rich Application-Centric Security in Android. In Proceedings of the 25th Annual Computer Security Applications Conference (ACSAC) (2009).

[14] X. Zhang, A. Ahlawat, and W. Du. AFrame: Isolating advertisements from mobile applications in Android. In Proceedings of the 29th Annual Computer Security Applications Conference, 2013.

[15] P. Pearce, A. P. Felt, G. Nunez, and D. Wagner. Addroid: Privilege separation for applications and advertisers in android. In 7th ACM Symposium on Information,

[16] S. Shekhar, M. Dietz, and D. S. Wallach. AdSplit: Separating smartphone advertising from applications. In 21th Usenix Security Symposium, 2012.

[17] P. Gilbert, B.-G. Chun, L. P. Cox, and J. Jung. Vision: automated security validation of mobile apps at app markets. In Proceedings of the second international workshop on Mobile cloud computing and services, MCS ’11, pages 21-26, New York, NY, USA, 2011. ACM.

[18] L. Lu, V. Yegneswaran, P. Porras, and W. Lee. Blade: an attack-agnostic approach for preventing drive-by malware infections. In Proc. CCS, pages 440-450, 2010.

[19] K. Z. Chen, N. Johnson, V. D’Silva, S. Dai, K. MacNamara, T. Magrino, E. X. Wu, M. Rinard, and D. Song. Contextual policy enforcement in android applications with permission event graphs. In Proc. NDSS, 2013.

[20] S. Arzt, S. Rasthofer, and E. Bodden, “Susi: A tool for the fully automated classification and categorization of android sources and sinks,” 2013.

[21] Y Nan, M Yang, Z Yang, et al. Uipicker: User-input privacy identification in mobile applications[C]//USENIX Security. 2015: 993-1008.

[22] J Huang, Z Li, X Xiao, et al. SUPOR: precise and scalable sensitive user input detection for android apps[C]// Proceedings of the 24th USENIX Conference on Security Symposium. USENIX Association, 2015: 977-992.

[23] X Zhou, S Demetriou, D He, et al. Identity, location, disease and more: Inferring your secrets from android public resources[C]// Proceedings of the 2013 ACM SIGSAC conference on Computer & communications security. ACM, 2013: 1017-1028.