移动平台应用软件隐私威胁与保护 张源 博士、讲师 复旦大学系统软件与安全实验室 移动平台隐私威胁态势严峻 移动平台隐私威胁新特点 移动平台上，用户输入的信息是隐私数据的主要来源。 针对用户输入隐私的攻击开始兴起 来自AVL Team. 高能预警：丹麦“支付宝”MobilePay被盯上了！ http://blog.avlsec.com/2016/06/3339/mobilepay/ 用户输入的隐私（UIP）数据 UIP数据特点 账号和密码信息 • UIP类数据格式各异 • UIP类数据获取接口非规整 • UIP类数据的获取形式多样 地址信息 资金账户信息 现有工作 隐私泄露检测 • TaintDroid [OSDI 10] • AppIntent [CCS 13] • VetDroid [CCS 13]  LocationManager. getLastKnownLocation() FlowDroid [PLDI 14]  ContentResolver.query(CONTACT_URI) • 主要关注的敏感数据  SmsMessage. getMessageBody () 访问控制机制  TelephonyManager. getLine1Number() • Auriasium [Security 12] … • SEAndroid [NDSS 13] • FlaskDroid [Security 13] • ASM [Security 14] 现有工作 隐私泄露检测 • TaintDroid [OSDI 10] • AppIntent [CCS 13] • VetDroid [CCS 13] • FlowDroid 现有工作： [PLDI 14] 无法适用于UIP隐私数据的保护 访问控制机制 • Auriasium [Security 12] • SEAndroid [NDSS 13] • FlaskDroid [Security 13] • ASM [Security 14] 识别UIP数据是前提 如何识别UIP类数据是保护UIP类数据的前提 • 不是所有的用户输入都是同样敏感（支付密码 vs 搜索关键词） • 识别APP中所有的UIP数据 • 并且识别接收UIP数据的控件 我们的工作 UIP数据识别：UIPicker • 自动化的识别APP中所有的UIP控件 • 自动化标识控件的ID • 支持海量软件的分析 UIP数据保护机制 • 防止UIP数据被中间人攻击 • 监测UIP数据是否经过HTTP传输 • 监测UIP数据是否经过不安全的HTTPs 传输 如何识别UIP控件？ 挑战 1、接受用户输入的界面很多 2、一个界面中存在多个接受用户输入的控件 3、接受用户输入的控件类型多样 这种方案是否可行？ • 根据控件定义的属性，例如：“android:inputType=textPassword” • 是否能够很好的解决问题？ 我们的想法 UIP控件会包含一些隐私相关的元信息 • UI控件上会包含敏感数据的说明 • 开发者对UI控件的命名会标示一些敏感数据信息 核心想法： 基于文本分析识别用户输入隐私控件 <TextView android:text="@string/opl_new_payment_credit_card_number" /> <EditText android:id="@id/opl_credit_card_number" android:inputType="number" /> UIPicker架构 如何构建一个有代表性的、可以用于代表隐私 信息的文本库？ 预处理 APP 隐私文本识别 隐私界面控件 识别 如何基于界面控件的相关文本信息，识别隐私 界面控件？ UIP控件识别 Result 如何基于控件在程序行 为中的作用，识别接收 用户输入的UIP控件？ 预处理 – 资源文件提取 • 界面上出现的文本 1 UI Texts • 开发者定义控件的名称 – 分词 • 基于分隔符和特殊字符 – 清洗 • 非英语字符串、删除词 – 词根提取(Stemming) • 例如：将secured、security 替换为secure 2 Layout Descriptions @id/opl_credit_card_number @string/opl_new_credit_card_expiration_date_month @string/opl_new_credit_card_save_button 消除开发者习惯带来的隐私文本差异性 隐私文本识别-挑战 挑战：无法依赖人工定义一个很全的隐私文本集合 • 不同开发者会使用不同的词命名控件 • 不同的APP对于同样信息会有不同的文本表述 • 怎么找到尽可能多的能够描述一种用户隐私的文本？ 隐私文本识别-思路 我们的方法 • 人工定义一个初始的敏感文本集合（Initial Seeds） • 基于初始集合，自动化的找到更多的类似的词 (1) Initial Seeds (2) 较为完整的隐私文本集合 隐私文本识别-方法 我们的发现：隐私文本不是孤立出现的 • 包含隐私文本的页面会出现多个隐私文本 • 例如：登陆页面（用户名、密码等）、账号设置页面（姓名、邮箱等） 分析方法 1) 基于Initial Seeds标记含有（不含有）隐私文本的界面 2) 基于Chi-test聚类识别能够显著区分一个界面是否敏感的文本 UIP类型 Initial Seeds (7 words) Chi-test words (228 words) Login Crendentials & User Profile username, password, email mobil phone middl profile cellphon account nicknam firstnam lastnam person birth login confirm detail regist Location address, location zip citi street postal locat countri Financial credit card, bank secur month date pay year bill expir debit transact mm yy pin code 隐私界面控件识别 如何判断一个界面控件是否接受UIP数据 • 基于隐私文本判断一个UIP控件是否敏感 识别方法 1) 基于支持向量机（SVM）进行自动化分类 • 控件所属的隐私文本  特征值 • 涵盖控件左右邻居控件 隐私界面控件识别 如何判断一个界面控件是否接受UIP数据 • 基于隐私文本判断一个UIP控件是否敏感 识别方法 1) 基于支持向量机（SVM）进行自动化分类 • 控件所属的隐私文本  特征值 • 涵盖控件左右邻居控件 2) 如何获取训练集合 <EditText android:id=“@id/password_edittext” android:inputType="textPassword" /> UIP类型 训练集合识别方法 登陆凭证 & 账户信息 控件属性：textEmailAddress, textPersonName, textPassword, textVisiblePassword, password/email/phoneNumber 地理位置 控件属性：textPostalAddress 支付类信息 人工标记 UIP控件识别 – 问题：不是每一个隐私界面控件都 接受用户输入 • 如何识别一个隐私界面控件是否显示 用户输入的隐私 – 接受用户输入类型： • 主动输入：EditText • 被动输入：下拉菜单 • 定制化控件：com.alipay.InputBox 思路：基于程序访问含有隐私文本控件的行为 UIP控件识别 1、找到访问含有敏感文本信息的控件 Activity.setContentView(R.layout.add_credit_card.xml) UIP控件 Void OnCreate(Bundle bundle){ InputBox IB = findViewById(2131231511); submitBtn = findViewById(2131623982); submitBtn.setOnClickListener(new addCardListener()); } 2、识别用户交互行为 UIP控件行为特征： addCardListener.onClick(View v) { …… creditCard = IB.getText(); sendContent(creditCard) ….. } 控件的文本信息会在某一个事件处理函数中获取