sechunter移动应用程序隐私合规性测试详细说明

　　从移动设备的广泛普及中受益，移动应用程序近年来蓬勃发展。基于与移动设备集成的各种传感器，已经开发了许多功能丰富的移动应用程序，并收集了大量高价值的用户隐私数据数据在内文章简要介绍了Sechunter移动应用隐私合规检测应用以及目标检测技术的应用方法。

　　移动应用程序的隐私合规性检测可以分为静态检测方案和技术形式的动态检测解决方案。以下是简短的介绍。

　　静态检测方案由移动应用程序的安装程序包编译，然后通过静态数据流和控制流分析技术来检测移动应用程序中可能存在的隐私泄漏。在本领域，经常使用以下工具：

　　使用上述工具，开发人员可以制定相应的标准检测项目，以检测应用程序中应用程序中的隐藏危险。

　　动态检测方案正在运行以应用于真实的手机或模拟器沙箱，并监视系统中敏感资源的移动应用程序，并分析隐私策略声明与移动应用程序结合使用，以检测是否包括侵犯移动应用程序。手册或UI。

　　1.2.1敏感行为监测

　　在运行期间，敏感线监视实时监视应用程序以访问用户隐私敏感数据。它分为两种类型：一种是将监视代码直接添加到源代码中。例如，将代码直接添加到AOSP中的GetLastLocation录制API访问行为的代码。另一个是通过挂钩方案，该方案不会直接修改源代码。而是在运行应用程序时添加逻辑挂钩。当应用程序调用特定敏感的API时，首先跳到挂钩函数，最后返回以调用原始敏感的API。它们在它们中，挂钩函数负责录制应用程序的API访问行为。

　　1.2.2 UI自动化

　　移动应用程序自动化是通过程序控制控制移动应用程序UI交互。该字段中的典型工具是：猴子[5]，UI接口的随机点击和系统 - 级别事件。third -party ui自动化工具：uiautomator2 [6]和AndroidViewClient [7]基于系统工具UIAUTOMATOR实现，可以实现基本的自动化UI测试功能编程。

　　深度学习中的目标检测主要用于检测视图中对象的类型和位置，如下图所示。在目前，深度学习算法有三种类型：Yolo [7]，SSD [8]和RCNN [9]。

　　以更快的rcnn为例，算法是RCNN算法的演变。在结构性，更快的RCNN提取的特征，分类盒回归（rect Piftine）和分类中，使全面的性能得到了极大的改进，这在检测速度术语。FASTERRCNN主要分为4个主要内容：

　　1.转动器。作为CNN网络目标检测方法，更快的RCNN首先使用一组基本的conv+relu+池层来提取图像特征图。该特征映射可用于后续的RPN层和完整的连接层。

　　2. RPN网络用于生成区域建议。该层确定锚定属于正或负面，然后使用边界框回归来修改锚点以获得精确的建议。

　　3. ROI池。此一层收集输入特征图和建议。合并此信息后，提取了建议特征图，并将目标类别发送到后续完整连接层。

　　4.分类。使用提案特征图来计算提案类别，同时，边界框回归是为了获得检测框的最终准确位置。

　　在UI自动化中，通常有UI布局无法通过基于UIAUTOMATOR的工具识别。有两个引起这种情况的主要原因：1。UI内容由整个图片呈现；2. UI控制的原因。某些用户编写的UI控件不支持无障碍服务，从而导致uiautomator无法获得UI布局。这次，在使用UI Image目标识别时，您可以确定可以单击的有效区域。

　　如上图所示，在sechunter的UI自动化中，我们需要获得该应用程序的隐私声明文件链接，以及相应的“同意”和“分歧”位置。当UIAutomator无法获得UI布局时，目标识别可以执行，可以通过图像获得点击位置，以促进UI自动测试的继续执行。

　　在模型培训中，主要困难是数据集的收集。Sechunter解决方案是通过传统的图片处理方案获得初步数据集。在这里，我们在图片处理领域使用重要的区域识别。此过程的关键是要有一个验证模块。对于链接的隐私声明，即验证该区域的内容确实是单击跳跃后的隐私声明。我们使用LDA主题模型来确定文本内容是否是隐私策略。将经过验证的样本存储在数据中浓度，然后使用这些标签数据训练目标识别模型的第一个版本。

　　受过训练的模型仅使用传统的图像处理来识别成功的学习图片。对于失败的图片，我们进一步使用OCR。OR可以识别Image.com中的文本内容和位置。，您可以更准确地单击该区域结果，并且目前使用了融合方案。随着数据集的积累，目标检测模型的检测结果变得更加准确。可以使用识别解决方案。

　　移动应用隐私合规检测在保护个人信息安全方面起着重要作用。但是，当前的工具自动化检测能力通常受到限制。Sechunter在自动隐私合规性测试领域进行了一些积极的探索，并进行了许多交叉域名技术调查。本文中介绍的目标识别技术可以帮助自动化工具识别UI，以更快，更准确地单击该区域。

　　福利：华为云脆弱性扫描服务与基本版本有限时间免费体验>>>

　　引用：

　　【1】Apktool：https：//ibotpeaches.github.io/apktool/

　　【2】dex2jar：https：//github.com/pxb1988/dex2jar

　　【3soot：http：//soot-ess.github.io/soot/

　　[4] flowdroid：https：//blogs.uni-paderborn.de/sse/tools/flowdroid/

　　[5]猴子：https：//developer.android.com/studio/test/monkey？HL = ZH-CN

　　【6】uiautomator2：https：//github.com/openatx/uiautomator2

　　【7】AndroidViewClient：https：//github.com/dtmilano/androidviewclient

　　【8】YOLO3：https：//github.com/ultralytics/yolov3

　　9】SSD：https：//github.com/amdegroot/ssd.pytorch

　　【10】更快 - CNN：https：//arxiv.org/abs/1506.01497

　　本文分享了“移动应用程序的隐私检测简介隐私合规性检测和目标检测技术”，作者：Wolfrevo。