9. Lalaine: Measuring and Characterizing Non-Compliance of Apple Privacy Labels

9.1 论文信息

  • 作者:Yue Xiao, Zhengyi Li, Yue Qin, Xiaolong Bai, Jiale Guan, Xiaojing Liao, Luyi Xing
  • 年份:2023年
  • 会议:USENIX Security Symposium
  • 研究机构:Indiana University Bloomington, Orion Security Lab, Alibaba Group
  • 主要内容:提出基于数据流到隐私标签一致性分析的工具 Lalaine,用于评估 iOS 应用程序隐私标签的合规性。

9.2 问题分析

Apple 推出隐私标签帮助用户了解应用隐私实践,但仍面临以下挑战:

  • 数据流到标签一致性分析复杂;
  • 隐私标签语义多层次;
  • 不一致难以准确定义。

9.3 研究方案

Lalaine 架构

图9.1 Lalaine系统架构

图9.1 Lalaine系统架构

1. 数据收集和预处理

  • 从 App Store 收集 366,685 个 iOS 应用;
  • 获取隐私标签和隐私政策。

2. 静态评估框架(SAF)

  • 敏感 API 分析器:构建 l-data → iOS API 映射;
  • 隐私标签到策略一致性检查器:使用 PurPliance 提取数据项和目的,并映射到隐私标签分类法。

3. 动态评估框架(DAF)

  • 使用 Frida 和 Fiddler 捕获 API 调用和网络流量;
  • 构建 c-mapping(API调用与端点的映射);
  • 推断数据收集目的并与隐私标签匹配。

9.4 实验评估

Lalaine整体有效性

  • 手动测试 100 个应用;
  • 生成 407 个 API 调用,识别 75 个不合规 data-purpose 对;
  • 精确率 96%,召回率 60.6%。

不一致性分析

(1)忽略披露

  • 5,102 个应用中有 3,281 个应用存在该问题;
  • 诊断数据最容易被忽略。
图9.2 忽略披露的应用数量

图9.2 忽略披露的应用数量

图9.3 被忽视数据应用程序的分布

图9.3 被忽视数据应用程序的分布

(2)反向披露

  • 1,628 个应用错误标记用途;
  • 生活方式类应用最常出现该问题。
图9.4 不同数据类型和用途中披露不足的分布

图9.4 不同数据类型和用途中披露不足的分布

(3)披露不足

  • 677 个应用不充分标记数据用途;
  • 最常见的是“开发者广告或营销”和“分析”。

9.5 优缺点

优点

  1. 将隐私标签合规性问题形式化;
  2. 定义了“流到标签”的不一致性;
  3. 从数据使用目的分析一致性,更符合合规评估需求。

缺点

  1. 无法分析受保护的应用(如使用 SSL 证书固定);
  2. 第三方库覆盖有限,可能导致评估不全面。