16. PTPDroid: Detecting Violated User Privacy Disclosures to Third-Parties of Android Apps

16.1 论文信息

  • 作者:Zeya Tan, Wei Song
  • 年份:2023年
  • 会议:ICSE
  • 研究机构:南京理工大学
  • 主要内容:提出了一种实体敏感的流到策略一致性检查工具 PTPDroid,可识别数据流中的第三方实体和数据类型,并判断其是否在隐私政策中披露。

16.2 问题分析

现有一致性分析存在以下不足:

  1. 忽略第三方实体的区分;
  2. 受限于静态分析工具(如 AppCensus),遗漏部分数据流或数据类型。

16.3 研究方案

1. 本体与映射建立

构建隐私信息与第三方实体的本体,实现字符串到本体短语的映射。

2. 隐私政策分析

提取所有关于第三方实体的数据收集声明,表示为 (实体, 动作, 数据类型) 三元组。

3. 静态分析

使用污点分析检测应用向第三方共享用户数据的行为,转换为 (实体, 收集, 数据类型) 三元组。

4. 一致性检查

对比两组三元组,识别不一致项,包括类型、声明内容、代码行为等。

图16.1 方案架构

图16.1 方案架构

16.4 优缺点

优点

  1. 提出了更为全面的隐私政策标注方案;
  2. 使用 BiLSTM 模型进行多标签分类,提高了隐私政策分析的准确性。

缺点

  1. 忽略了用户通过 GUI 输入的信息;
  2. 仅限于预定义的第三方实体,缺乏扩展性。