公开(公告)号：CN110287722B

公开(公告)日：2020-11-24

申请号：CN201910408770.2

申请日：2019-05-13

Applicant: 北京邮电大学

Inventor： 徐国爱 ,  张淼 ,  贺雪乔 ,  刘诗楠

IPC: G06F21/62

Abstract: 本发明属于信息安全技术领域，涉及一种iOS应用中用于隐私条例检查的敏感权限提取方法，包括以下步骤：下载应用到手机端，对加壳应用砸壳，将处理后的ipa包传输到pc端；对ipa包解压缩，读取应用申请的权限信息，定位可执行文件；用ida静态分析可执行文件；用文本相似度检测建立敏感API和敏感权限映射表；自动点击框架结合手工输入，收集流量信息；识别A、B、C类敏感信息；输出应用对敏感信息的使用情况；得到敏感信息与敏感权限的映射表。本发明结合静态检测与流量检测，弥补静态分析无法辨别是否由第三方调取权限的不足，又能得到应用调用的敏感API从而得到敏感权限；并构建流量敏感信息与敏感权限映射表。

公开(公告)号：CN110287722A

公开(公告)日：2019-09-27

申请号：CN201910408770.2

申请日：2019-05-13

Applicant: 北京邮电大学

Inventor： 徐国爱 ,  张淼 ,  贺雪乔 ,  刘诗楠

IPC: G06F21/62

Abstract: 本发明属于信息安全技术领域，涉及一种iOS应用中用于隐私条例检查的敏感权限提取方法，包括以下步骤：下载应用到手机端，对加壳应用砸壳，将处理后的ipa包传输到pc端；对ipa包解压缩，读取应用申请的权限信息，定位可执行文件；用ida静态分析可执行文件；用文本相似度检测建立敏感API和敏感权限映射表；自动点击框架结合手工输入，收集流量信息；识别A、B、C类敏感信息；输出应用对敏感信息的使用情况；得到敏感信息与敏感权限的映射表。本发明结合静态检测与流量检测，弥补静态分析无法辨别是否由第三方调取权限的不足，又能得到应用调用的敏感API从而得到敏感权限；并构建流量敏感信息与敏感权限映射表。