2016年8月17日，ISC2016移动安全发展分论坛在北京国家会议中心召开，论坛由奇虎360公司与InForSec（网络安全研究国际学术论坛）联合举办。主题是“谁在窥探我的财富和隐私”，论坛旨在从系统安全、数据隐私、移动互联网黑产、移动支付安全等多个备受业内外人士关注的话题出发，揭秘移动生活中面临的重重新威胁，并提供新的解决思路。超过400名安全行业人士与会并参与讨论。

　　复旦大学系统软件与安全实验室副主任张源在会上做了“移动平台应用软件隐私威胁与保护”的报告。他指出移动应用软件在提供用户便利性和良好体验的同时，也搜集了大量的用户敏感数据，此类数据区别于系统和设备相关的敏感数据（例如SSID，GPS数据），而是与用户自身息息相关（例如用户名、密码、住址），然而目前此类敏感数据还未引起大家的重视。梳理移动应用软件中用户敏感数据的威胁，结合案例呼吁业界对此类数据进行安全性保护，并提出在移动应用软件中识别此类敏感数据的初步方法。他和他的团队采用基于文本分析的方法，较好地识别了一些用户输入类的隐私，更好地保护这些隐私数据。

　　以下内容为张源副主任报告速记整理全文：

　　张源：谢谢杨教授的推荐。我是来自复旦大学系统软件与安全实验室的张源。非常荣幸跟大家分享一下我们做的关于软件隐私保护的工作。

　　先给大家讲一个故事。下面这个截图来自一个国内知名学者的朋友圈，我给大家介绍一个案例，没有任何主观色彩。这个故事是这样的，这个学者收到一个快递电话，跟他说他有快递，要到付30元。快递小哥说了一个地址，感觉像是真的。这个学者很警觉，去看看快递。但是这个快递是一个很小的包裹，收件人地址是非常精确的，但是寄件人是没有名字的，寄件人的地址也是一个让他觉得非常熟悉的地址，这是一个很显然的快递欺诈的包裹，学者拒收了这个快递。他想着如果不给他打电话，可能让家人去收快递了，因为有非常准确的地址。

　　移动平台上，用户输入的信息是隐私数据的主要来源！

　　通过这样的例子我们可以看出来，由于历史信息的泄漏，攻击者可以进行精准攻击。在绝大部分情况下，被泄漏的这些地址信息其实是用户由于一些业务的需求，主动的输入给一些网站或者APP，这些APP或者网站没有保护好这些隐私。在移动平台上，这种用户输入的隐私是非常普遍的情况。我们通过交互不断提供一些隐私给APP，从而得到APP更好的服务。所以我们认为在移动平台上，针对用户输入的隐私与否将是隐私保护的重要的区域。

　　在移动平台上，除了账号信息之外，还有两种比较主流的用户输入信息，地址信息，资金账户信息，这些都是用户特别私密的信息。这类数据有什么样的特点呢？它至少有三个方法的特点。首先，数据格式是特意的，账户就是一个密码，地址就是省、市、街道详细地址，在结构上是不一样的，所以没办法通过输入看出来。第二，每个APP有自己的界面和函数，去获取这样的数据。第三个特点，用户输入的数据，它的获取形式是多样的，有些可能通过输入框，有些是让用户去选。基于这种用户输入数据的三个特点。我们该怎么保护它呢？

　　我们去分析看，在隐私保护方面的这些工作主要分为两类：

　　第一类隐私监测的范畴，通过动静态的分析过程，跟踪隐私在APP过程的流转，一旦发现被不安全发送出去就会告诉用户。我们课题组一个是OSDI，一个是网络控制机制，我们通过操作系统和其他手段设置APP访问隐私数据的模式，通过这样一种框架，基于这个规则去控制程序。这两个工作有一个统一的特点就是，它们大部分主要通过一些API获得系统内件。分析之前的特点，这种工作没有直接保护用户输入的隐私，因为用户输入的隐私不是监管过程。那是不是说这些系统工作完全没有办法用于保护数据呢？我们可以分析得到结论是，现有工作主要的问题是它在于没法识别哪些是用户输入的隐私数据。在移动平台上针对用户输入隐私数据的保护而言，哪些数据是用户输入的隐私，这是非常重要的问题。不是所有的用户输入，我们输入的密码是隐私的，但是关键词就没有那么敏感。

　　二是在保护这些隐私方面，我们必须识别出来这些APP到底有哪些输入的隐私，通过哪些控件输入给APP，这样才能更好地保护这类隐私。这是我今天主要介绍的内容，我们主要设计了自动化的方法，能够识别一个APP中到底它会要求用户输入哪些数据，到底通过哪些控件来输入的隐私输入。

　　基于这样的工作，我们设计了一个轻量级的隐私数据保护，防止中间人的攻击。我们考虑个问题，APP有很多界面，有很多界面要求输入信息。到底哪个界面可能会输入UIP数据呢？其实是不知道的。这个界面中的控件很多，控件类型也很多，有些通过输入框，有些通过下拉菜单，很难通过自动化的方法去识别出来。当然熟悉安卓开发的同事会提出一种思路，比如输入密码的时候，我们通过输入数据可以识别出来，这肯定是让用户输入密码的隐私框。但是这样是否可行呢？它存在一个问题，首先因为不是每一种隐私，安卓都定义了控件属性，我们很难找到比较全都安装控件的隐私框。二是因为安卓提供的UI组件非常丰富，不是每一个控件都有这样的数据。第三也许开发者根本不用这个，我们是不是不分析它的数据。这样的方法很难很好地应用于这样的问题。