校内登录

个人信息 更多+
  • 教师姓名: 刘烃
  • 所在单位: 网络空间安全学院
  • 办公地点: 兴庆校区彭康楼226
  • 性别: 男
  • 联系方式:
  • 职称: 教授

当前位置: 中文主页 - 研究成果/Achievement - 移动应用个人信息保护

移动应用个人信息保护

移动应用已成为个人信息处理的重要入口。随着小程序、第三方SDKWebView动态页面和跨平台框架广泛应用,个人信息处理行为呈现动态化、隐蔽化和链条化特征,传统人工审查、静态规则和单点流量分析方法难以全面识别隐私合规风险。针对上述挑战,团队面向移动应用个人信息保护与隐私合规治理需求,围绕个人信息收集什么、如何使用、流向何处等关键问题,开展了覆盖数据收集数据使用数据传输全过程的系统研究。

移动应用26.6.png

在数据收集阶段,团队聚焦移动应用收集什么数据的源头识别问题,提出基于视觉语义分析的UI敏感信息检测方法MUID,融合运行时页面截图与XML布局信息,自动识别动态界面中的敏感输入组件并推断所收集信息类型,解决了WebView封装、远程动态渲染等场景下个人信息收集点难以识别的问题,敏感组件识别召回率达到95.74%[1]

在数据使用阶段,进一步关注移动应用如何申请和使用数据的行为合规问题,提出了基于三阶段授权行为模型的自动化检测方法MiniChecker,将权限请求行为建模为前置条件权限申请处理目的模式,实现对自动弹窗、重复申请、拒绝后反复申请等典型权限申请滥用行为的精准识别。该方法在基准数据集上取得82.4%的检测精确率和95.3%的召回率,并在20,000个真实小程序中发现3,866个存在潜在权限申请风险的小程序[2]

在数据传输阶段,聚焦移动应用数据是否被违规外传的隐蔽风险识别问题,提出了基于流量语义引导的隐私数据传输检测方法WhisperCatcher,融合网络流量语义、静态代码分析和动态插桩技术,定位并还原经代码级加密或编码处理的个人信息传输行为。该方法在代码级加密信息传输检测中取得91.38%的召回率,较现有代表性方法提升43.25%;在14,879个真实应用中发现4,966个应用在用户同意隐私政策前存在个人信息传输行为[3]

该系列成果可服务于监管部门执法证据生成、应用市场上架审核等场景。相关方法有助于提升移动应用个人信息处理活动的透明度和可审计性,为构建可信、合规、可监管的移动互联网生态提供技术支撑,也为我国在数据安全治理和个人信息保护领域形成自主可控的智能检测能力提供了重要基础。

 

代表性论文:

[1] Z. Qiu, M. Fan, B. Ma, Y. Tang, L. Xue, H. Wang, T. Liu. WhisperCatcher: Demystifying Unauthorized and Encrypted Private Data Transmission in Android Applications. IEEE International Conference on Software Engineering (ICSE) 2026 (Distinguished Paper Award)

[2] Y. Wang, M. Fan, H. Zhou, H. Wang, W. Jin, J. Li, W. Chen, S. Li, Y. Zhang, D. Han, T. Liu. MiniChecker: Detecting Data Privacy Risk of Abusive Permission Request Behavior in Mini-Programs. IEEE/ACM Automated Software Engineering (ASE), 2024 (Distinguished Paper Award)

[3] Z. Yan, M. Fan, Y. Wang, J. Shi, H. Wang, T. Liu. MUID: Detecting Sensitive User Inputs in Miniapp Ecosystems. ACM CCS SaTS, 2023. (Distinguished Paper Award)

[4] 王寅, 范铭, 陶俊杰, 雷靖薏, 晋武侠, 韩德强, 刘烃. 移动应用隐私权声明内容合规性检验方法. 软件学报,2024

[5] M. Fan, J. Shi, Y. Wang, L. Yu, X. Zhang, H. Wang, W. Jin, T. Liu. Giving without Notifying: Assessing Compliance of Data Transmission in Android Apps. IEEE/ACM Automated Software Engineering (ASE), 2024 

[6] Y. Wang, M. Fan, J. Liu, J. Tao, W. Jin, H. Wang, Q. Xiong, T. Liu. Do as You Say: Consistency Detection of Data Practice in Program Code and Privacy Policy in Mini-App. IEEE Transactions on Software Engineering, 50(12), 3225-3248, 2024

  • 总访问量

  • 今日访问量

  • 月访问量

版权所有:西安交通大学 陕ICP备05001571号