信息安全系博士生刘行近期关于安卓系统中第三方统计平台的隐私相关问题的研究被信息安全领域知名会议 Securecomm 2016录用。Xing Liu, Sencun Zhu, Wei Wang, Jiqiang Liu, “Alde: Privacy Risk Analysis of Analytics Libraries in the Android Ecosystem”. Accepted by the 12th EAI International Conference on Security and Privacy in Communication Networks (SecureComm), 2016. 论文匿名投稿,三个评审意见都是”accept “,受到了评审人的一致认可。 2016年Securecomm收到投稿137篇,最终录用32篇,录用率仅为23.4%。
论文首次深入分析了安卓应用中广泛使用的第三方统计平台带来的隐私问题。第三方统计平台允许应用开发者自己定义一些事件来记录用户与应用之间的互动行为,而这些开发者自定义的事件内容可能包含用户的隐私信息。第三方统计平台在不申请任何敏感权限的情况下也可通过该途径获取用户敏感信息。论文提出了名为Alde的系统,可通过静态分析和动态分析结合的方法获取应用中开发者自定义的事件内容,并根据这些事件内容判断一个应用泄露了哪些信息给第三方统计平台。文中还对应用的隐私策略声明进行了分析以探究用户是否知道自己与应用之间的交互行为被第三方统计平台收集。文中研究了 Umeng,TalkingData,腾讯云分析,百度移动统计这4个国内第三方统计平台以及Google Mobile Analytics,Flurry,Adjust,Localytics这4个国际第三方统计平台,并分析了240个来至国内应用市场Top列表里的应用以及120个来至Google Play中Top列表里的应用。研究结果表明,1)第三方统计平台可能被恶意的开发者利用来传输用户的隐私信息;2)一些应用的开发者自定义的事件内容确实泄露了用户隐私;3)同一第三方统计平台可能被整合在不同的应用中,这个第三方统计平台可以结合不同应用收集的用户信息来对用户进行更详细的描述;4)大部分应用不会在自己的隐私策略声明里说明对第三方统计平台的使用,导致用户并不知道自己与应用的交互信息正被第三方收集。论文将第三方统计平台的安全问题带入了研究者的视野,让这些问题得到了大家的关注。