MorphDroid：细粒度隐私验证

移动设备包含丰富的传感器，如全球定位系统（GPS）跟踪器、麦克风和摄像头，可以访问多种个人信息来源，包括设备ID、联系人和社交数据。这种丰富性增加了移动应用程序的功能，但也带来了隐私威胁。因此，提出了不同的解决方案来验证或执行隐私政策。现有方法的一个关键限制是，它们粗略地考虑隐私问题，而不考虑解密规则，例如，位置被视为一个信息单元，而不参考其多个字段。因此，合法的应用程序行为——例如发布用户的城市而不是确切地址——被视为侵犯隐私，使得现有分析过于保守，因此可用性有限。

在本文中，我们提出了MorphDroid，这是一种新的静态分析算法，用于根据细粒度隐私策略验证移动应用程序。此类策略定义了对私有数据细粒度单元组合的约束。具体来说，通过一种新颖的设计，MorphDroid在解决重要挑战的同时跟踪细粒度隐私单元的流，包括（i）检测不同单元之间的相关性（例如经纬度）和（ii）对私有数据的语义转换建模（例如将位置转换为地址）。

我们已经实现了MorphDroid，并在Android静态和动态分析的综合基准套件（DroidBench）以及2014年500个最受欢迎的Google Play应用程序上进行了全面的实验评估。我们的实验涉及5种安全策略，从严格的粗粒度策略到考虑解密规则的更现实的细粒度策略。在DroidBench上的实验表明，MorphDroid达到了90%以上的准确率和召回率。对流行应用程序的实验表明，策略之间的差距很大，最保守的策略对171个应用程序发出警告（34%），而更现实的策略仅将其中4个应用程序标记为行为不当（<1%）。此外，MorphDroid表现出良好的性能，平均分析时间<20秒，其中应用程序平均包含1.4M行代码。