Group of Software Security In Progress

GoSSIP @ LoCCS.Shanghai Jiao Tong University

Towards Automatic Generation of Security-Centric Descriptions for Android Apps

论文下载:http://dl.acm.org/citation.cfm?id=2813669

摘要

作者发现在Goole play上关于APP的描述更多的是关于APP的功能,而没有涉及到APP中信息泄露的行为,所以提出了一种自动化工具——DESCRIBEME:能够自动的分析app,产生关于该app涉及隐私信息泄露的描述。

分析框架

Fig

Behavior Graph Generation

通过程序分析的方法,提取APP的行为图:

  • API、API的参数
  • 触发API时的条件:1、用户接口(Button) 2、设备状态(WIFI) 3、自然环境(Location)

Subgraph Mining & Graph Compression

通过分析API调用关系的模式,压缩第一步产生的行为图:

Fig

Natural Language Generation

利用自然语言处理的方式,将上述的结果翻译成对APP的描述

Fig

实验

  • 准确性:测试了DroidBench中65个例子,其中miss了6个,误报4个。
  • 有效性和描述可读性的测试:招募了一些志愿者来做测试

Fig