选用文章:
[1] 杨广亮, 龚晓锐, 姚刚,韩心慧.一个面向Android的隐私泄露检测系统[J].计算机工程, 2012, 38(23).1-5点都是采用了观察方法,直接与间接调查搜集的科学事实。
文章作者通过“直接调查”有明确目的性找到TaintDroid隐私泄露检测系统的缺点,然后进行分析,再通过“间接调查”对此程序在安卓平台的运行机制进行了全面的阐述,符合了观察方法在自然发生的条件下、具有明确的目的性、有计划的特性。文中,提出了一个TaintChaser 系统,此系统是基于动态污点跟踪的方法实现的,对隐私信息进行细粒度的跟踪,能产生被测试程序在测试过程中所执行的路径信息,并基于TaintChaser 实现了自动化检测系统。
第6点主要阐述了构建新系统的思维方法:
(1)TaintChaser系统对绝大部分用户隐私信息进行检测(确定对象系统);
(2)收集检测到的污点信息(信息收集);
(3)对污点信息进行存储(信息存储);
(4)通过处理Dalvik 虚拟机中所有相关指令,来实现对污点数据的跟踪,对于Android 应用程序中的JNI 机制,因为程序会脱离Dalvik 虚拟机进入了本地C/C++库,此时系统不能进行正常的污点跟踪。为实现污点的正常的传播,通过hook相关函数方式来进行处理。(信息整理、处理);
(5)TaintChaser 系统检测隐私泄露点、被测程序执行路径信息的输出,是在反馈被测程序的信息(最后可以认为是“黑箱方法”);
7-8点主要是作者按照“辩证法”中“实践检验”的方法对TaintChaser系统进行“定性实验”。
首先通过建立“自动化测试系统”;其次对大量安卓程序进行检测;再次得出了一些安卓程序确实存在泄露隐私的可能性;最后通过随机地从样本库中挑选50 个软件(占总量的0.18%),用TaintDroid 和TaintChaser 分别进行检测,发现TaintDroid 检测出来29 个软件可能存在隐私信息的泄露,而TaintChaser 检测到了32 个。通过实验,最后得出TaintChaser 系统确实有事实存在的优越性。
