摘要：Settings机制是Android系统向应用程序提供的访问和配置部分全局设置的机制,Settings中的数据可被设备上的所有应用读取.实际使用中,一些Android应用及第三方库误将IMEI、BSSID、地理位置等隐私数据或关键配置信息写入Settings中,使得系统面临严重的隐私数据泄露、关键配置信息泄露和污染等安全风险.在分析大量样本的基础上,总结了Settings数据中泄露的隐私数据类型和关键配置信息,并针对部分Android应用和第三方库设计了数据劫持攻击和拒绝服务攻击方案,验证并确认了Settings机制在使用过程中的安全风险;针对该问题设计和实现了基于污点分析的Settings机制应用漏洞静态检测工具——SettingsHunter,该工具利用污点分析技术实现了对Android应用及第三方库Settings数据中的隐私数据泄露和关键配置信息泄露问题的自动检测,该工具将第三方库与宿主应用的分析分离,优化了分析过程,提高了分析效率和分析能力.使用SettingsHunter对3477个应用进行检测的结果显示,23.5%的应用在Settings数据的使用中存在隐私数据泄露或配置信息泄露问题,其中90.7%的应用中Settings相关风险操作完全来自于第三方库.实验结果表明:Settings中隐私数据泄露和关键配置信息泄露问题严重,第三方库中的问题尤为突出.

摘要：在发布同时包含关系和事务属性的数据(简称为关系-事务数据)时,由于关系数据和事务数据均有可能受到链接攻击,需要同时匿名这两部分的数据.现有的数据匿名技术在匿名化关系-事务数据时会造成严重的数据缺损,无法保障数据可用性.针对此问题,提出了(k,l)-多样化模型,通过等价类上的l-多样化约束和事务数据上的k-匿名约束来保证用户隐私不被泄露.在此基础上,设计并实现了APA和PAA两种满足该模型的匿名算法,以不同的顺序对关系-事务数据进行匿名,并提出了相应的数据缺损评估方法.实际公开数据集上的实验结果表明,与现有的数据匿名技术相比,APA和PAA能够在保护用户隐私的前提下,以更低的数据缺损和更高的效率完成对关系-事务数据的匿名.

摘要：终于有法律可以管隐私泄露的问题了!7月6日,《深圳经济特区数据条例》公布。这是中国数据领域中第一部基础性、综合性的立法,其中对“不全面授权就不让用”、大数据杀熟、个人信息过度收集、强制使用人脸识别技术和强制推荐广告等问题都给出了相关的规定和处罚。《深圳经济特区数据条例》公布之后,该消息冲上热搜.

摘要：针对Android系统提供的基于应用权限授权的安全管理机制粒度较粗,并且一旦用户对应用软件授权即无法更改或追踪权限使用的问题,提出了一种基于朴素贝叶斯的Android软件恶意行为识别方法.该方法综合考虑软件运行时的用户操作场景和用户行为习惯以及软件权限等特性,抽取软件是否为系统应用、权限使用时是否有用户操作、软件是否申请了过多的权限、是否存在敏感权限组合、权限的使用是否存在突发性等作为分类属性,并通过对Android安全框架的扩展,实现了对恶意行为的实时分析和处理.实验结果表明,所设计和实现的Android软件恶意行为智能识别技术具有较高的识别率和较低的误报率,并且对系统性能的影响较小,可以有效增强Android系统的安全性.

摘要：1个现象每隔一段时间,工信部就会全网通报一大批侵害用户权益行为的APP,其中大部分存在违规收集个人信息、强制过度索取用户权限等问题。在我们日常生活里也早已发现了不少隐私泄露的问题。有网友说:"曾经跟朋友提到过装修的事,不久后,打开大多数APP,都能看到关于‘装修’的内容,我发誓绝对没有在网上搜索过,只是随口跟朋友那么一说,各种APP马上就‘猜你喜欢’装修了。"

摘要：Android界面劫持是一种通过劫持用户使用过程中的界面输入流窃取用户隐私信息的攻击方式。本文首先通过实验验证了该攻击在安卓多个版本上的有效性,继而分析了包含界面劫持攻击的恶意应用的4个必备特征,提出了一种基于代码特征以及多组件数据流跟踪的静态检测方法 AHDetector(activity hijacking detector)。AHDetector方法包括4个步骤:通过分析manifest配置文件,判断被检测应用是否申请了外传数据的敏感权限;根据代码特征判断被检测应用中是否同时存在界面劫持攻击必备的3种功能组件:后台扫描组件,劫持界面组件以及隐私外传组件;通过分析组件间的调用关系,判断应用中具有扫描功能的组件与接受界面输入的组件之间是否存在调用关系;通过组件间数据流分析,确定劫持界面组件和隐私外传组件之间是否存在隐私数据的传递。继而判定被检测应用是否包含界面劫持攻击。为了验证AHDetector的检测效果,本文设计实现了覆盖界面劫持功能组件所有逻辑路径的18个样例来测试方法的有效性,同时采用了4个应用锁样例来检测误判性。测试结果表明,AHDetector能够有效的检测出应用中所有的界面劫持攻击行为,同时不会误判,而6个常见的恶意应用在线检测平台(Andrubis、Virus Total、visual Threat、安全管家在线检测、腾讯安全实验室在线检测、网秦安全)则不能检测出界面劫持攻击行为。

摘要：为了改善异构社交网络聚合导致的隐私泄露,在研究图论、轮廓信息和攻击模型基础上,设计一种异构去匿名化模型。模型构建有3个步骤:社区检测、社区对齐和社区节点映射。仿真用在线社交网络数据集Flickr和***验证所提出方法,结果表明,提出的方法准确率和召回率结果明显优于传统轮廓匹配方法。

摘要：针对当前视频监控泄漏个人隐私的问题,笔者设计了一种利用视频、音频特征综合判别监控区异常情况的系统。选取两种模态易于提取的特征:视频模态的运动面积、运动速度特征和音频模态的短时能量、短时过零率特征。结合人体运动、温度、湿度和烟雾等传感器信息对监控区域进行综合判断。监控设备不存储和传输视频、音频信息,只传输特征值,在一定程度上起到了保护隐私的作用。

摘要：为了提高综合能源管理系统的利用率,同时保证用户在能源交易过程中访问账户时不泄露身份信息,提出了一种基于区块链技术的综合能源管理系统框架,并设计了一种特殊的零知识证明的身份验证方法。首先介绍了区块链技术在综合能源管理系统的适用性;然后分析了用户与负荷聚合器进行数据交互的隐私泄露问题,讨论了区块链技术在综合能源管理系统中以其特有的优势——可追溯性、开放性、匿名性等解决信任问题,用区块记录所有交互信息;最后根据零知识证明方法建立用户生物信息和用户存储信息之间的联系,实现了自动、安全、可信的身份验证模式。

摘要：针对Web遭受跨站脚本攻击越来越严重的问题,设计了一个基于代理的客户端系统模型,并在网络中心实验室进行了实现,通过对实验结果的分析可知,该系统可以很好地自动检测映射XSS攻击和存储XSS攻击,并对这些攻击进行漏洞收集.