(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113986735A(43)申请公布日2022.01.28(21)申请号202111266308.7(22)申请日2021.10.28(71)申请人支付宝（杭州）信息技术有限公司地址310000浙江省杭州市西湖区西溪路556号8层B段801-11(72)发明人曹世杰(74)专利代理机构北京亿腾知识产权代理事务所(普通合伙)11309代理人陈霁周良玉(51)Int.Cl.G06F11/36(2006.01)权利要求书3页说明书12页附图4页(54)发明名称针对目标应用的隐私风险检测方法及装置(57)摘要本说明书实施例提供了针对目标应用的隐私风险检测方法及装置。其中，该方法可以应用于测试设备，测试设备安装有目标应用，目标应用包括子应用，该方法包括：获取子应用的测试任务，其包括多个子任务，单个子任务示出子应用的某个页面所具有的某种页面跳转功能；根据测试任务中的子任务，在子应用中执行该子任务示出的页面跳转功能，并在监控到该页面跳转功能执行过程中触发的第一调用行为时，检测第一调用行为是否存在隐私风险集合中的隐私风险，其中，第一调用行为的调用对象包含在与隐私有关的接口集合中；根据所获得的与测试任务有关的多个检测结果，生成子应用的检测结果信息。CN113986735ACN113986735A权利要求书1/3页1.一种针对目标应用的隐私风险检测方法，应用于测试设备，所述测试设备安装有所述目标应用，所述目标应用包括子应用，所述方法包括：获取所述子应用的测试任务，其包括多个子任务，单个子任务示出所述子应用的某个页面所具有的某种页面跳转功能；根据所述测试任务中的子任务，在所述子应用中执行该子任务示出的页面跳转功能，并在监控到该页面跳转功能执行过程中触发的第一调用行为时，检测所述第一调用行为是否存在隐私风险集合中的隐私风险，其中，所述第一调用行为的调用对象包含在与隐私有关的接口集合中；根据所获得的与所述测试任务有关的多个检测结果，生成所述子应用的检测结果信息。2.根据权利要求1所述的方法，其中，所述隐私风险集合包括未授权访问风险；以及所述检测所述第一调用行为是否存在隐私风险集合中的隐私风险，包括：确定所述子应用是否具有所述调用对象的调用权限；若确定结果为否，则确定所述第一调用行为存在未授权访问风险。3.根据权利要求1所述的方法，其中，所述方法还包括：获取与所述第一调用行为有关的接口调用关系信息；根据所述接口调用关系信息，确定所述子应用中触发所述第一调用行为的第一函数。4.根据权利要求3所述的方法，其中，所述隐私风险集合包括隐私数据外传风险；以及所述检测所述第一调用行为是否存在隐私风险集合中的隐私风险，包括：获取所述第一函数的返回值；确定所述返回值是否包含在所述子应用的历史网络请求中；若确定结果为是，则确定所述第一调用行为存在隐私数据外传风险。5.根据权利要求3所述的方法，其中，所述第一函数所在的类还包括第二函数；以及所述方法还包括：执行所述第二函数，并在检测到所述第二函数执行过程中触发的第二调用行为时，检测所述第二调用行为是否存在所述隐私风险集合中的隐私风险，其中，所述第二调用行为的调用对象包含在所述接口集合中。6.根据权利要求5所述的方法，其中，所述执行所述第二函数，包括：采用反射调用的方式，执行所述第二函数。7.根据权利要求1‑6之一所述的方法，其中，所述多个检测结果至少涉及第一接口，所述第一接口属于所述接口集合；所述根据所获得的与所述测试任务有关的多个检测结果，生成所述子应用的检测结果信息，包括：若与所述第一接口有关的检测结果的集合示出，对所述第一接口的调用行为存在所述隐私风险集合中的至少一种隐私风险，则针对所述第一接口生成用于指示所述至少一种隐私风险的第一风险信息，并将所述第一风险信息归入所述检测结果信息。8.根据权利要求7所述的方法，其中，所述根据所获得的与所述测试任务有关的多个检测结果，生成所述子应用的检测结果信息，还包括：确定在所述测试任务执行过程中，所述子应用对所述第一接口的调用次数；若所述调用次数达到预设次数，则针对所述第一接口生成用于指示高频调用风险的第2CN113986735A权利要求书2/3页二风险信息，并将所述第二风险信息归入所述检测结果信息。9.根据权利要求3‑6之一所述的方法，其中，所述根据所获得的与所述测试任务有关的多个检测结果，生成所述子应用的检测结果信息，包括：对于所述多个检测结果中的检测结果，若该检测结果示出其对应的调用行为存在所述隐私风险集合中的隐私风险，则将所述子应用中触发该调用行为的函数确定为风险函数，并获取所述风险函数的风险源信息，以及将所述风险函数和所述风险源信息归入所述检测结果信息。10.根据权利要求9所述的方法，其中，所述