(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113779437A(43)申请公布日2021.12.10(21)申请号202011009152.X(22)申请日2020.09.23(71)申请人北京沃东天骏信息技术有限公司地址100176北京市大兴区北京经济技术开发区科创十一街18号院2号楼4层A402室申请人北京京东世纪贸易有限公司(72)发明人周敏(74)专利代理机构中国贸促会专利商标事务所有限公司11038代理人王莉莉(51)Int.Cl.G06F16/955(2019.01)G06F21/62(2013.01)G06F21/64(2013.01)权利要求书3页说明书13页附图3页(54)发明名称隐私检测方法及装置、计算机可存储介质(57)摘要本公开涉及隐私检测方法及装置。隐私检测方法包括：对待检测应用进行静态污点分析，得到至少一条静态污点传播路径，每条静态污点传播路径包括源接口标识和目的接口标识；根据至少一个隐私接口的权限相关信息、至少一个第三方SDK的权限相关信息和至少一条静态污点传播路径，对待检测应用进行静态分析，得到静态分析结果；对待检测应用进行动态行为分析，得到动态行为分析结果；获取待检测应用的整个生命周期中的通信流量数据，通信流量数据包括通信URL和通信数据包；根据每个通信URL对应的通信数据包，确定与每个通信URL对应的敏感信息和敏感信息类别，作为流量分析结果；融合静态分析结果、动态行为分析结果和流量分析结果，得到隐私检测结果。CN113779437ACN113779437A权利要求书1/3页1.一种隐私检测方法，包括：对待检测应用进行静态污点分析，得到至少一条静态污点传播路径，每条静态污点传播路径包括源接口标识和目的接口标识；根据至少一个隐私接口的权限相关信息、至少一个第三方软件开发工具包SDK的权限相关信息和所述至少一条静态污点传播路径，对所述待检测应用进行静态分析，得到静态分析结果；对所述待检测应用进行动态行为分析，得到动态行为分析结果；获取所述待检测应用的整个生命周期中的通信流量数据，所述通信流量数据包括通信统一资源定位器URL和通信数据包；根据每个通信URL对应的通信数据包，确定与所述每个通信URL对应的敏感信息和敏感信息类别，作为流量分析结果；融合所述静态分析结果、所述动态行为分析结果和所述流量分析结果，得到隐私检测结果。2.根据权利要求1所述的隐私检测方法，其中，对所述待检测应用进行静态分析，得到静态分析结果包括：根据至少一个隐私接口的权限相关信息、至少一个第三方SDK的权限相关信息和所述至少一条静态污点传播路径，构建每条静态污点传播路径的静态隐私上下文信息；利用所述至少一条静态污点传播路径的静态隐私上下文信息，对所述待检测应用进行静态分析，得到静态分析结果。3.根据权利要求2所述的隐私检测方法，其中，每个隐私接口的权限相关信息包括隐私接口标识和其他接口权限相关信息，每个第三方SDK的权限相关信息包括SDK标识、该第三方SDK所在的至少一条SDK隐私路径和其他SDK权限相关信息，构建每条静态污点传播路径的静态隐私上下文信息包括：对于每条静态污点传播路径，在源接口标识属于所述至少一个隐私接口的权限相关信息中的隐私接口标识的情况下，获取与所述源接口标识对应的其他接口权限信息；获取与所述每条静态污点传播路径的目的接口标识对应的目的接口所在路径；在所述目的接口所在路径属于所述至少一个第三方SDK的权限相关信息中的至少一条SDK隐私路径的情况下，获取于所述目的接口所在路径对应的其他SDK权限信息；根据所述源接口标识、与所述源接口标识对应的其他接口权限信息、所述目的接口标识、所述目的接口所在路径和与所述目的接口所在路径对应的其他SDK权限信息，构建所述每条静态污点传播路径的静态隐私上下文信息。4.根据权利要求3所述的隐私检测方法，其中，所述静态分析包括隐私类型判定，所述其他接口权限信息包括实际权限信息，所述实际权限信息为隐私接口被调用时实际用到的权限信息，利用所述至少一条静态污点传播路径的静态隐私上下文信息，对所述待检测应用进行静态分析包括：根据隐私类型与实际权限信息之间的对应关系、和每条静态污点传播路径的静态隐私上下文信息中的实际权限信息，判定所述每条静态污点传播路径的静态隐私上下文信息的隐私类型，作为所述静态分析结果的一部分。5.根据权利要求3所述的隐私检测方法，其中，所述静态分析包括冗余权限判定，所述2CN113779437A权利要求书2/3页其他接口权限信息包括实际权限信息，所述实际权限信息为隐私接口被调用时实际用到的权限信息，利用所述至少一条静态污点传播路径的静态隐私上下文信息，对所述待检测应用进行静态分析包括：获取所述待检测应用的至少一条声明权限信息，声明权限信