用于检测移动终端的应用权限的方法、装置、设备和介质与流程

本公开涉及信息安全领域，更具体地涉及一种用于检测移动终端的应用权限的方法、装置、设备、介质和程序产品。

背景技术：

1、智能移动终端(诸如，智能手机、ipad)已经成为人们生活不可或缺的一部分。与此同时，各种各样的移动应用程序(即，app)也在不断涌现，为用户提供各种各样的功能和服务。然而，一些应用程序过度获取权限搜集用户隐私信息，已经成为了用户个人隐私的一大威胁，给用户个人和公共安全带来巨大的风险。

2、相关技术中为避免app窃取用户隐私信息，通常是由用户在移动终端中安装监控程序，通过该监控程序来监控移动终端中的应用程序的行为，并将存在侵犯用户隐私信息或过渡索取用户信息的应用程序报告给用户，提醒用户注意限制这类应用程序的权限或者卸载该应用程序。然而这种方式由于是由终端用户进行操作，需要考虑在移动终端中同时运行监控程序和各类应用程序对移动终端的性能影响。如果想要对应用程序进行实时监控的话，监控程序的分析处理过程不宜设计地太复杂，往往仅能进行一些相对简单的规则判断(例如，黑/白名单、访问频次等)，可能会导致一些更为复杂且隐蔽的异常搜集信息的行为难以被发现。

技术实现思路

1、鉴于上述问题，本公开提供了一种可以更精确更全面地分析应用行为的用于检测移动终端的应用权限的方法、装置、设备、介质和程序产品。

2、本公开实施例的第一方面，提供了一种用于检测移动终端的应用权限的方法，应用于pc端。所述方法包括：接收权限监控配置信息，所述权限监控配置信息包括授权访问对象；基于所述权限监控配置信息和所述移动终端的操作系统，生成应用权限监控程序的ebpf代码；在编译所述ebpf代码之后将所述ebpf代码注入到所述移动终端的操作系统的内核中，以使得所述应用权限监控程序在所述移动终端中运行；接收由所述移动终端中所述应用权限监控程序传输而来的日志；以及基于所述日志，分析所述移动终端中的应用程序的行为；其中，所述应用权限监控程序被配置为：当监控到所述移动终端中任意的第一进程访问所述授权访问对象时，记录所述第一进程中的操作信息到所述日志中，并将所述日志传输给所述pc端。

3、根据本公开的实施例，所述基于所述权限监控配置信息和所述移动终端的操作系统，生成应用权限监控程序的ebpf代码包括：基于所述移动终端的操作系统的内核版本，确定所述ebpf代码注入到所述移动终端的操作系统的内核时所挂钩住的系统函数。

4、根据本公开的实施例，所述系统函数包括以下至少之一：打开文件的函数、创建文件的函数、或读取文件内容的函数。

5、根据本公开的实施例，所述应用权限监控程序还被配置为：响应于所述移动终端对所述系统函数的系统调用，获取所述系统调用中所述系统函数的入参信息；匹配所述入参信息与所述授权访问对象；以及当所述入参信息包括所述授权访问对象时，以所述系统调用所在的进程为所述第一进程，记录所述第一进程中的操作信息到所述日志中。

6、根据本公开的实施例，所述应用权限监控程序还被配置为：从监控到所述移动终端中所述第一进程访问所述授权访问对象的时刻起，开始记录所述第一进程中的操作信息，直到所述第一进程结束，或者所述第一进程不再访问所述授权访问对象的时长满足预定时长阈值；以及以定时方式或定量方式向所述pc端传输所述日志。

7、根据本公开的实施例，所述在编译所述ebpf代码之后将所述ebpf代码注入到所述移动终端的操作系统的内核中包括：通过调用所述移动终端中的ebpf程序加载接口函数，将所述ebpf代码注入到所述移动终端的操作系统中的内核中。

8、根据本公开的实施例，在将所述ebpf代码注入到所述移动终端的操作系统的内核中的过程中，不重启所述移动终端的操作系统。

9、根据本公开的实施例，所述基于所述日志，分析所述移动终端中的应用程序的行为包括：从所述日志中提取出所述第一进程中运行的应用程序的访问行为特征；以及当所述访问行为特征满足预设的异常搜集信息判定条件时，确定所述应用程序存在异常搜集信息的行为。

10、根据本公开的实施例，所述访问行为特征包括以下至少一个维度的信息：访问所述授权访问对象的次数；访问的所述授权访问对象与所述应用程序的功能是否相关；是否在访问所述授权访问对象后将访问结果发送到远程服务器；或者获得所述授权访问对象的访问权限的方式是否涉及非标准的接口调用方式或调用顺序。

11、根据本公开的实施例，所述访问行为特征分为确定性异常特征和疑似异常特征两类；所述当所述访问行为特征满足预设的异常搜集信息判定条件时，确定所述应用程序存在异常搜集信息的行为包括：当所述访问行为特征中出现确定性异常特征时，确定所述应用程序存在所述异常搜集信息的行为；以及当所述访问行为特征中出现疑似异常特征时，基于所出现的疑似异常特征的内容和预设的评分机制进行打分，并当累计得分超过阈值时，确定所述应用程序存在所述异常搜集信息的行为。

12、根据本公开的实施例，所述授权访问对象包括以下至少之一：摄像头、麦克风、通讯录、电话、短信、日历、位置、或设备信息。

13、本公开实施例的第二方面，提供了一种用于检测移动终端的应用权限的装置，设置于pc端。所述装置包括规则收发模块、监控代码生成模块、代码注入模块、结果反馈模块和结果处理模块。规则收发模块，用于接收权限监控配置信息，所述权限监控配置信息包括授权访问对象。监控代码生成模块用于基于所述权限监控配置信息和所述移动终端的操作系统，生成应用权限监控程序的ebpf代码。代码注入模块用于在编译所述ebpf代码之后将所述ebpf代码注入到所述移动终端的操作系统的内核中，以使得所述应用权限监控程序在所述移动终端中运行。结果反馈模块用于接收由所述移动终端中所述应用权限监控程序传输而来的日志。结果处理模块用于基于所述日志，分析所述移动终端中的应用程序的行为。其中，所述应用权限监控程序被配置为：当监控到所述移动终端中任意的第一进程访问所述授权访问对象时，记录所述第一进程中的操作信息到所述日志中，并将所述日志传输给所述pc端。

14、本公开实施例的第三方面，提供了一种电子设备。所述电子设备包括一个或多个处理器，和存储装置。所述存储装置用于存储一个或多个程序。其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器执行上述方法。

15、本公开的第四方面还提供了一种计算机可读存储介质，其上存储有可执行指令，该指令被处理器执行时使处理器执行上述方法。

16、本公开的第五方面还提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现上述方法。

17、上述一个或多个实施例具有如下优点或有益效果：利用ebpf插桩技术在移动终端中插入应用权限监控程序，从移动终端中采集应用程序的行为数据，而对应用程序的权限行为的分析和处理等操作均由pc端进行，一方面可以从移动终端实时采集移动终端中应用程序的行为数据，另一方面可以利用pc端强大的数据处理能力，对移动终端中的应用行为进行全面深入地分析处理，从而对移动终端中的应用程序的权限检测更精准。