面向个人信息保护的iOS设备风险评估方法.pdf
《面向个人信息保护的iOS设备风险评估方法.pdf》由会员分享,可在线阅读,更多相关《面向个人信息保护的iOS设备风险评估方法.pdf(4页珍藏版)》请在咨信网上搜索。
1、1 1 6 2 0 2 3年8期2 0 2 3年第4 5卷第8期面向个人信息保护的i O S设备风险评估方法甄 扬收稿时间:2 0 2 3-0 5-2 3基金项目:安徽省高等学校科学研究项目(自然科学类)重点项目(2 0 2 2 AH 0 5 2 6 6 4);2 0 2 1年中国高校产学研创新基金“新一代信息技术创新项目”(2 0 2 1 I T A 0 9 0 2 2)作者简介:甄扬(1 9 9 1-),硕士,助教,研究方向为大数据、人工智能、网络安全。(安徽工业经济职业技术学院计算机与艺术学院 合肥2 3 0 0 5 1)摘 要 当前,面向i O S系统个人信息保护的研究主要集中在恶意A
2、 P P分析与识别领域,缺少对i O S越狱和i O S系统漏洞的探讨。文中将三者融合,提出了一种针对i O S设备的风险评估方法。首先,定义了风险指标分值和风险要素权重值,然后根据预定义规则计算了风险指标和风险要素得分,最后确定了设备风险级别,并给出了风险控制建议。基于该方法,构建了i O S设备风险管理系统。该系统采用客户端-服务器架构,客户端负责抓取并上传设备信息,服务器根据设备信息进行风险分析与评估,并反馈结果。运行结果表明,该系统能有效帮助用户发现i O S设备存在的各种风险。关键词:i O S;恶意软件;个人信息保护;风险评估;i O S越狱;风险管理中图法分类号 T P 3 9
3、3R i s kA s s e s s m e n tM e t h o df o r i O SD e v i c e s f o rP e r s o n a l I n f o r m a t i o nP r o t e c t i o nZ HE NY a n g(S c h o o l o fC o m p u t e ra n dA r t,A n h u iT e c h n i c a lC o l l e g eo f I n d u s t r ya n dE c o n o m y,H e f e i 2 3 0 0 5 1,C h i n a)A b s t r a
4、c t A tp r e s e n t,t h e r e s e a r c ho np e r s o n a l i n f o r m a t i o np r o t e c t i o n f o r i O Ss y s t e m sm a i n l y f o c u s e so n t h e f i e l do fm a-l i c i o u sA P Pa n a l y s i sa n d i d e n t i f i c a t i o n,a n dl a c k st h ed i s c u s s i o no f i O Sj a i l b
5、 r e a k i n ga n di O Ss y s t e mv u l n e r a b i l i t i e s.T h i sp a p e r i n t e g r a t e s t h e t h r e e,a n dp r o p o s e sat h r e a ta n dr i s ka s s e s s m e n tm e t h o df o r i O Se q u i p m e n t.F i r s t,t h er i s ki n d e xs c o r ea n dr i s ke l e m e n tw e i g h t v
6、a l u e a r ed e f i n e d,a n d t h e n t h e r i s k i n d e xa n d r i s ke l e m e n t s c o r e a r e c a l c u l a t e da c c o r d i n g t op r e d e f i n e dr u l e s,a n df i n a l l yt h ee q u i p m e n t r i s kl e v e l i sd e t e r m i n e d,a n dr i s kc o n t r o l s u g g e s t i o
7、 n sa r eg i v e n.B a s e do nt h i sm e t h o d,a i O Se q u i p m e n t r i s km a n a g e m e n t s y s t e mi sb u i l t.T h es y s t e ma d o p t sc l i e n ts i d e-s e r v e ra r c h i t e c t u r e.T h ec l i e n ts i d e i s r e s p o n s i b l e f o rg r a b b i n ga n du p l o a d i n gd
8、 e v i c e i n f o r m a t i o n.T h e s e r v e r c o n d u c t s r i s ka n a l y s i s a n de v a l u a t i o na c c o r d-i n gt ot h ed e v i c e i n f o r m a t i o n,a n df e e d sb a c kt h er e s u l t s.T h eo p e r a t i o nr e s u l t ss h o wt h a t t h es y s t e mc a ne f f e c t i v
9、e l yh e l pu s e r sd i s c o v e rv a r i o u s r i s k se x i s t i n g i n i O Se q u i p m e n t.K e y w o r d s i O S,M a l w a r e,P r o t e c t i o no fp e r s o n a l i n f o r m a t i o n,R i s ka s s e s s m e n t,i O S j a i l b r e a k,R i s km a n a g e m e n t0 引言苹果公司的i O S系统是智能手机市场中主
10、流的操作系统之一,中国工业和信息化部披露的数据显示,截至2 0 2 2年1 2月末,我国国内市场上的i O S应用商店(中国区)中的A P P数量为1 3 5万款。A P P的广泛应用,在促进经济社会发展、服务民生等方面发挥着不可替代的作用。与此同时,A P P强制授权、过度索取、超范围收集个人信息等现象普遍存在。尽管苹果公司会对每款上架的A P P进行“应用程序审查”,但仍然无法完全避免A P P侵犯用户个人隐私的行为。例如,A P P可以通过在运行时构建私有A P I函数名,从而绕过“应用程序审查”机制1。除A P P之外,i O S系统的漏洞也可能会导致用户的个人信息泄露。例如,2 0
11、2 1年被曝光的P e g a s u s病毒可以利用i O S系统的“零点击”漏洞感染设备。该病毒可以获取通话信息、电子邮件、照片等信息,在此过程中受害者完全不知情2。此外,i O S越狱也会严重侵害用户的个人信息安全。i O S越狱指获取i O S系统最高权限(也称r o o t权限)的技术手段。越 狱 成 功 后,用 户 可 以 通 过A p pS t o r e的 替 代 者C y d i a安装各种软件,这些软件大多数为破解软件或盗版软件。尽管越狱可以在一定程度上为用户提供方便,但同时其带来的风险也是巨大的。例如,2 0 2 1年被曝光的M a i n-R e p o植入后门事件,只
12、要用户安装了M a i n R e p o提供的软件,手机就会被开启后门,基于此,黑客就可以执行任何命令。2 0 2 3年8期1 1 7 随着人们对智能手机依赖程度的加深,手机上存储的个人信息也越来越多,人们面临的安全威胁也会越来越多。因此,研究个人信息保护问题,具有较强紧迫性和必要性。1 相关工作当前,面向i O S系统个人信息保护的研究主要集中在恶意A P P分析与识别领域。例如,A r p i t a等3提出了i A B C(i O SA p p l i c a t i o na n a l y z e ra n dB e h a v i o rC l a s s i f i e r)模
13、型,其基于权限诱导,综合运用静态分析和动态分析技术,通过逆向工程提取A P P的权限设置信息,用于计算风险得分。该模型能有效发现A P P存在的恶意行为。C h e n等4针对i O S系统提出了一种隐私泄露检测方法,该方法基于动态分析和取证分析技术,能有效定位A P P泄露隐私的代码位置。A n a s t a s i a等5提出了一种检测P I I(P e r s o n a l l y I d e n t i f i-a b l e I n f o r m a t i o n)泄露的方法,该方法基于网络流量进行分析和机器学习,具有良好的效果,但仅限于A P P层面。前述各项工作在A P
14、P行为分析领域做出了大量有价值的研究,但未考虑i O S越狱和i O S系统漏洞造成的风险。本文将A P P行为与i O S越狱、i O S系统漏洞相结合,提出了一种面向个人信息保护的i O S设备风险评估方法,开发了一套i O S设备风险管理系统,以期更加全面地保护用户的个人信息和隐私。2 i O S设备风险评估方法i O S设备风险评估指对i O S设备及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。本方法定义了3项风险要素,分别是i O S越狱风险、A P P风险、i O S系统漏洞风险,它们是风险评估的客体。各风险要素均包含若干风险指标。i O S越狱带来
15、的风险很多6,包括通过C y d i a安装A p pS t o r e、未经过苹果官方签名的应用;越过沙盒机制收集各类用户信息,如通话记录、短信、相册、K e y c h a i n等的应用;通过HOOK方式注入任意A P P并 执 行 恶 意 代 码 的 应 用。i O S越狱风险指标则包括设备是否已越狱、未越狱设备能否越狱等。A P P风险包括强制要求收集个人信息、超范围收集个人信息、违反知情同意原则、无隐私政策、无账号注销功能或有账号注销功能,但设置不合理条件和障碍会导致注销困难等。A P P风险指标包括设备已安装的非苹果官方正版A P P数量、设备已安装的被工信部通报的存在侵害用户权
16、益行为的A P P数量。这两类A P P的数量越多,i O S设备的风险越高。i O S系统漏洞是由操作系统本身存在的缺陷或错误导致的,其可以被攻击者利用,通过网络植入、木马等方式来控制或盗取设备中的重要资料和信息。i O S系统漏洞以通用漏洞披露(C o mm o nV u l n e r a b i l i t i e sa n dE x p o s u r e s,C V E)的形式公开。C V E是一个与信息安全有关的数据库,包含各种信息安全弱点及漏洞,并给予编号以便公众查询。i O S系统漏洞评估风险指标包括已公布的C V E数量及危险程度。C V E的数量越多,危险程度越高,i O
17、 S设备的风险越高。本方法对i O S设备的3个风险要素进行扫描分析,依据风险指标的得分,计算每个风险要素的脆弱性,在此基础上计算i O S设备的风险得分。为计算风险得分,本方法采用概率模型,引入了“风险概率”的概念,其定义为由于风险要素存在的某个漏洞或某种不安全因子,导致该设备的安全性受到威胁的概率。如果某i O S设备存在多个漏洞或不安全因子,则该设备的风险得分为攻击者能通过一个或多个漏洞,对设备的安全性造成破坏的概率7。相比加权求和的方式,本方法的好处在于避免了设备整体风险得分随A P P数量的增加而增加,能将风险值限制在一个固定的量化区间,从而为风险等级划分带来方便。相比“短板理论”采
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 面向 个人信息 保护 iOS 设备 风险 评估 方法
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。