信息处理方法、装置及介质

技术领域

本公开涉及信息处理技术，尤其涉及一种针对终端应用的信息处理方法及执行该方法的装置。

背景技术

目前，随着人们越来越多地使用智能终端，智能终端上安装的各种应用的安全性也越来越受到人们的关注。而且，随着大众对于个人信息保护的日益关注和国家监管力度的不断加强，确保应用隐私合规正在成为各应用开发者和运营者必须考量的问题。

鉴于此，厂商在应用商城中上架应用时，需要检测各应用的安全性。然而，现有技术中缺少有效的方法来对应用的安全性进行准确、自动化的检测，诸如，应用具体使用了哪些权限、是否存在权限申请未使用和权限使用未申请等情况等。

发明内容

为克服相关技术中存在的问题，本公开提供一种信息处理方法、装置及介质。

根据本公开实施例的第一方面，提供一种信息处理方法，所述方法包括：

针对应用的应用程序包执行静态代码分析，获取所述应用的权限分析数据；

针对所述应用程序包进行测试，获取所述应用的权限测试数据；

基于所述权限分析数据和所述权限测试数据，确定所述应用的权限使用风险结果。

其中，所述权限分析数据包括所述应用的申请权限集合和第一使用权限集合，所述权限测试数据包括所述应用的第二使用权限集合。

其中，所述基于所述权限分析数据和所述权限测试数据确定所述应用的权限使用风险结果，包括：

基于所述第一使用权限集合和所述第二使用权限集合，获取所述应用的第三使用权限集合；

基于所述第三使用权限集合和所述申请权限集合，确定所述权限使用风险结果。

其中，所述基于所述第三使用权限集合和所述申请权限集合确定所述权限使用风险结果，包括：

基于所述第三使用权限集合和所述申请权限集合，确定是否存在风险权限，其中风险权限包括申请未使用权限和使用未申请权限；

当存在所述风险权限时，确定所述权限使用风险结果包括存在风险。

其中，当存在所述风险权限时，所述方法还包括：

获取所述风险权限的数量；

获取所述风险权限中包括的隐私权限的数量；

基于所述风险权限的数量和所述隐私权限的数量，确定所述应用的风险等级。

其中，所述方法还包括：

在显示界面上显示所述权限使用风险结果。

其中，所述针对所述应用程序包进行测试，包括：

针对所述应用程序包进行Monkey测试。

根据本公开实施例的第二方面，提供一种信息处理装置，所述装置包括：

分析模块，被设置为针对应用的应用程序包执行静态代码分析，获取所述应用的权限分析数据；

测试模块，被设置为针对所述应用程序包进行测试，获取所述应用的权限测试数据；

确定模块，被设置为基于所述权限分析数据和所述权限测试数据，确定所述应用的权限使用风险结果。

其中，所述权限分析数据包括所述应用的申请权限集合和第一使用权限集合，所述权限测试数据包括所述应用的第二使用权限集合。

其中，所述确定模块还被设置为：

基于所述第一使用权限集合和所述第二使用权限集合，获取所述应用的第三使用权限集合；

基于所述第三使用权限集合和所述申请权限集合，确定所述权限使用风险结果。

其中，所述确定模块还被设置为：

基于所述第三使用权限集合和所述申请权限集合，确定是否存在风险权限，其中风险权限包括申请未使用权限和使用未申请权限；

当存在所述风险权限时，确定所述权限使用风险结果包括存在风险。

其中，当存在所述风险权限时，确定模块还被设置为：

获取所述风险权限的数量；

获取所述风险权限中包括的隐私权限的数量；

基于所述风险权限的数量和所述隐私权限的数量，确定所述应用的风险等级。

其中，所述装置还包括：

显示模块，被设置为在显示界面上显示所述权限使用风险结果。

其中，所述测试模块还被设置为：

针对所述应用程序包进行Monkey测试。

根据本公开实施例的第三方面，提供一种信息处理装置，包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，所述处理器被配置为在运行所述可执行指令时实现以下步骤：

针对应用的应用程序包执行静态代码分析，获取所述应用的权限分析数据；

针对所述应用程序包进行测试，获取所述应用的权限测试数据；

基于所述权限分析数据和所述权限测试数据，确定所述应用的权限使用风险结果。

根据本公开实施例的第四方面，提供一种非临时性计算机可读存储介质，当所述存储介质中的指令由装置的处理器执行时，使得装置能够执行一种信息处理方法，所述方法包括：

针对应用的应用程序包执行静态代码分析，获取所述应用的权限分析数据；

针对所述应用程序包进行测试，获取所述应用的权限测试数据；

基于所述权限分析数据和所述权限测试数据，确定所述应用的权限使用风险结果。

本公开提供了一种信息处理方法，针对应用的应用程序包执行静态代码分析，获取应用的权限分析数据，同时针对应用程序包进行测试，获取应用的权限测试数据。比对权限分析数据和权限测试数据，来确定应用的权限使用风险结果。这里应用程序包的静态代码分析和测试都是自动执行，从而可以节约人力成本，提高准确率。通过该方法，可以自动确定应用的权限使用风险，解决了单一手段识别应用权限使用风险不够准确的问题。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并与说明书一起用于解释本发明的原理。

图1是根据一示例性实施例示出的一种信息处理方法的流程图。

图2是根据一示例性实施例示出的一种信息处理方法的流程图。

图3是根据一示例性实施例示出的一种信息处理装置的框图。

图4是根据一示例性实施例示出的一种装置的框图。

图5是根据一示例性实施例示出的一种装置的框图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。

随着大众对于个人信息保护的日益关注和国家监管力度的不断加强，确保应用隐私合规正在成为各应用开发者和运营者必须考量的问题。因此，厂商在应用商城中上架应用时，需要检测各应用的安全性。检测应用的安全性包括检测应用是否侵犯用户隐私(例如应用的使用权限不合规，即使用隐私权限)、检测应用是否申请了权限但未使用和/或使用了权限但未申请等。

本公开提供了一种用于检测各应用安全性的信息处理方法，包括：针对应用的应用程序包执行静态代码分析，获取应用的权限分析数据，同时针对应用程序包进行测试，获取应用的权限测试数据。比对权限分析数据和权限测试数据，来确定应用的权限使用风险结果。这里应用程序包的静态代码分析和测试都是自动执行，从而可以节约人力成本，提高准确率。通过该方法，可以自动确定应用的权限使用风险，解决了单一手段识别应用权限使用风险不够准确的问题。

该方法可以用于应用开发者对应用进行风险评估，或者用于应用商城的管理者对投放到商城的应用进行风险评估。

图1是根据一示例性实施例示出的一种信息处理方法的流程图，如图1所示，该方法包括以下步骤：

步骤101，针对应用的应用程序包执行静态代码分析，获取所述应用的权限分析数据；

步骤102，针对所述应用程序包进行测试，获取所述应用的权限测试数据；

步骤103，基于所述权限分析数据和所述权限测试数据，确定所述应用的权限使用风险结果。

在步骤101和步骤102中，对应用的应用程序包执行静态代码分析，以获取权限分析数据；对应用程序包进行模拟真实应用场景的测试，以获取权限测试数据。这里的静态代码分析例如是对应用程序包进行解压后，对解压后的程序包进行反编译，获取源码，扫描源码，通过识别调用使用权限的语句来获得使用权限。例如，对某社交应用的程序包进行静态代码分析后，得到权限分析数据包括该社交应用的申请权限和使用权限。对应用程序包的测试可以在自动化执行脚本的平台上进行，如jenkins平台。静态代码分析和模拟真实应用场景的测试可以同时执行，也可以先后执行，并且先后执行时不限制执行的顺序。

步骤103中，基于权限分析数据和权限测试数据，确定该应用申请了哪些权限，该应用在被用户使用过程中使用哪些权限。这里的申请权限例如是访问通讯录、访问相册、访问麦克风、获取位置信息，等等。然后基于这些被申请的权限和被使用的权限，确定是否存在申请未使用权限和使用未申请权限，从而确定应用的权限使用风险结果。

在该方法中，在对应用程序包进行模拟真实应用场景的测试时，可以采用随机选择应用场景，且多次模拟的方式，以获取较为完备的权限测试数据。通过比对权限分析数据和权限测试数据，来确定是否存在申请未使用权限和使用未申请权限，从而确定应用的权限使用风险结果。由于这里的静态代码分析和测试都是自动执行的，因此可以节约人力成本，提高对应用的权限使用风险分析的准确率。

在可选实施方式中，所述权限分析数据包括所述应用的申请权限集合和第一使用权限集合，所述权限测试数据包括所述应用的第二使用权限集合。

对应用程序包进行静态代码分析，获取的权限分析数据中包括该应用安装时申请的权限(即，申请权限集合)，以及安装后使用的权限(即，第一使用权限集合)。如上所述，这里的静态代码分析是对程序包的代码进行的分析，是一种静态分析，通过静态代码分析得到的使用权限是该应用程序包在终端上安装并运行时使用的权限。对应用程序包进行测试，获取的权限测试数据中包括测试过程中使用的权限(即，第二使用权限集合)。需要说明的是，这里的使用的集合并不构成对权限数量的限定，集合中可以包括多个权限，也可以包括一个权限。

这里，通过对应用程序包的静态代码分析和测试，来获取应用申请的权限以及应用使用的权限，以进行后续的权限比对。

在可选实施方式中，所述基于所述权限分析数据和所述权限测试数据确定所述应用的权限使用风险结果，包括：

基于所述第一使用权限集合和所述第二使用权限集合，获取所述应用的第三使用权限集合；

基于所述第三使用权限集合和所述申请权限集合，确定所述权限使用风险结果。

第三使用权限集合可以通过取第一使用权限集合和第二使用权限集合的并集来得到。例如第一使用权限集合包括权限A、B、C、D、E，第二使用权限集合包括权限C、D、E、F、G、H，则第三使用权限集合包括权限A、B、C、D、E、F、G、H。通过取第一使用权限集合和第二使用权限集合的并集，可以获取更加完备的使用权限数据，以便得到更加可靠的分析结果。

在可选实施方式中，所述基于所述第三使用权限集合和所述申请权限集合确定所述权限使用风险结果，包括：

基于所述第三使用权限集合和所述申请权限集合，确定是否存在风险权限，其中风险权限包括申请未使用权限和使用未申请权限；

当存在所述风险权限时，确定所述权限使用风险结果包括存在风险。

如上述实施方式中的例子，假设第三使用权限集合包括权限A、B、C、D、E、F、G、H，申请权限集合包括权限B、C、F、G、I、J、K，则存在风险权限A、D、E、H、I、J、K。其中，申请未使用权限包括权限I、J、K，使用未申请权限包括权限A、D、E、H。即，当第三使用权限集合中的权限并未包括在申请权限集合中时，则确定存在使用未申请权限；当申请权限集合中的权限并未包括在第三使用权限集合中时，则确定存在申请未使用权限。因此，当第三使用权限集合和申请权限集合不是完全一致时，则确定存在风险权限。

当通过比对第三使用权限集合和申请权限集合确定存在申请未使用权限和/或使用未申请权限时，则确定权限使用风险结果存在风险权限。

在可选实施方式中，当存在所述风险权限时，所述方法还包括：

获取所述风险权限的数量；

获取所述风险权限中包括的隐私权限的数量；

基于所述风险权限的数量和所述隐私权限的数量，确定所述应用的风险等级。

为了提供关于应用权限使用风险的更多信息，还可以确定应用的风险等级。具体地，当存在风险权限时，获取风险权限的数量，即申请未使用权限和使用未申请权限的总数。并且还需要获取风险权限中隐私权限的数量，这里隐私权限可以根据默认设置来确定(例如，定位、电话簿等)，也可以由检测人员自定义设置。当风险权限数量较大且其中包含的隐私权限也较多时，则确定应用的风险等级为高；当风险权限数量较大但其中不包含隐私权限时，则确定应用的风险等级为中；当风险权限数量较小且其中不包含隐私权限时，则确定应用的风险等级为低。

需要说明的是，这里仅是给出了确定风险等级的一个例子，具体确定风险等级的方式可以由检测人员根据应用的具体情况来设置，在此不再赘述。

在可选实施方式中，所述方法还包括：

在显示界面上显示所述权限使用风险结果。

在确定应用的权限使用风险结果后，可以在网页上显示该权限使用风险结果，以便检测人员可以方便地获取关于应用使用权限的检测结果。显示方式可以采用检测人员自己设置的方式显示，也可以采用默认方式显示。

当然，在显示权限使用风险结果时，也可以同时显示应用的风险等级，以供检测人员确定需要采取的具体措施。

在可选实施方式中，所述针对所述应用程序包进行测试，包括：

针对所述应用程序包进行Monkey测试。

Monkey测试指用毫无规律的指令或操作测试被测系统，可以实现对软件的随机重复测试。因此，采用Monkey测试可以实现对应用程序包的模拟真实应用场景的测试，以获取较为准确的测试结果。

下面结合具体的应用场景描述根据本公开的具体实施例。如图2所示，该实施例包括以下步骤：

步骤201，在jenkins平台上安装应用的应用程序包。

步骤202，在完成程序包在jenkins平台上的安装后，对应用程序包执行Monkey测试，以获取应用的权限测试数据，例如，应用在测试期间使用的权限包括权限A、B、C、D、E。

步骤203，针对上述应用程序包进行静态代码分析。

步骤204，获取静态代码分析的权限分析数据，例如，通过分析程序包源码得到的使用权限包括权限C、D、E、F、G、H，以及申请权限包括权限B、C、F、G、I、J、K。

步骤205，将上述通过静态代码分析和Monkey测试得到的使用权限合并，得到总的使用权限：权限A、B、C、D、E、F、G、H。

步骤206，将总的使用权限与申请权限比对，其中，总的使用权限为：权限A、B、C、D、E、F、G、H，申请权限为：权限B、C、F、G、I、J、K，因此，使用未申请的权限为：权限A、D、E、H，申请未使用的权限为：权限I、J、K，进而得到风险权限A、D、E、H、I、J、K。

步骤207，判断上述风险权限中不包括隐私权限，确定应用的风险等级为中。

步骤208，在显示界面上显示该应用在使用过程中存在风险，且风险等级为中。

本公开还提供了一种信息处理装置，如图3所示，所述装置包括：

分析模块301，被设置为针对应用的应用程序包执行静态代码分析，获取所述应用的权限分析数据；

测试模块302，被设置为针对所述应用程序包进行测试，获取所述应用的权限测试数据；

确定模块303，被设置为基于所述权限分析数据和所述权限测试数据，确定所述应用的权限使用风险结果。

在可选实施方式中，所述权限分析数据包括所述应用的申请权限集合和第一使用权限集合，所述权限测试数据包括所述应用的第二使用权限集合。

在可选实施方式中，所述确定模块303还被设置为：

基于所述第一使用权限集合和所述第二使用权限集合，获取所述应用的第三使用权限集合；

基于所述第三使用权限集合和所述申请权限集合，确定所述权限使用风险结果。

在可选实施方式中，所述确定模块303还被设置为：

基于所述第三使用权限集合和所述申请权限集合，确定是否存在风险权限，其中风险权限包括申请未使用权限和使用未申请权限；

当存在所述风险权限时，确定所述权限使用风险结果包括存在风险。

在可选实施方式中，当存在所述风险权限时，确定模块303还被设置为：

获取所述风险权限的数量；

获取所述风险权限中包括的隐私权限的数量；

基于所述风险权限的数量和所述隐私权限的数量，确定所述应用的风险等级。

在可选实施方式中，所述装置还包括：

显示模块，被设置为在显示界面上显示所述权限使用风险结果。

在可选实施方式中，所述测试模块302还被设置为：

针对所述应用程序包进行Monkey测试。

关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

本公开提供的一种信息处理方法及装置，针对应用的应用程序包执行静态代码分析，获取应用的权限分析数据，同时针对应用程序包进行测试，获取应用的权限测试数据。比对权限分析数据和权限测试数据，来确定应用的权限使用风险结果。这里应用程序包的静态代码分析和测试都是自动执行，从而可以节约人力成本，提高准确率。通过该方法，可以自动确定应用的权限使用风险，解决了单一手段识别应用权限使用风险不够准确的问题。

图4是根据一示例性实施例示出的一种信息处理装置400的框图。

参照图4，装置400可以包括以下一个或多个组件：处理组件402，存储器404，电力组件406，多媒体组件408，音频组件410，输入/输出(I/O)的接口412，传感器组件414，以及通信组件416。

处理组件402通常控制装置400的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理组件402可以包括一个或多个处理器420来执行指令，以完成上述的方法的全部或部分步骤。此外，处理组件402可以包括一个或多个模块，便于处理组件402和其他组件之间的交互。例如，处理组件402可以包括多媒体模块，以方便多媒体组件408和处理组件402之间的交互。

存储器404被配置为存储各种类型的数据以支持在设备400的操作。这些数据的示例包括用于在装置400上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器404可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(SRAM)，电可擦除可编程只读存储器(EEPROM)，可擦除可编程只读存储器(EPROM)，可编程只读存储器(PROM)，只读存储器(ROM)，磁存储器，快闪存储器，磁盘或光盘。

电力组件406为装置400的各种组件提供电力。电力组件406可以包括电源管理系统，一个或多个电源，及其他与为装置400生成、管理和分配电力相关联的组件。

多媒体组件408包括在所述装置400和用户之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体组件408包括一个前置摄像头和/或后置摄像头。当设备400处于操作模式，如拍摄模式或视频模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。

音频组件410被配置为输出和/或输入音频信号。例如，音频组件410包括一个麦克风(MIC)，当装置400处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器404或经由通信组件416发送。在一些实施例中，音频组件410还包括一个扬声器，用于输出音频信号。

I/O接口412为处理组件402和外围接口模块之间提供接口，上述外围接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和锁定按钮。

传感器组件414包括一个或多个传感器，用于为装置400提供各个方面的状态评估。例如，传感器组件414可以检测到设备400的打开/关闭状态，组件的相对定位，例如所述组件为装置400的显示器和小键盘，传感器组件414还可以检测装置400或装置400一个组件的位置改变，用户与装置400接触的存在或不存在，装置400方位或加速/减速和装置400的温度变化。传感器组件414可以包括接近传感器，被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件414还可以包括光传感器，如CMOS或CCD图像传感器，用于在成像应用中使用。在一些实施例中，该传感器组件414还可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。

通信组件416被配置为便于装置400和其他设备之间有线或无线方式的通信。装置400可以接入基于通信标准的无线网络，如WiFi，2G或3G，或它们的组合。在一个示例性实施例中，通信组件416经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，所述通信组件416还包括近场通信(NFC)模块，以促进短程通信。例如，在NFC模块可基于射频识别(RFID)技术，红外数据协会(IrDA)技术，超宽带(UWB)技术，蓝牙(BT)技术和其他技术来实现。

在示例性实施例中，装置400可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述方法。

在示例性实施例中，还提供了一种包括指令的非临时性计算机可读存储介质，例如包括指令的存储器404，上述指令可由装置400的处理器420执行以完成上述方法。例如，所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。

一种非临时性计算机可读存储介质，当所述存储介质中的指令由移动终端的处理器执行时，使得移动终端能够执行一种信息处理方法，所述方法包括：针对应用的应用程序包执行静态代码分析，获取所述应用的权限分析数据；针对所述应用程序包进行测试，获取所述应用的权限测试数据；基于所述权限分析数据和所述权限测试数据，确定所述应用的权限使用风险结果。

图5是根据一示例性实施例示出的一种信息处理装置500的框图。例如，装置500可以被提供为一服务器。参照图5，装置500包括处理组件522，其进一步包括一个或多个处理器，以及由存储器532所代表的存储器资源，用于存储可由处理组件522执行的指令，例如应用程序。存储器532中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外，处理组件522被配置为执行指令，以执行上述方法：针对应用的应用程序包执行静态代码分析，获取所述应用的权限分析数据；针对所述应用程序包进行测试，获取所述应用的权限测试数据；基于所述权限分析数据和所述权限测试数据，确定所述应用的权限使用风险结果。

装置500还可以包括一个电源组件526被配置为执行装置500的电源管理，一个有线或无线网络接口550被配置为将装置500连接到网络，和一个输入输出(I/O)接口558。装置500可以操作基于存储在存储器532的操作系统，例如Windows ServerTM，Mac OS XTM，UnixTM,LinuxTM，FreeBSDTM或类似。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。

应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。