写在前面

特殊声明：本篇博客只为研究性学习使用，与OI无关

（那为什么还要写csdn博客？因为word太丑了 ）
当然啦，以我悲催的知识容量，就是到处找材料到处贴而已awa
那么开始吧
（因为只是一个初期的材料素材，因为研究性学习接下来的具体方向尚不明确不敢贸然裁剪，所以材料的分类可能还有些冗杂散乱，需要进一步整理）
（戳旁边的目录就很方便了啦）
（所以才用csdn的awa）
这只是一些素材，按需食用即可~

背景（problem）

《网络安全法》实施的第二年，成效初显，却也危机四伏。仅近半年，就有大量的 App 们，以前仆后继的英勇姿态在隐私安全的危险边缘疯狂试探。
1 月，12306 因强制用户授权信息而被推上了风口浪尖，只有用户同意 App获取用户的位置信息、相机相册、文件存储和电话等个人信息才能订票。3 月，WiFi 万能钥匙被央视财经《经济半小时》栏目爆出窃取了 9 亿用户隐私，包括用户手机号码、WiFi 密码、IP 地址、子网掩码、路由器、甚至关联的银行卡及密码等，用于营销推广，谋取暴利。6 月，漫天刷屏的足迹地图引发全民贴图狂潮，仅 6 月 1 日当天页面访问次数就突破了 1000 万，在满足了用户攀比心理的同时也轻易获取了大量隐私数据。7 月，QQ 浏览器、百度手机输入法相继中招，涉嫌私自调动摄像头、自动录音等侵权手段…
可以看出来，国内用户的隐私信息似乎十分“廉价”，不胜枚举的 App 们只是再次佐证了这一点罢了。而且国内尚且如此，国外似乎也不遑多让。
今年 3 月，Facebook 毫无征兆地爆发了波及甚广的“数据泄露门”，震惊了整个技术圈，5000 万用户信息被窃取用于建立模型和影响选民投票，最终以扎克伯克登报致歉并接受公开质询作结，过了近半年至今还仍有余波。
但是从个人数据收集的角度来讲，另一科技巨头 Google 的做法似乎更为严重——据外媒今日报道，Google 正利用 Android 设备和 iPhone 上的许多旗下服务追踪用户活动，并存储他们的位置数据——即使用户关闭了相关设置，许多 Google 应用程序也会自动存储有时间戳的位置数据，而无需询问用户。此举直接涉及了数十亿智能手机用户，而这种“流氓做法”今天再一次地把隐私话题推到了公众面前。
————————————————
版权声明：本文为CSDN博主「CSDN资讯」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/csdnnews/article/details/81713915

————————————————
版权声明：本文为CSDN博主「Caaacy_YU」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/shayuchaor/article/details/53914307

一个实例(example)

40款APP出现隐私问题被要求整改

资本邦

原标题：40款APP出现隐私问题被要求整改，背后运营商涉及老虎证券、拉卡拉、云集等上市公司 来源：资本邦
7月17日，资本邦讯，16日，APP专项治理工作组发文督促40款存在收集使用个人信息问题的APP运营者尽快整改。
APP专项治理工作组表示，对用户数量大、与民众生活密切相关的App隐私政策和个人信息收集使用情况进行评估。经评估，40款App在个人信息收集使用方面存在问题，且未公开有效联系方式。
工作组要求，这些APP运营者自于通知发出之日起10日内联系工作组，领取整改通知，并在30天内完成整改，预期未领取整改通知或未完成整改的，将建议相关部门予以处置。
资本邦发现，在被点名的40款APP中，包括老虎证券、富途牛牛、拉卡拉、云集、掌阅、宜人贷等上市公司，其中，老虎证券、富途牛牛、拉卡拉、云集在今年上半年刚刚登陆资本市场。
APP平台针对用户的个人信息，应该已发收集、使用、保管用户个人信息。必须遵守法律所规定的正当、合法、必要原则。在收集用户的个人信息之前，要经过用户的明确同意，告知用户所收集的个人信息的范围，使用目的等。
APP专项治理工作组官网资料显示,截至6月11日, APP专项治理工作组共收到举报信息5500余条,其中实名举报信息1800余条。而举报的问题主要集中在五个方面:一是实际收集的个人信息与业务功能无关,如金融借贷类APP收集用户通信录等;二是未公开收集使用个人信息的规则,如没有隐私政策或隐私政策中没有如何收集使用个人信息的相关内容等。
老虎证券、富途牛牛属于互联网券商APP，拉卡拉主要涉及支付及网络借贷。
资本邦获悉，截止2018年12月31日，老虎证券注册用户数量总数为158万，有交易账户的数量为50万。
截止2019年3月31日，富途证券注册用户数量达570万，开户客户数为54.8万，有资产客户数为14.87万。
而另一家从上市起便备受质疑的云集曾经两次被罚。第一次是在2016年10月11日，云集微店涉嫌虚假宣传，其在销售拉杆旅行箱时，介绍该商品品牌及商标时使用了不实夸大的宣传用语，违反了《中华人民共和国反不正当竞争法》第九条的规定，属于引人误解虚假宣传的违法行为，责令云集微店停止违法行为，并罚款1.5万元。
第二次在2017年7月，此次罚单是来自两年前，云集成立之初，因APP在地推过程中采用了存有争议的渠道推广模式，部分推广形式与《禁止传销条例》冲突，被滨江区市场监督管理局认定违法并罚没958万。
而4月25日，拉卡拉登陆创业板IPO上市。拉卡拉主要为B端服务，通过POS终端为实体小微企业用户提供收单服务和向个人用户提供个人支付服务，其核心盈利模式是通过向商户提供收单业务收取手续费及通过为个人提供支付服务收取手续费。

————————————————
版权声明：本文引自：新浪财经 资本邦
原文链接：https://finance.sina.cn/stock/relnews/us/2019-07-17/detail-ihytcerm4326776.d.html

手机App用户输入隐私数据的识别与检测技术研究（solution？）（官方）

概览

Nan等人设计的UIPicker[[1]]和Huang等人设计的SUPOR[[2]]都对用户输入隐私的保护进行了相关研究工作。UIPicker设计旨在检测应用程序框架及代码中的语义信息，并进一步分析安全关键信息可能出现的位置，这种方法能支持现有的各种移动应用安全分析。UIPicker还开发了运行时防护的机制，帮助用户在敏感数据以非预期的形式发送出去时得到通知并决定作何处理。SUPOR系统是一个新颖的静态分析工具，用于自动检测程序界面是否包含敏感的用户输入，譬如用户登录凭证、财务信息、医疗信息等。SUPOR检测的UI组件主要是文本框，UIPicker则不局限于此，能够检测更多的UI组件。两个系统都采用了NLP的技术对UI呈现和架构资源进行了分析，来识别用户输入隐私，UIPicker更进一步采用了机器学习的技术训练分类器，使检测结果更为准确。

背景

据艾媒咨询发布的《2015-2016年中国智能手机市场研究报告》显示[[3]]，截至2015年6月底，中国网民规模已经达到6.68亿，其中手机网民规模为5.9357亿，在整体网民中占比88.9%，整体呈逐年上涨趋势，增长率呈下降趋势，而在中国智能手机市场系统覆盖方面，安卓以73.1%的占比位列第一。可以看出，智能手机，尤其是安卓手机，已经在终端用户设备中占据了统治地位。随着各类App数量的增加，智能手机也更能满足用户的各类需要，但与此同时，这些App也获取了越来越多的用户隐私和敏感信息，保护这些用户隐私就成为了一项重要的工作。

介绍

先前对智能手机上用户隐私的研究主要集中在那些操作系统预定义的敏感API上[6][7][8][9]，如设备标识符（电话号码，IMEI等）、位置信息、通讯录、日历、浏览器信息等，主要采取了权限保护的手段。这些的确是非常重要的用户隐私，但是并没有覆盖所有的用户隐私和敏感数据。这些研究在很大程度上忽视了一个非常重要的用户隐私来源——用户输入隐私。App通常通过用户界面UI让用户输入一些信息，而这些信息就包括了登录凭证、财务信息、医疗信息等敏感数据。因此要在智能手机上保护用户隐私，就必须很好的处理这些用户输入隐私。

如何识别敏感用户输入。有些敏感数据是操作系统给出的，例如位置信息，保护此类称之为系统为中心的隐私数据，可以利用系统API来设置安全标签，对其进行保护。但本文所研究的是用户输入的隐私数据，这就要求在应用程序中理解输入信息的语义，而这是现有技术无法实现的。多篇文献[4][5]记录了当前攻击者通过攻击现有保护机制的薄弱环节来窃取用户隐私。例如，伪装成银行应用的UI来骗取用户的财务信息。除此之外，开发者安全意识缺失也在无意中泄露了用户隐私，例如在公网中明文传输数据。用户隐私泄露的途径十分多，我们发现在谷歌商店排名靠前的17425个应用中，有35.46%涉及敏感的用户输入。

鉴于用户输入隐私的重要性，相应的保护就十分关键。但不同于系统管理的元素可以通过几个API来轻松识别，用户输入隐私只有通过上下文分析和UI语义分析来获得。一种方法是将所有用户输入都标记为敏感，这显然很不合理。先前采用的方法大多是依赖于用户、开发人员或分析师手动标记需要保护的内容，这需要大量的人工干预，而工作跟不上就会导致安全风险存在。这种方式是非常低效的，成本也很高，因此需要一个自动化标记的系统来识别用户输入隐私。
后面的东西专业性过强了，和我们讲的字符串算法基本没啥关系…很多地方我也看不太懂qwq

4.系统设计

（1）SUPOR

SUPOR包括三个主要组件:布局分析、UI敏感性分析和变量绑定，如图3所示。布局分析组件接收一个App的APK文件，并呈现包含输入字段的布局文件。基于这一部分的UI呈现，UI敏感性分析组件将输入字段和文本标签联系起来，并通过预定义的关键词数据集来判断输入字段的敏感性。最后，变量绑定组件从程序代码中找出存储敏感输入字段的变量。

图3 SUPOR总体架构

布局分析组件：布局分析组件的目的是呈现一个安卓应用的用户界面，并从中提取输入字段的信息：类型、提示和绝对坐标，然后将这些信息用于UI敏感性分析。

当类型和提示无法判断这个输入字段是否敏感时，需要找到一个用于描述这个输入字段的标签。从用户的角度看来，在输入字段前面通常有一个文本标签描述此处要输入什么信息，而这个标签就能帮助判断这个字段是否敏感。因此本文提出了一种算法来找出输入字段对应的描述标签。

第一步是通过解析一个应用的APK文件的布局文件来识别哪个文件包含输入字段。这一步工作中，着重关注EditText类型及其子类型，包括自定义部件。每个输入字段代表一个潜在的敏感源。此时还无法判断输入字段是否敏感，因此把所有的输入字段都交付给UI敏感性分析组件来做处理。

第二步是获得输入字段的坐标信息，然后在算法中使用坐标求标签和输入字段的欧式距离，找到与输入字段最近最相关的文本标签。

UI敏感分析组件：基于从布局分析组件收集的信息，UI敏感性分析组件确定一个给出的输入字段是否包含敏感信息。该组件包含三个主要步骤。

首先，如果输入字段的某些属性被指定成类似android:inputType =“textPassword”，那么它直接被视为敏感。

第二，如果输入字段包含任何提示，如“在这里输入密码”，如果提示中包含任何在敏感关键词数据集中的关键词，那么输入字段被认为是敏感的，否则，进入第三步。

第三，SUPOR识别输入字段的描述标签，并分析标签文本是否敏感。

变量绑定：随着敏感输入字段在前面的步骤中的确定，变量绑定组件执行上下文敏感分析来绑定输入字段和代码中相应的的变量。敏感的输入字段使用上下文ID标识，包括布局ID和控件ID，这些上下文ID可用于直接从XML布局文件中定位输入字段。SUPOR利用安卓提供的绑定机制使输入字段与适当的变量联系起来。

（2）UIPicker

总体架构由4部分组成，如图4所示，分为两个阶段：模型训练和识别。1，2，3属于训练阶段，用一些APP来训练分类器，1，3，4为识别阶段，同时使用训练好的分类器和程序表现来识别用户输入隐私数据元素。

图4 UIPicker总体架构

在预处理模块中，收录布局资源文本并用自然语言处理进行整理以备进一步使用。这一步包括分词、移除冗余内容和词干提取。预处理可以减少程序员不同编程习惯造成的布局资源格式不同。

隐私相关文本分析。为了从布局资源中识别用户输入隐私，第一个挑战是如何获取隐私相关文本。为了整理语义相关单词借用了WordNet字典，但是仍然有很多语义上的内容无法解决。另外，用户输入隐私数据通常都是用单个词汇或很短的短语描述的，NLP中的一些技术很难派上用场。

UIPicker使用了一些基于个体特征抽取的隐私相关种子来对用户输入隐私语义进行扩展。首先通过启发式规则自动标记一组可能包含用户输入隐私数据的布局子集，然后通过聚类算法来从这些布局中提取隐私相关的语义。

UIP数据元素识别。根据上面步骤得到的一组隐私相关文本语义，一个元素包含多少隐私相关的文本应该被定义为敏感？根据之前的工作显示，基于关键词的搜索错误率很高，例如用户地址address还有别的意思，而别的意思可能就完全不是敏感数据了。在这一步中，UIPicker使用一个有监督的机器学习的方法来训练一个基于一组前一阶段产生的语义特征的分类器。除此之外，它完全通过元素在整个布局中的上下文来判断其是否隐私相关。有了这个模型，UIPicker可以判断任何一个有描述的布局元素是否和隐私有关。

基于行为的结果筛选。除了判断是否与隐私相关，还要检查一个元素是否接受用户输入。也就是说，要区别用户输入和其他静态元素。

参考文献
[1] Huang J, Li Z, XiaoX, et al. Supor: Precise and scalable sensitive user input detection forandroid apps[C]. 24th USENIX Security Symposium (USENIX Security 15). 2015:977-992.
[[2]] NanY, Yang M, Yang Z, et al. Uipicker: User-input privacy identification in mobileapplications[C]. 24th USENIX Security Symposium (USENIX Security 15). 2015:993-1008.
[[3]] 艾媒网:2015-2016年中国智能手机市场研究报告[EB/OL]. [2016-10-15]. http://www.iimedia.cn/41787.html.
[4]Chen Q A, Qian Z, Mao Z M. Peeking into your app without actually seeing it: UIstate inference and novel android attacks[C]. 23rd USENIX Security Symposium(USENIX Security 14). 2014: 1037-1052.
[5] Jiang Y Z X. Detecting passive content leaks andpollution in android applications[C].Proceedings of the 20th Network andDistributed System Security Symposium (NDSS). 2013.
[6] Enck W, Gilbert P, Han S, et al. TaintDroid: aninformation-flow tracking system for realtime privacy monitoring onsmartphones[J]. ACM Transactions on Computer Systems (TOCS), 2014, 32(2): 5.
[7] Enck W, Octeau D, McDaniel P, et al. A Study of AndroidApplication Security[C]. USENIX security symposium. 2011, 2: 2.
[8]Gibler C, Crussell J, Erickson J, et al. AndroidLeaks: automatically detectingpotential privacy leaks in android applications on a large scale[C]. InternationalConference on Trust and Trustworthy Computing. Springer Berlin Heidelberg,2012: 291-307.
[9]Lu K, Li Z, Kemerlis V P, et al. Checking More and AlertingLess: Detecting Privacy Leakages via Enhanced Data-flow Analysis and PeerVoting[C]. NDSS. 2015.

————————————————
版权声明：本文为CSDN博主「Caaacy_YU」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/shayuchaor/article/details/53914307

隐私政策

引言

本应用尊重并保护您的隐私。为了给您提供更准确、更有个性化的服务，您在使用我们的应用时，我们可能会收集和使用您的信息。《隐私政策》将向您说明在您使用我们的服务时，我们如何收集、使用、储存和分享这些信息。我们将以高度的勤勉、审慎义务对待这些信息，并按照本隐私权政策的规定使用和披露您的个人信息。您在使用或继续使用我们的服务，都视为您已经同意本隐私政策的全部内容，您同意我们按照本《隐私政策》收集、使用、储存和分享您的信息。

1.收集信息

当我们需要能识别您身份的信息（个人信息）或者可以与您联系的信息时，我们会征求您的同意。
您了解并同意，以下信息不适用本隐私权政策：
（1）您在使用本应用平台提供的搜索服务时输入的关键字信息；
（2）违反法律规定或违反本应用规则行为及本应用已对您采取的措施。

2. 信息使用

（1）我们不会向任何无关第三方提供、出售、出租、分享或交易您的个人信息，除非事先得到您的许可，或该第三方和本应用（含本应用关联公司）单独或共同为您提供服务，且在该服务结束后，其将被禁止访问包括其以前能够访问的所有这些资料。
（2）我们亦不允许任何第三方以任何手段收集、编辑、出售或者无偿传播您的个人信息。任何本应用平台用户如从事上述活动，一经发现，本应用有权立即终止与该用户的服务协议。
（3）基于服务用户的宗旨，本应用可能通过使用您的个人信息，在公司同类产品中向您提供信息服务，包括但不限于向您发出产品和服务信息，或者与本应用合作伙伴共享信息以便他们向您发送有关其产品和服务的信息（后者需要您的事先同意）。

3. 信息披露

在如下情况下，本应用将依据您的个人意愿或法律的规定全部或部分的披露您的个人信息：
（1）经您事先同意，向第三方披露；
（2）为提供您所要求的产品和服务，而必须和第三方分享您的个人信息；
（3）根据法律的有关规定，或者行政或司法机构的要求，向第三方或者行政、司法机构披露；
（4）如您出现违反中国有关法律、法规或者本应用服务协议或相关规则的情况，需要向第三方披露；
（5）如您是适格的知识产权投诉人并已提起投诉，应被投诉人要求，向被投诉人披露，以便双方处理可能的权利纠纷；
（6）在本应用平台上创建的某一交易中，如交易任何一方履行或部分履行了交易义务并提出信息披露请求的，本应用有权决定向该用户提供其交易对方的联络方式等必要信息，以促成交易的完成或纠纷的解决。
（7）其它本应用根据法律、法规或者网站政策认为合适的披露。

4. 信息存储和交换

本应用收集的有关您的信息和资料将保存在本应用及（或）其关联公司的服务器上，这些信息和资料可能传送至您所在国家、地区或本应用收集信息和资料所在地的境外并在境外被访问、存储和展示。

5. 信息安全

我们为您提供了多种途径以确保您的个人信息是准确及时的。您可以随时查阅或编辑您提交给我们的个人信息，您也可以随时删除您提交的个人信息。严格保护您的个人信息的安全。我们使用各种安全技术和程序来保护您的个人信息不被未经授权的访问、使用或泄漏。 应用内的帐号均有安全保护功能，请妥善保管您的用户名及密码信息。本应用将通过对用户密码进行加密等安全措施确保您的信息不丢失，不被滥用和变造。尽管有前述安全措施，但同时也请您注意在信息网络上不存在“完善的安全措施”。

6.本隐私政策的更改

随着网络平台信息服务的进一步提升，隐私政策的内容会随时更新。更新后的隐私政策一旦在本应用程序上公布即有效代替原来的隐私政策。我们鼓励您定期查看本页以了解我们对于隐私保护的最新措施。
————————————————
版权声明：本文为CSDN博主「你是我的传奇」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/wukunwu/article/details/84830099

手机隐私泄露的途径及防止（个人）

一、手机隐私如何泄露

1、恶意软件入侵

恶意软件入侵手机，可以使手机数据外泄，其中就包括个人位置信息、通话信息、账号密码信息和存储文件信息等。

2、路边免费WiFi盗窃信息

免费的WiFi深藏多少危险相信很多人并不知道，当我们连接一个免费WiFi后，WiFi持有者就可以对手机实现ARP（地址解析协议）欺骗。随着我们在操作手机时，对方就可以通过工具分析手机数据，如果刚好使用网银之类的支付手段的话，手机中的支付密码和银行卡信息就有可能被盗窃。

以上两种情况我们大多是可以去避免的，但是最容易导致手机隐私泄露的根本却是手机数据没有删除干净。

3、维修店获取个人手机信息

当我们将手机拿到维修店中维修时，一些维修（黑）店会利用数据恢复技术将手机数据恢复，然后搜集整理起来再卖出去，这也成为不法分子获取信息的手法之一。

4、手机数据删除不干净

如今手机更新换代的速度增长，连带着使用手机的用户也跟着频繁换手机。在处置不要的旧手机时，大部分人都会选择将手机数据删除或是手机格式化，然后再给家里其他亲戚使用或是将手机二手转让出去。就是因为如此简单的删除手法，才会导致个人信息的泄露！

简单来说，就是将手机数据删除或是格式化，并不能将这些数据彻底删除。并且前文已经说过了，信息科技越发强大了。这种简单的删除手法，光是将数据恢复就有好几种方法，难度系数基本为零。只需要在电脑上下载强力苹果恢复精灵这类数据恢复软件，手机数据轻轻松松就能被恢复。

二、怎样才能彻底删除手机数据

当我们想要删除手机数据时，可以使用下面几种方法将数据彻底删除。

1、数据覆盖

在手机上大量编辑没有意义的数据和图片，然后删除，重复几次后，第一次被删除的数据就有可能被新删除的数据覆盖。

2、应用软件多次重装

多次对应用软件的卸载和重装，可以破坏手机上该应用数据库的数据，达到数据破损或者数据覆盖。

3、手机多次格式化

重复将手机格式化和恢复出厂设置，可以将手机保存的数据清空再进行数据破坏，这个方法建议在将旧手机转让时使用。

4、使用数据恢复软件查看

当数据删除后，可以使用强力苹果恢复精灵之类的数据恢复软件扫描手机，如果数据无法扫描出来，就是真的被彻底删除。

三、备份软件如何泄露数据

除了手机本身容易泄露个人隐私外，备份软件也有安全隐患。虽然大部分的备份软件声称安全指数高，但也挡不住黑客运用恶意软件来进行数据盗窃和威胁等行为。

黑客获取数据的手法一般有两种：一是通过互联网收集一些已经泄露了的用户信息，生成对应的表格，再批量登陆到其他网站上，获得一系列用户资料。二是通过非法下载网站备份数据库存储在本地的根目录，从而得到相关信息资料。

四、怎么防止隐私数据泄露

为了我们的个人隐私安全，我们可以通过数据加密和数据分块备份的方式防止隐私数据泄露。将数据分块加密备份到软件上，又可以利用备份软件自身的安全性，也可以保证数据丢失后，因为数据不完整和数据加密的限制而降低个人信息的泄露

————————————————
版权声明：本文为CSDN博主「橙色的天空」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/qq_39891419/article/details/77896962?