Validating android permission requests by analyzing APP descriptions

Abstract

Android uygulamaları, bazı izinler kullanıldığı takdirde hassas kullanıcı bilgilerine erişebilmektedirler. Android'in güvenlik modeli ise, uygulamaların izin isteklerini onaylama sorumluluğunu kullanıcıya bırakmaktadır. Bu sebeple, kullanıcıların uygulamaların işlevlerinin istenen izinlerle örtüşüp örtüşmediğine karar vermeleri gerekmektedir. Kullanıcılara bu kararlarında yardımcı olmak için, verilen bir uygulamanın tanımlamasını inceleyerek izin isteklerinin geçerliliğini belirleyen yeni bir yöntemi bu çalışmada sunup değerlendirmekteyiz. Var olan diğer yöntemlerden farklı olarak; kullandığımız yöntem belli bir izin kümesiyle sınırlı değildir ve inceleme için kaynak koduna yada derlenmiş uygulama koduna ihtiyaç duymamaktadır, yine de mevcut yöntemlerle doğruluk açısından denk seviyede bulunmaktadır.

Android applications can access sensitive user data if they are granted certain permissions. Android security model gives users the responsibility to approve permission requests of applications. For this, a user needs to decide whether an app's functionality justifies the permission request. To aid users in their decision, we propose and evaluate a methodology that analyzes the description of an app and identifies unusual and unjustified permission requests. In contrast to existing techniques, our approach is not limited to a fixed set of permissions and does not need source code or binary app data to operate; yet, it is on par with the current state of the art in terms of accuracy.