Analyzing Validity of Permission Usages in Android Apps via App Descriptions

Abstract

애플리케이션(앱)에 대한 설명의 분석은 요구 사항 추천, 멀웨어 탐지, 보안 유지보수 등 다양한 소프트웨어 엔지니어링 영역에서 사용될 수 있다. 자연어의 모호함으로 인한 본질적인 문제 외에도, 앱의 설명에서는 권한의 의미가 드물게 드러나므로 기능 및 권한 사용을 예측하는 데 어려움을 야기한다. 구체적으로, 앱 설명에 허용된 문자의 수의 제한으로 앱이 속한 카테고리에서 공통적으로 사용되는 기능들은 의도적으로 생략되며 권한은 종종 초과 정의된다. 이는 앱 설명에서 권한 예측 시 거짓 양성을 초래한다. 기존 연구에서는 이처럼 앱 설명에 언급되지 않는 권한을 비정상적이라 탐지하는 것만 가능하며 개발자로 하여금 앱 설명을 가다듬 거나 잠재적 보안 위협을 예방하는 효과적 지원은 제공하지 못하고 있다. 본 연구에서는 동일 카테고리의 앱이 필요로 하는 기본적인 권한을 더욱 효과 적으로 예측하기 위해 카테고리 기반 공통 권한을 식별하며 앱 설명의 충실도를 평 가하는 프레임워크인 FideDroid를 제안한다. 기존 공개 데이터셋에는 권한 사용을 나타내는 문장이 드물게 포함되어 있어 앱 설명으로부터 권한을 예측하는 성능에 큰 영향을 미친다. 이러한 문제를 극복하기 위해 제안하는 프레임워크는 라벨링된 앱 설명 데이터셋을 증강하여 권한 예측을 개선한다. FideDroid 는 예측을 기반으로 유추된 권한을 실제 사용된 권한과 비교하여 의심스럽거나 불필요한 권한을 찾아 내며 이는 개발자로 하여금 앱 설명을 가다듬고 권한 사용을 유지보수 할 수 있도록 돕는다. PlayStore에 실제 존재하는 많은 수의 앱을 대상으로 진행한 실험에서는 카테고리 기반 공통 권한이 해당 카테고리에서 요청 가능한 모든 권한을 고려하는 것이 아니라 언급되지 않는 기능을 기반으로 한 권한을 더욱 많이 예측할 수 있다는 것을 분석을 통하여 증명하였다. 추가적으로, 앱 설명과 실제 사용 권한 사이의 불일치를 야기하는 세 가지 요인이: 1) 설명 작성 시 인간의 개입; 2) 권한 사용에 대한 나쁜 관행; 3) 다작 개발자라는 것을 발견하였다. 따라서, FideDroid는 개발자로 하여금 앱 설명에서 명시되지 않은 권한을 특 정하고 앱 설명을 가다듬어 사용자의 알 권리를 보호할 수 있도록 도우며 권한의 오남용을 방지하여 앱 품질을 개선할 수 있도록 지원한다|Application (app) description analysis can be used in various software engineering domains such as requirement recommendation, malware detection, and security maintenance. Besides the inherent challenges from the ambiguity of natural language, sparse permission semantics raise the difficulties of predicting functionalities and permission usages from app descriptions. More specifically, the functionalities common to the app’s category are intentionally abbreviated by developers due to the limited number of characters allowed for app descriptions, and permissions are often being over-claimed. These are the main reasons that cause false positives in predicting permissions from app descriptions. Such unmentioned permissions can only be detected as suspicious in existing studies where effective assistance for developers in refining app descriptions and preventing potential security risks is not provided.

In this thesis, we propose the FideDroid, a framework to identify category-based common permissions to predict the unmentioned functionalities in the same category while assessing the fidelity of app descriptions. The existing public dataset contains sparse permission semantics, which highly impacts performance of predicting permissions from app description. In order to overcome this issue, our framework augments the labeled dataset of app descriptions to improve the prediction of permissions. Based on the prediction, FideDroid compares inferred permissions with the used ones to reveal the suspicious and unnecessary permissions. It helps developers to refine app descriptions and maintain permission usages. In our experiments on large number of real-world apps from the Play Store, we analyzed and revealed that the category-based common permissions can predict more unmentioned functionalities rather than considering all possible permissions in the category. In addition, we discovered three factors causing the inconsistency between descriptions and permission usages to be: 1) human interventions in writing descriptions; 2) bad practices on permission usages; and 3) prolific developers.

Consequently, FideDroid helps developers to localize the absences of permission in the app descriptions and refine the app descriptions to protect users` right to know. Moreover, it facilitates developers to prevent permission misuses to improve app quality.