SemaDroid : APrivacy-Aware Sensor Management Framework for Smartphones, (ACM Conference onData and Application Security and Privacy) CODASPY ‘15, 2015年3月 [1]

http://dl.acm.org/citation.cfm?id=2699114

1.1. 背景

宾夕法尼亚州立大学的研究人员针对传感器数据可能造成用户数据泄露的问题，提出了一种基于策略的传感器权限管理框架——SemaDroid。该方案引入了QoS的理论，允许对传感器相关权限进行非常细粒度的控制，并且能提供各种级别的（如接近真实、或完全虚假的）传感器数据、甚至很逼真的伪造传感器数据，以防止利用传感器数据的应用崩溃或察觉到是伪造数据。实验结果表明该方案能有效抵御基于传感器的攻击。

1.2. 贡献

SemaDroid的架构如图1所示，其主要实现位于应用层和框架层。

SemaDroid能够指定具体的应用，并且能指定策略生效的情境，如时间范围、电话状态（是否在打电话中）、设备状态（屏幕点亮还是熄灭）、应用状态（前台还是后台）等。该策略能够限制GPS、拍照、录像、录音等Android定义了权限的传感器，还能够限制加速度传感器、方向传感器等没有Android权限对应的传感器。并且限制粒度非常细，能够到达具体参数，如采样率、照片的清晰度、是否加入噪音数据等。

SemaDroid策略主要分为三种传感器数据处理规则：数据调整规则、数据操纵规则和数据伪造规则，依次会使得经过处理的传感器数据精度越来越低、伪造数据越来越多。并且设计了协调机制，能够让用户选择自己合适的传感器数据处理规则，能够既不泄露隐私，也不影响个人使用。

图1  SemaDroid体系结构

1.3. 对比

目前，Android系统只是对一部分传感器设置了权限控制，用户只有在安装App才会被提醒该权限而无法动态修改权限。现有的方法，大多数针对传感器的访问控制粒度不够，有一小部分针对传感器做了访问控制，但是虚假数据是恒定不变的，这会使某些应用（比如依靠变化的GPS坐标）崩溃，而SemaDroid通过随机和轨迹文件两种方式保证虚假数据可以“以假乱真”。并且现在工作都没有提供传感器数据处理规则协调机制，让用户能够自主选择。

1.4. 实验

文中实验部分给出了表1中各类安全目标的验证，均达到了预定的访问控制效果，如提供虚假数据等。

1.5. 专家观点

目前，以Android为代表的智能手机的功能日趋多样化，设备所携带的传感器越来越多，因此基于传感器的安全问题也逐渐成为学术界和业界研究的热点问题，甚至出现了一些通过传感器数据就能对设备所有者进行身份挖掘的攻击方法。可见传感器安全问题不容小视。本文提出的方案是目前针对传感器权限问题研究最细粒度的方案，并且模块化程度高，比较适合ROM厂商在官方AOSP的基础上进行独立封装，在降低与官方AOSP平台的集成成本的同时，实现对系统的安全加固。该成果可用于手机系统中，以更好地支持传感器权限管理。

表1  SemaDroid所支持的各类传感器的访问控制规则

1.6. 参考文献

[1] Xu, Zhi, and Sencun Zhu."SemaDroid: A Privacy-Aware Sensor Management Framework forSmartphones." Proceedings of the 5th ACM Conference on Data andApplication Security and Privacy. ACM, 2015.