摘要：本文简要介绍Sechunter移动应用隐私合规检测的方法步骤，以及目标检测技术在其中的应用。

受益于移动设备的广泛普及，移动应用近年来得到了蓬勃发展。基于移动设备集成的各类传感器，众多功能丰富的移动应用被开发出来，聚集了大量高价值用户隐私数据，包括用户身份信息、地理位置信息、账户资料信息等。用户在享受移动应用带来便利的同时，其隐私安全也受到了重大威胁。在这样的背景下，移动应用隐私合规检测应运而生。本文简要介绍Sechunter移动应用隐私合规检测的方法步骤，以及目标检测技术在其中的应用。

移动应用的隐私合规检测，从技术形态上可以分为静态检测方案与动态检测方案。以下分别作简要介绍。

静态检测方案通过对移动应用的安装包进行反编译，进而通过静态数据流、控制流分析等技术，检测移动应用中可能存在的隐私泄露问题。在该领域中，常用到以下工具：

动态检测方案通过运行待检测应用于真实手机或者模拟器沙箱，通过监控移动应用对系统内敏感资源的访问，结合移动应用的隐私政策声明分析，检测移动应用是否包含隐私违规行为。应用运行则可以由人工进行或者UI自动化。

1.2.1 敏感行为监测

运行时敏感行监测实时监控应用对用户隐私敏感数据的访问。在实现上分为两种：一种是直接在源码中添加监控代码。如在AOSP代码中的getLastLocation中直接添加代码，记录API访问行为。另一种则是通过hook方案，不直接修改源码，而是在系统运行APP时添加逻辑钩子，在APP调用特定敏感API时，先跳转至hook函数，最后再返回