SHERLOCK: a tool for detecting the minimum access permissions that an app requires using his play store description and its context as an input and natural language processing as a technique

Abstract

En la actualidad, con la masificación del uso de dispositivos inteligentes, existe un gran número de usuarios inexpertos en el área de las tecnologías. Con el fin de proporcionar más información a los usuarios que la necesitan, se desarrolló una herramienta que analiza las descripciones de las aplicaciones de la Play Store, con el objetivo de identificar los permisos que utilizarán dichas aplicaciones según las funcionalidades descritas. Para llevar a cabo el análisis de las descripciones, se empleó un clasificador de textos multi-etiqueta, utilizando el modelo preentrenado BERT, considerando dichos permisos como clases. A pesar de las limitaciones asociadas con los datos encontrados para el entrenamiento del clasificador, al realizar el análisis de permisos en 10 aplicaciones de la Play Store, se obtuvo un 50 % de falsos positivos. Además, se encontraron casos donde, debido al contexto de la aplicación, el clasificador predijo permisos que no estaban especificados en el archivo Manifiesto de la aplicación. Estos resultados, aunque no son perfectos, representan un avance hacia una herramienta que pueda concientizar al usuario común sobre los riesgos de las aplicaciones. Currently, with the widespread use of smart devices, there is a large number of inexperienced users in the field of technology. In order to provide more information to users in need, a tool was developed to analyze the descriptions of applications on the Play Store, aiming to identify the permissions that such applications will use based on the described functionalities. To carry out the analysis of the descriptions, a multi-label text classifier was employed, using the pre-trained BERT model, with these permissions considered as classes. Despite limitations related to the data available for training the classifier, when analyzing permissions in 10 applications from the Play Store, a 50 % false positive rate was obtained. Additionally, there were cases where, due to the context of the application, the classifier predicted permissions that were not specified in the application’s Manifest file. These results, although not perfect, represent progress towards a tool that can raise awareness among the general user about the risks of applications.