移动应用（APP）在日常生活中扮演着越来越重要的角色,渗透进了人们生活的方方面面。但是根据前期的人工测试,本文发现了一类未受重视的隐私安全威胁——APP用户交互界面（简称GUI）中的未脱敏个人信息的展示。未脱敏展示是指在未对用户个人信息做充分脱敏处理（例如部分屏蔽和模糊化处理）的情况下,就直接在可被访问到的界面上进行展示的行为。因此,由于APP开发商对APP上用户个人信息的不规范使用和展示,一旦恶意的非法用户通过了APP的不安全的身份认证,则可以直接访问并收集到APP中展示的用户敏感信息。本文的主要研究目标是设计和实现一种针对安卓APP GUI中未脱敏个人信息的自动收集工具,并通过对国内热门APP中的个人信息未脱敏现象的初步评估,从而了解该隐私安全威胁的危害和影响范围。文章的主要工作与创新点如下:1)本文设计并实现了一种Android APP界面自动探索方法,该策略的核心是基于深度优先的GUI自动化测试。由于国内APP的加固生态,本文采用黑盒动态分析的思路,实时对GUI界面进行解析,从而指导APP的自动探索。在界面语义理解上,本文提出了基于感官效果的UI解析方法,并设计了在不同探索场景下使用的UI比较算法。在探索策略上,程序以GUI解析结果进行驱动,通过随机的控件选择进行深度优先的界面遍历,使用健壮的回退和恢复机制来保证页面的探索顺序。同时,本文通过页面模板进行探索上的优化,从而缓解探索时的状态爆炸。最后本文通过实验评估证明了本文提出的界面探索策略的功能设计和实现达到了预期效果。2)本文在GUI探索的过程中对页面中的敏感个人信息进行自动检测,实现了首个基于GUI的未脱敏个人信息展示自动检测工具PIIDroid。据调研,本文是首个将基于GUI的界面自动探索策略应用于APP隐私安全分析的研究工作,即使用PIIDroid对当前热门的6类APP进行个人信息展示的自动化检测。最终PIIDroid在58个APP中检测到了749条个人信息展示数据,总完整展示占比和敏感信息（地址/身份证/手机号/银行卡号）的完整展示占比分别达到46.6%和17.4%。其中,姓名,手机号以及银行卡号的完整泄露最为严重;购物类与旅游类APP在订单记录和已保存联系人中存在着较严重的用户个人信息泄露;而理财类APP的银行卡信息在不安全配置下的泄露风险较大。PIIDroid的检测结果证明了当前热门APP中普遍的未脱敏个人信息展示现象。3)本文通过初步评估证明了APP未脱敏个人信息泄露是一类隐私安全威胁。通过在58个主流APP中的评估,本文发现测试集中77.6%的APP使用“手机号+短信验证码”的方式进行登录,只有4个APP强制以及6个APP会弹窗建议多因子认证。因此,一旦网络犯罪分子收集到满足APP的认证方式时,例如手机窃取以及密码爆破等,即可成功登入并收集到未脱敏个人信息。根据APP实例分析,本文认为用户信息保护意识薄弱和APP开发商的信息保护策略不完善是导致未脱敏个人信息展示的两大原因。最后本文从个人,开发商以及监管机构三个角度,提出针对APP中认证配置以及个人信息的展示规范的保护措施,从而缓解和防范安卓GUI中的个人信息泄露。