APP、SDK未告知用户,私自收集用户个人信息的行为的检测方法

最新推荐文章于 2024-01-11 16:07:43 发布
最新推荐文章于 2024-01-11 16:07:43 发布
阅读量8.4k 收藏 32
点赞数 7
分类专栏: android相关 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq744746842/article/details/113579746
版权
背景

针对网络数据安全这一问题,工信部刚刚印发《电信和互联网行业提升网络数据安全保护能力专项行动方案》(下称“《方案》”) 。《方案》明确提出深化App违法违规专项治理,持续推进App违法违规收集使用个人信息专项治理行动,今年10月底前将完成全部基础电信企业(含专业公司)、50家重点互联网企业以及200款主流App数据安全检查。

问题及解决

但是目前针对app中使用的sdk的行为,测试人员是没有办法掌控的。因为没有办法通过抓包或者其他手段能够知道第三方的sdk到底有没有尝试去获取你的手机号码或者说mac地址等信息。

Android审核:用户授权前获取mac地址,imei等用户敏感信息的方法(工信部要下架APP)

这篇文章给出了很好的解决措施,需要通过 VirtualXposed 以及 VirtualXposed的一个模块(HookLoginDemo, 这个模块其实是由自己开发,来进行监听哪些应用或者说哪些方法使用的), 来解决这个事情。

步骤
  1. 下载 VirtualXposed以及HookLoginDemo 安全合规 密码: b9mp 分别进行安装后。
  2. 打开VirtualXposed, 添加待测的应用以及HookLogin到VirtualXposed中。

最低0.47元/天 解锁文章
saii
关注
专栏目录
android 行为采集,android自定义收集用户行为统计 (非常方便 可以自己拓展)
weixin_30691649的博客
05-26 600
EventCollect这是收集用户行为统计的代码reademe:需求::用于App统计用户行为 。 实际上就是监控所有事件 并把事件 发送到服务上去要求: 可以监控用户的所有行为,例如用户谁(没有登录的情况使用UUID),进入那个页面,进入的时间,在这个页面操作了什么(点击了那个按钮,或者是点击了列表那个列),离开页面时间,以及其他统计信息,例如版本号,手机系统版本,用户当前网络,用户位置,用户...
APP隐私合规自查之违规收集个人信息
wenzhouxinhe的博客
08-13 1098
在中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合针对APP隐私合规开展的整治活动中被报、下架的APP里,最为常见的问题之一,就是APP违规收集个人信息。 在APP违规收集个人信息的这一检测大点中,涵盖以下了较为常见几个检测小点: 1.在App中没有隐私政策,或者隐私政策中没有收集使用个人信息规则。(1、有隐私政策说明,2、隐私政策中有明确的收集使用个人信息规则) 2.在App首次运行时过弹窗等明显方式提示用户阅读隐私政策等收集使用规则...
Android平台第三方SDK会采集用户的那些隐私数据及具体实现代码
android_ls的专栏
06-25 1万+
转载请标明出处:http://blog.csdn.net/android_ls/article/details/51526478一、用户手机上应用信息 1、获取用户手机上已经安装的非系统自带APP列表。 public List<Map<String, Object>> getInstalledApps(Context context) { List<PackageInfo>
APP上架因收集个人信息问题被拒绝该怎么解决?
ff_888888的博客
07-15 3552
APP首次启动一定要先弹出《隐私政策》、《用户协议》,并提供同意或拒绝按钮,等用户同意后,再初始化第三方sdk (地图、推送等),这些第三方服务常会涉及到收集个人信息用户同意前,不能触发任何收集个人信息的代码。...
移动应用中的第三方SDK隐私合规检测,早知道
热门推荐
华为云官方博客
02-21 3万+
https://bbs.huaweicloud.com/blogs/329427?utm_source=csdn&utm_medium=bbs-ex&utm_campaign=paas&utm_content=content
APP以隐私政策弹窗的形式向用户明示收集使用规则未经用户同意存在收集Android ID、IMEI的行为。——YonStudio开发
最新发布
weixin_48902327的博客
01-11 2537
1、在首页加载之前弹出想要在首页加载之前显示隐私政策提示框,需创建一个 privacy.stml 文件放置在项目pages/privacy 目录下。官方提供了对应的文件,只需要放在pages下即可,在页面修改对应内容即可。注意:隐私协议弹窗页面中如果要打开新的页面(隐私详情页),也需要使用本地stml 页面。示例:2、在首页加载之后弹出当应用启动时若检测到 privacy.stml 文件不存在,则会正常加载首页,前端可在首页弹出隐私政策提示框,在用户同意隐私政策协议之前版本和云修复检测会被延后。
安全技术专家解读:《App违法违规收集使用个人信息行为认定方法
Baidu_Secrity的博客
04-17 3429
近年来,App违规收集个人信息、过度索权等侵害用户权益的现象饱受诟病,并引发了来自国家监管层面的高度关注。 自2019年初监管机构开展App违法违规收集使用个人信息专项治理以来,多次重点针对App无隐私协议、收集使用个人信息范围描述不清、超范围采集个人信息和非必要采集个人信息等情形,进行报、责令期限整改、处以警告处罚,更有2款App被立为刑事案件开展侦查…… 2019年...
移动应用中的第三方SDK隐私合规检测
csOPPO的博客
10-13 748
我们过调研统计,对常见的第三方SDK隐私声明展现方式进行总结,归纳出一套自动化的解析方案,以增强对第三方SDK隐私违规行为检测能力。针对第三方SDK隐私声明的提取,按照应用隐私政策呈现的方式,可以分为两种主要形式:1、直接在应用隐私声明中陈述(如图1所示)。针对第2种情况,需要对第三方SDK隐私声明的文本跳转内容进行提取。重点整治APPSDK用户告知未经用户同意私自使用个人信息,将用户个人信息用于其提供服务之外的目的,特别是私自向其他应用或服务器发送、共享用户个人信息行为
关于工信部191号文《App违法违规收集使用个人信息行为认定方法》的评估
t1996ys的博客
10-16 9298
APP认定方法评估的初步总结---2020/10/16 APP认定方法评估主要依据191号文《App违法违规收集使用个人信息行为认定方法》(规定了什么行为被认定为337中的违规)、337号文《工业和信息化部关于开展APP侵害用户权益专项整治工作的知》(定义了某种违规的含义)。 其中,专业术语可以参考《个人信息安全规范》(规范个人信息控制者在收集、存储、使用、共享、转让、公开披露等信息处理环节中的相关行为)、APP权限问题可以参考《信息安全技术 移动互联网应用(App收集个人信息基本规范-最新征求意见
app违法违规收集使用个人信息自评估指南
11-19
App违法违规收集使用个人信息自评估指南》是针对移动应用程序(App)在收集使用用户信息过程中可能存在的违法行为制定的一份规范文件。这份指南旨在确保App遵循合法、正当、必要的原则,保护用户个人信息安全...
Android深入学习之各种隐私权限判断和获取方法总结
Alexlee1986的专栏
10-14 4156
Android深入学习之各种隐私权限判断和获取方法总结   从Android SDK 23 开始, Android就改变了权限的管理模式。对于一些涉及用户隐私的权限则需要用户的授权才可以使用。在此之前,开发者只需要在AndroidManifest.xml中注册,如网络权限、wifi权限等等:权限即可,但是现在除了注册还需要进行手动的授权。   没有涉及用户隐私的权限申请的方式比较简单,即只需要在A...
安卓项目实战----收集用户信息(一)
吴豪杰
01-21 1202
安卓项目实战—-收集用户信息(一)前言大家好!欢迎继续来访我的网站。从今天起,我将在这个专题记录我的一个安卓项目实战,我将在此中分享一些个人经验见解,希望能带给大家一点帮助,这个项目将帮助学习安卓SQLite的使用、反射工程、广播服务等等,甚至一些设计模式相关知识(其实目前我也不太懂,只是在读《设计之禅》中形成一点意识,另外也强烈推荐此书)OK,就这样不多说,开始吧! 项目简介首先介绍一下整个项目
HBuilderX日常踩坑之隐私合规检测
旭日跑马踏云飞的专栏
10-27 5833
各位app发布者,在开发和测试顺利过后,却总是卡在隐私合规检测环节,改,发布,改,发布,不胜其烦。就没有一个地方明确告诉大家该怎么玩。
安卓APP:隐私合规检测常见问题建议总结
APP操盘手
05-24 6650
1.1 违规收集个人信息 1).APP隐私政策必须非常清楚、全面地说明(不要用可能收集、了解用户信息这种模糊不清晰的词语)收集用户个人信息的目的、方式和范围,用户个人信息包括但不限于mac地址、设备序列号、imei、imsi、软件安装列表、通讯录信息、短信信息等。 清楚的写明收集的信息 2).在用户浏览完隐私政策并点击同意按钮前,APPSDK不要有任何收集行为或者关联动作,例如和服务器之间发送或者接收信息的行为。 3).隐私协议用户同意环节,必须明确使用同意”、“拒绝/不使用”按钮,不要使用“好的”、
APP违法违规收集使用个人信息行为认定方法
天在等我,菜鸟想飞
07-04 809
解读:第一种情况,隐私政策说明某场景的收集使用目的、范围;解读:收集个人“敏感数据”时(银行卡,身份证号,行踪轨迹),同步告知收集目的,告知的方式不仅限于弹窗,只要能明显的显示出来即可。解读:如果用户自主同意基于该等目的收集信息的,App仍可以收集,但是用户同意的,App不得强制收集或拒绝提供业务功能。在打开软件后,会存在收集用户手机号码、IMEI、IMIS、设备定位、照片、媒体、文件权限时,要同步告知目的。解读:电话、位置、通讯录、相册、存储、相机要求一起同意,不同意无法使用app,这种情况不合规。
Dcloud开发引用第三方sdkapp小程序扫盲---使用第三方sdk并且打包
EK306的博客
12-05 5109
经过前几次的文章,app基本成型。运行在手机里应该就能正常使用了。 那么如何引用第三方sdk呢? 难道在hbuilder里面弄个文件夹放jar包么? 显然不是。dcloud本省有集成了部分sdk 但是大部分并没有。与apicloud相比,内置sdk的组件太少了。我的同事用apicloud直接引用apicloud官方提供的模板很快就能把功能实现。dcloud里你要是使用官方没集成的sdk就只能“
APP上架市场隐私政策被拒(关于未经用户同意收集用户信息)
qq_43603312的博客
08-27 5794
问题 问题主要就是类似这种的APP本身或SDK未经用户同意收集用户信息或明示收集的目的违规收集的 针对以上问题,不进行整改市场将根据工信部相关文件规定下架应用。 解决: 下面是就我个人整改的方案进行总结: 查看项目所用的所有三方SDK,在隐私政策里进行相关的说明(使用目的 获取的权限等信息) 用户初次安装后,在隐私弹窗里用户点击确定之前不获取用户信息,App本身和第三方都不可以获取,信息包括MAC地址、软件安装列表、IMEI等。 3.友盟SDK必须升级进行预初始化,根据文档修改。 针对第二点
隐私合规综合实践
chuyouyinghe的专栏
02-15 1422
1.1 遇到问题说明国内对应用程序安全隐私问题监管变的越来越严格。各个应用市场对APP上架也有比较严格的检查。出现隐私合规安全问题主要有哪些呢?在用户同意隐私协议之前,不能有收集用户隐私数据的行为。例如,在用户同意之前不能去获取 Android ID、Device ID、MAC 等隐私数据在用户同意隐私协议之后,搜集用户隐私数据的行为不能超出实现服务场景所必需的最低频率。
APP录音信息最小必要评估规范:保障个人隐私与信息安全
"2021 APP收集使用个人信息录音信息最小必要评估规范.pdf" 是一份指导文档,旨在规范APP收集使用、管理和保护用户录音信息时的行为,确保符合最小必要性原则,以保护个人隐私并降低法律风险。这份规范适用于APP...
评论 36
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值