APP、SDK未告知用户,私自收集用户个人信息的行为的检测方法

最新推荐文章于 2024-01-11 16:07:43 发布
最新推荐文章于 2024-01-11 16:07:43 发布
阅读量8.3k 收藏 32
点赞数 7
分类专栏: android相关 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq744746842/article/details/113579746
版权
背景

针对网络数据安全这一问题,工信部刚刚印发《电信和互联网行业提升网络数据安全保护能力专项行动方案》(下称“《方案》”) 。《方案》明确提出深化App违法违规专项治理,持续推进App违法违规收集使用个人信息专项治理行动,今年10月底前将完成全部基础电信企业(含专业公司)、50家重点互联网企业以及200款主流App数据安全检查。

问题及解决

但是目前针对app中使用的sdk的行为,测试人员是没有办法掌控的。因为没有办法通过抓包或者其他手段能够知道第三方的sdk到底有没有尝试去获取你的手机号码或者说mac地址等信息。

Android审核:用户授权前获取mac地址,imei等用户敏感信息的方法(工信部要下架APP)

这篇文章给出了很好的解决措施,需要通过 VirtualXposed 以及 VirtualXposed的一个模块(HookLoginDemo, 这个模块其实是由自己开发,来进行监听哪些应用或者说哪些方法使用的), 来解决这个事情。

步骤
  1. 下载 VirtualXposed以及HookLoginDemo 安全合规 密码: b9mp 分别进行安装后。
  2. 打开VirtualXposed, 添加待测的应用以及HookLogin到VirtualXposed中。

image

image

  1. 进入模块管理中,将新添加的HookLogin模块进行勾选,同时重启VirtualXposed;

image
注: 有些同学如果出现点击模块管理无法进入的情况,请确认下是否android版本过高,因为virtualXposed 支持android 5 -10 的版本
image

image

  1. 从VirtualXposed 中打开新添加的应用。

image

  1. 从android studio的logcat中过滤LogoinHook的字样,就可以看到对应的应用调用了哪些方法以及是哪些sdk进行调用的了
    image

更新 2021.07.28
很多同学留言说看不到日志 我重新试了下是可以的,只是说我当时用的apk是debug的版本 ,所以能够过滤出应用,正在使用的时候,用android studio 可以通过关键字过滤出来的,详细见下图

在这里插入图片描述

saii
关注
  • 7
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 36
    评论
专栏目录
android 行为采集,android自定义收集用户行为统计 (非常方便 可以自己拓展)
weixin_30691649的博客
05-26 578
EventCollect这是收集用户行为统计的代码reademe:需求::用于App统计用户行为 。 实际上就是监控所有事件 并把事件 发送到服务上去要求: 可以监控用户的所有行为,例如用户谁(没有登录的情况使用UUID),进入那个页面,进入的时间,在这个页面操作了什么(点击了那个按钮,或者是点击了列表那个列),离开页面时间,以及其他统计信息,例如版本号,手机系统版本,用户当前网络,用户位置,用户...
APP隐私合规自查之违规收集个人信息
wenzhouxinhe的博客
08-13 1056
在中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合针对APP隐私合规开展的整治活动中被报、下架的APP里,最为常见的问题之一,就是APP违规收集个人信息。 在APP违规收集个人信息的这一检测大点中,涵盖以下了较为常见几个检测小点: 1.在App中没有隐私政策,或者隐私政策中没有收集使用个人信息规则。(1、有隐私政策说明,2、隐私政策中有明确的收集使用个人信息规则) 2.在App首次运行时过弹窗等明显方式提示用户阅读隐私政策等收集使用规则...
APP以隐私政策弹窗的形式向用户明示收集使用规则未经用户同意存在收集Android ID、IMEI的行为。——YonStudio开发
最新发布
weixin_48902327的博客
01-11 2273
1、在首页加载之前弹出想要在首页加载之前显示隐私政策提示框,需创建一个 privacy.stml 文件放置在项目pages/privacy 目录下。官方提供了对应的文件,只需要放在pages下即可,在页面修改对应内容即可。注意:隐私协议弹窗页面中如果要打开新的页面(隐私详情页),也需要使用本地stml 页面。示例:2、在首页加载之后弹出当应用启动时若检测到 privacy.stml 文件不存在,则会正常加载首页,前端可在首页弹出隐私政策提示框,在用户同意隐私政策协议之前版本和云修复检测会被延后。
HBuilderX日常踩坑之隐私合规检测
旭日跑马踏云飞的专栏
10-27 5512
各位app发布者,在开发和测试顺利过后,却总是卡在隐私合规检测环节,改,发布,改,发布,不胜其烦。就没有一个地方明确告诉大家该怎么玩。
移动应用中的第三方SDK隐私合规检测,早知道
热门推荐
华为云官方博客
02-21 3万+
https://bbs.huaweicloud.com/blogs/329427?utm_source=csdn&utm_medium=bbs-ex&utm_campaign=paas&utm_content=content
安卓APP:隐私合规检测常见问题建议总结
APP操盘手
05-24 6507
1.1 违规收集个人信息 1).APP隐私政策必须非常清楚、全面地说明(不要用可能收集、了解用户信息这种模糊不清晰的词语)收集用户个人信息的目的、方式和范围,用户个人信息包括但不限于mac地址、设备序列号、imei、imsi、软件安装列表、通讯录信息、短信信息等。 清楚的写明收集的信息 2).在用户浏览完隐私政策并点击同意按钮前,APPSDK不要有任何收集行为或者关联动作,例如和服务器之间发送或者接收信息的行为。 3).隐私协议用户同意环节,必须明确使用同意”、“拒绝/不使用”按钮,不要使用“好的”、
APP上架因收集个人信息问题被拒绝该怎么解决?
ff_888888的博客
07-15 3469
APP首次启动一定要先弹出《隐私政策》、《用户协议》,并提供同意或拒绝按钮,等用户同意后,再初始化第三方sdk (地图、推送等),这些第三方服务常会涉及到收集个人信息用户同意前,不能触发任何收集个人信息的代码。...
2020 APP收集使用个人信息位置信息最小必要评估规范.pdf
05-18
《2020 APP收集使用个人信息位置信息最小必要评估规范》是针对移动应用程序(APP)在处理用户位置信息时的一项重要指导文件。该规范由电信终端产业协会发布,旨在规范APP开发者和运营者的行为,确保他们在收集使用...
2021 APP收集使用个人信息房产信息最小必要评估规范.pdf
05-18
《2021 APP收集使用个人信息房产信息最小必要评估规范》是针对移动应用软件在处理用户房产信息时的合规性指南。这份规范旨在确保APP开发者和运营商在收集使用、存储、保护、共享和转移房产信息时遵循最小必要性...
App违法违规收集使用个人信息行为认定方法.pdf
06-09
App违法违规收集使用个人信息行为认定方法.pdfApp违法违规收集使用个人信息行为认定方法.pdfApp违法违规收集使用个人信息行为认定方法.pdfApp违法违规收集使用个人信息行为认定方法.pdfApp违法违规收集使用个人信息...
APP收集使用个人信息最小必要评估规范与APP用户权益保护测评规范.zip
06-30
APP收集使用个人信息最小必要评估规范 总则 位置信息 图片信息 终端通讯录 设备信息 软件列表 人脸信息 录像信息 APP用户权益保护测评规范 超范围收集个人信息 定向推送 个人信息获取行为 权限索取行为 违规使用...
2020 APP收集使用个人信息人脸信息最小必要评估规范.pdf
05-18
《2020 APP收集使用个人信息人脸信息最小必要评估规范》是针对移动应用软件在处理人脸信息时应遵循的法规和标准。这份规范旨在保护用户的隐私权,确保APP收集使用人脸信息时遵循最小必要原则,从而提高整体的...
APP违法违规收集使用个人信息行为认定方法
天在等我,菜鸟想飞
07-04 743
解读:第一种情况,隐私政策说明某场景的收集使用目的、范围;解读:收集个人“敏感数据”时(银行卡,身份证号,行踪轨迹),同步告知收集目的,告知的方式不仅限于弹窗,只要能明显的显示出来即可。解读:如果用户自主同意基于该等目的收集信息的,App仍可以收集,但是用户同意的,App不得强制收集或拒绝提供业务功能。在打开软件后,会存在收集用户手机号码、IMEI、IMIS、设备定位、照片、媒体、文件权限时,要同步告知目的。解读:电话、位置、通讯录、相册、存储、相机要求一起同意,不同意无法使用app,这种情况不合规。
Dcloud开发引用第三方sdkapp小程序扫盲---使用第三方sdk并且打包
EK306的博客
12-05 5095
经过前几次的文章,app基本成型。运行在手机里应该就能正常使用了。 那么如何引用第三方sdk呢? 难道在hbuilder里面弄个文件夹放jar包么? 显然不是。dcloud本省有集成了部分sdk 但是大部分并没有。与apicloud相比,内置sdk的组件太少了。我的同事用apicloud直接引用apicloud官方提供的模板很快就能把功能实现。dcloud里你要是使用官方没集成的sdk就只能“
隐私合规综合实践
chuyouyinghe的专栏
02-15 1268
1.1 遇到问题说明国内对应用程序安全隐私问题监管变的越来越严格。各个应用市场对APP上架也有比较严格的检查。出现隐私合规安全问题主要有哪些呢?在用户同意隐私协议之前,不能有收集用户隐私数据的行为。例如,在用户同意之前不能去获取 Android ID、Device ID、MAC 等隐私数据在用户同意隐私协议之后,搜集用户隐私数据的行为不能超出实现服务场景所必需的最低频率。
我们发现您的应用在用户同意隐私政策前申请获取用户个人信息(IMEI, 设备ID, 用户应用安装列表, MAC地址用户数据)
Joseph的博客
09-22 1万+
一、需求 解决应用上架问题 过度获取用户信息 我们发现您的应用在用户同意隐私政策前申请获取用户个人信息(IMEI, 设备ID, 用户应用安装列表, MAC地址用户数据) 自"滴滴"事件后,为避免该类事件,App的上架变的严格起来。上架经常已“过度获取用户信息/请在用户同意用户协议和隐私政策后获取用户隐私” 二、错误方法 第一次遇到需要已弹窗的形式让用户同意用户协议和隐私政策,自行手敲了一个隐私政策弹窗,但是在华为应用平台无论如何怎么都过不了 三、解决方法 首先碰到此问题请更新到Hbui
uniapp权限
qq_45193707的博客
03-20 943
1.APP以隐私政策弹窗的形式向用户明示收集使用规则未经用户同意存在收集IME1、设备MAC地址和软件安装列表、通讯录短信行为。2.APP用户明示SDK收集使用规则未经用户同意SDK存在收集IME1、设备MAC地址和软件安装列表、通讯录短信行为
【Android App】安全监测隐私权限工具及自测 图文详解
zaq977684的博客
09-07 7797
Android App安全监测隐私权限工具及自测,图文详解
adb 禁用手机系统的更新
saii的专栏
03-31 1万+
云真机的平台的android手机设备,有的时候会出现被测试人员误操作而导致手机系统被升级的情况,所以专门去网上了解了下,如何过adb的方式禁用系统的升级以及升级弹窗 华为 adb shell pm disable-user com.huawei.android.hwouc adb shell pm enable com.huawei.android.hwouc vivo adb shell pm disable-user com.bbk.updater adb shell pm enable c.
使用Frida检测App中所有获取用户隐私信息的行为
06-07
好的,我可以为您解答这个问题。首先,您需要在手机上安装Frida工具,然后使用Frida对要检测App进行Hook,以便在运行时拦截和修改App行为。以下是一些步骤: 1. 首先,在您的PC上安装Frida工具和Python环境(可以使用pip来安装Frida库)。 2. 接着,在手机上安装Frida-Server,并启动它。 3. 使用Frida-Client连接到Frida-Server: ``` frida -U -f com.example.app --no-pause ``` 其中,com.example.app是要检测App的包名。 4. 使用Frida-Script编写Hook脚本,拦截和修改App行为。以下是一个可以检测App获取用户隐私信息的示例脚本: ```javascript Java.perform(function() { var Activity = Java.use('android.app.Activity'); Activity.startActivity.overload('android.content.Intent').implementation = function(intent) { // 在启动Activity之前,检查intent是否包含隐私敏感信息 if (intent.getExtras().containsKey('user_privacy_info')) { // 记录App获取隐私信息的行为 console.log('App获取用户隐私信息:', intent.getExtras().get('user_privacy_info')); } // 继续正常启动Activity this.startActivity(intent); }; }); ``` 在这个示例脚本中,我们使用Java.perform()来获取Activity类,并重写了它的startActivity()方法。在重写方法中,我们检查intent是否包含名为'user_privacy_info'的额外信息,如果包含,则记录下来,否则继续正常启动Activity。 当App启动新的Activity时,这个Hook脚本就会被触发,如果intent包含'user_privacy_info'信息,就会输出一条日志,记录下App获取用户隐私信息的行为。 希望这个回答能够帮助您解决问题。
评论 36
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值