Android-APP隐私合规检测(开源)

已于 2024-12-10 19:09:50 修改
阅读量5.4k 收藏 46
点赞数 13
文章标签: android 测试工具 安全性测试 开源
于 2022-12-02 17:40:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40689436/article/details/128150235
版权
本文介绍了一种通过HOOK方法监控App底层隐私行为调用的技术方案,包括必要的环境配置步骤及工具使用方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

标准文件:
  1. App违法违规收集使⽤个⼈信息⾏为认定⽅法》
  2. 《移动互联网应用程序(App)收集使用个人信息自评估指南》
  3. 《关于开展纵深推进APP侵害用户权益专项整治行动的通知》工信部〔2020〕164
  4. 《移动互联网应用程序(App)系统权限申请使用指南》
  5. 《移动互联网应用程序(App)个人信息保护常见问题及处置指南》
  6. 《移动互联网应用程序(App)个人信息安全防范指引》
  7. 《常见类型移动互联网应用程序必要个人信息范围规定》
  8. 《GB/T 37964-2019 信息安全技术 个⼈信息去标识化指南》
  9. 《GB/T 35273-2020 信息安全技术 个⼈信息安全规范》
  10. 《中华人民共和国网络安全法》
  11. 《中华人民共和国数据安全法》
  12. 《中华人民共和国个人信息保护法》
  13. 《中华人民共和国消费者权益保护法》
  14. 《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》

       隐私合规越来越严,目前各大应用市场开放平台都有相应整改指引,只是针对功能的问题进行了整改指引,而底层隐私行为的调用需要通过hook方法去监控底层隐私行为调用。

参考(功能)小米开放平台vivo开放平台
底层(行为):需要通过HOOK接口才能实现,目前参考该方法亲测有效。
环境:
1.root手机
2.python
4.PC端frida(pip install frida / pip install frida-tools )  
注意:版本需要一致,可参考下文内容
一、查看手机的CPU架构类型
命令如下: 
adb devices
adb shell
getprop ro.product.cpu.abi

19189fd0735d5f4c516865ca881db100.png

手机是64位ARM处理器

 二、查看PC端的frida版本

命令:frida --version (python安装frida,可参考其他资料,此处不阐述)

d1b1964bc6dd2d931b06fa87f31b63b2.png

 三、下载frida-server(移动端)

下载地址:https://github.com/frida/frida/releases

d0782836ea7e5b3a5ee0293f26df39f3.png

 把frida-server-16.0.1-android-arm64下载到,路径D:\appSafetyEvaluation下解压,效果如下:

da5b5a6c197b4373701908f75f9d8d54.png

四、手机安装并运行frida-server

1.将frida-server推送至手机,解压后的frida-server-16.0.1-android-arm64的路径

adb push D:\appSafetyEvaluation\frida-server-16.0.1-android-arm64 /data/local/tmp/frida-server-16.0.1-android-arm64

2.查看手机下面的frida-server文件

命令:

adb shell
cd data/local/tmp

ab3cb7fca9c98bd405367403891939e0.png3.运行frida-server文件

./frida-server-16.0.1-android-arm64

注意:若运行不成功 chmod 777 frida-server-15.2.2-android-arm64

4.运行效果

784bcbcd91749b27e2dc4d6419a00b09.png

注意:手机不要关闭该cmd窗口 

五、借助camile工具监听app隐私行为调用

1.新建cmd窗口,进入camlie文件。如图:

85aee5c903564241364f97de0f0e36ac.png

 2.camlie.py文件,提供了多个参数,如图:(具体可参考MD文件)

python camille.py 包名 -ns -f demo01.xls
-ns:不显示日志
-f :保存未Excel,默认不保存

155ad356eb59c87384f15bc19d011a30.png

 

65a8943fa592d0a81dd36cb9cb2ef4c9.png7b8e6a423343c4b5b85e7d3975e482e6.png

 

 

 

罗圣修
关注
字节跳动开源隐私合规检测工具appshark
xiangzhihong8的专栏
09-12 4692
一、背景随着移动互联网的高速发展,人们的生产生活也逐渐从 PC 电脑端转移到手机等移动端,各类移动 App 也如雨后春笋般产生。受限于代码的开发质量等原因, App 中或多或少的会存在安全漏洞或因开发设计不谨慎引入的违规收集个人信息等合规风险,带着漏洞运行的 App 将严重威胁着网络及用户安全,合规问题则可能受到监管通报甚至存在下架处罚风险。因此,企业也在加大人力进行漏洞及合规风险挖掘并推进修复等相关工作,目前行业内普遍采用人工审计加自动化检测工具去发现风险。
Android应用隐私合规检测实现方案
weixin_40533164的博客
09-27 901
1、安装夜神模拟器安卓7.0版本,自带Xposed框架。
Android APP隐私合规检测工具Camille使用
Bird&Bird
03-16 4914
现如今APP隐私合规十分重要,各监管部门不断开展APP专项治理工作及核查通报,不合规APP通知整改或直接下架。camille可以hook住Android敏感接口,检测是否第三方SDK调用。根据隐私合规的场景,辅助检查是否符合隐私合规标准。
Android隐私合规检测
wang_yong_hui_1234的博客
06-01 4292
随着国内渠道市场对APP规范越来越严格,在我们APP上线前需要做好隐私协议以及权限检查。由于项目中可能接入了第三方SDK,由于第三方SDK在初始化的时候可能会调用设备的隐私信息,因此检查合规非常的重要。一般情况下在用户使用APP的时候,只有选中了隐私协议之后,才能调取隐私信息。现在一些第三方SDK已经做了处理,比如:友盟SDK添加了预初始化,在预初始化的时候不会调取隐私信息。1,使用VirtualXposed在手机上装了一下虚拟系统,这里可以直接安装VirtualXposed.apk就可以 https://
正式开源 无恒实验室推出 appshark 自动化漏洞及隐私合规检测工具
qq_53058639的博客
02-24 2449
appshark 除了实现行业普遍应用的数据流分析,还将指针分析与数据流分析融合,因而漏洞建模上更精准,规则更灵活,在误报率和漏报率方面有了比较大的改进。
开源app隐私合规监测工具AppScan
zhifanxu的专栏
10-27 1473
2、使用一台root的手机安装未加固的app,连接电脑;3、打开该软件AppScan,点击开始检测。1、下载安装该软件AppScan;
python+Android-APP隐私合规检测-模拟器操作
qq_40689436的博客
07-27 2344
App违法违规收集使⽤个⼈信息⾏为认定⽅法》《移动互联网应用程序(App)收集使用个人信息自评估指南》《关于开展纵深推进APP侵害用户权益专项整治行动的通知》工信部〔2020〕164《移动互联网应用程序(App)系统权限申请使用指南》《移动互联网应用程序(App)个人信息保护常见问题及处置指南》《移动互联网应用程序(App)个人信息安全防范指引》《常见类型移动互联网应用程序必要个人信息范围规定》《GB/T 37964-2019 信息安全技术 个⼈信息去标识化指南》
安卓端自行实现工信部要求的隐私合规检测(教你手写Xposed模块代码)
热门推荐
cjs1534717040的专栏
07-15 1万+
前言 之所以写这篇文章,是因为不久前,我们公司上架的app被打回来了。信通院那边出了个报告,里面说我们app未经授权就自动获取了手机的mac地址。当时其实是有点懵逼的,因为合规措施其实是已经做过了的,为什么还会出现这种情况呢?仔细看了一眼报告,发现了端倪: 出问题的是getHardwareAddress的调用。然后调用者是:cn.jiguang 这货不就是极光推送吗,那么应该是极光推送的调用部分出了问题。后来排查到JPushInterface.getRegistrationID这个方法在调用的时候就会走初
推荐开源项目:EasyPrivacy - 快速解决App隐私合规问题的Gradle插件
gitblog_00053的博客
06-10 541
推荐开源项目:EasyPrivacy - 快速解决App隐私合规问题的Gradle插件 EasyPrivacy一个帮助开发者快速解决整改问题的 Gradle 插件,来提 Feature!项目地址:https://gitcode.com/gh_mirrors/ea/EasyPrivacy 在当前数字化时代,用户隐私保护的重要性日益凸显,监管机构对应用程序的数据收集和处理提出了严格的规范。针对这一背...
Android 隐私合规检查工具套装
Gaga246的博客
04-15 1652
对于一套完整的隐私合规检查来说,动静结合是非常有必要的,静态用于扫描整个应用隐私 api 的调用情况,动态用于在运行时同意隐私弹框之前是否有不合规的调用,以下列出一些常规的检查方案:思维导图中 ✅ 打钩的部分都已经实现,后面会讲解这些方案适合应用在什么场景,他们之间有哪些优缺点。
一种基于行为链的 Android 应用隐私窃取检测方法
03-31
本文针对 Android 应用中普遍存在的用户隐私窃取问题 ,提出了基于行为链的应用隐私窃取行为检测 方法 ,该方法能细粒度地定位 Android 应用中存在的信息泄露源和信息泄露点 ,利用 WxShall 算法快速计算信息泄漏源 和信息泄露点之间的可达性 ,自动化地追踪 Android 应用中存在的隐私信息传递路径 ,实现了对 Android 应用中隐私窃 取行为的完整检测和分析 .对 1259 款应用检测结果表明 ,本方法正确性超过 95畅1% ,算法复杂度仅为 WarShall 算法的 5畅45% ,检测效果优于 Androgurad 和 Kirin .
基于uni-app的MIMC即时消息云免费聊天框架设计源码
最新发布
10-03
LICENSE文件确保了开源软件的合法合规使用;readme.txt提供了项目的基本介绍和使用指南;而SDK、demo和code则分别代表了软件开发工具包、示例程序以及代码库。 在技术实现方面,该框架充分利用了云开发的优势,这...
Python实现的Frida Android隐私合规检测工具源码
资源摘要信息: "本文件是关于一个使用Python和Frida技术开发的Android App隐私合规检测辅助工具的源码压缩包。该工具的目的是为了帮助开发者和安全研究人员评估Android应用程序是否符合相关的隐私保护法规和标准。" ...
应用隐私合规检测要怎么做?
dingxiang234的博客
06-28 603
总体来说,如果自己去做应用隐私合规检测,不大划算,如果找机构的话,一个是比较专业,另外一个则是会出具一份比较专业的报告,而且会得到一些比较专业的指导意见,性价比比较高。以上。如果需要比较专业的隐私合规检测服务,可以戳>>>隐私合规检测服务。
Android App】安全监测隐私权限工具及自测 图文详解
zaq977684的博客
09-07 8497
Android App安全监测隐私权限工具及自测,图文详解
Android App 合规检测
hsw
03-18 585
合规检测主要是对隐私API的无声明调用的筛选。
隐私合规检测方法
bajie_qujing的博客
07-13 8503
安全隐私协议合规检测
大数据时代下的App数据隐私安全
数据库技术
04-01 1752
随着信息技术快速发展,大数据为我们带来信息共享、便捷生活的同时,还存在着数据安全问题,主流商业模式下APP面临新的挑战。工信部持续开展APP侵权整治活动,进行了了六批次集中抽检,检查了76万款APP,通报748款违规APP,下架了245款拒不整改的APP。阿里云移动研发平台EMAS高度重视个人信息的保护,对设备权限获取遵循最小化原则,为用户构筑隐私保护的坚实防线。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值