知乎 Android 客户端三方库敏感代码扫描机制 - FindDanger

最新推荐文章于 2023-03-13 20:00:46 发布
最新推荐文章于 2023-03-13 20:00:46 发布
阅读量630 收藏
点赞数
文章标签: Android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43093708/article/details/83217193
版权
本文介绍了知乎Android客户端的FindDanger机制,这是一套用于扫描第三方库中敏感代码的工具,旨在保护用户隐私。文章详细阐述了FindDanger的工作原理,包括创建自定义Lint规则的五个步骤,并展示了其在实际操作中的应用和效果。通过FindDanger,团队能有效检测和防止隐私数据泄露,确保应用符合安全标准。
摘要由CSDN通过智能技术生成

背景

知乎非常重视用户隐私数据的保护,安全团队一直在为此提供各种保护机制;另外国内外一些知名的 Android 商店,如 Google Play 等也会针对用户隐私数据进行一系列的上架审核,一旦出问题会被严重警告甚至下架。为全面保护用户的隐私数据,同时避免被商店拒审或下架的风险,Android 移动平台团队建立了一套敏感代码扫描机制,取名为 FindDanger。

FindDanger 简介

在 App 开发过程中,对于自己的代码中涉及用户隐私的部分很容易约束,但对于 App 中引用的第三方库是否会有此类行为就无法知晓了。对于这种情况,FindDanger 机制应运而生,FindDanger 是一套敏感代码扫描机制,主要用于扫描第三方库是否存在获取用户隐私之类的高风险行为。

PS :有兴趣的加入Android工程师交流QQ群:752016839 主要针对Android开发人员提升自己,突破瓶颈,
相信你来学习,会有提升和收获。

机制介绍

整个机制的运行过程如下图所示:

 

image.png

 

由于我们使用 GitLab + Jenkins 进行代码管理和持续集成,所以普通的工程师也可以很快上手,具体的流程如下:
首先,工程师提交检测 jar 包的 merge request 后,会触发 Jenkins 上的扫描任务,扫描结束将报告链接发送给 GitLab 的 merge request 页面,如下图所示:

 

image.png


然后,点击页面中的链接打开报告,如下图所示:

image.png

 

最后,移动平台的工程师对报告进行分析,并给出使用意见。

规则支持

目前 FindDanger 支持下列检测规则,其中危险级别的数值越大越危险:

  • StealAPPListClazz 读取设备已安装的 App 列表 10
  • StealRunningList 读取设备正在运行的 App 列表 10
  • RuntimeCommand 通过 Runtime 接口执行终端命令 10
  • StealAddressList 读取通讯录信息 10
  • StealAccount 读取设备账号信息 9
  • StealBluetoothInfo 读取设备的蓝牙信息 5
  • StealNFCInfo 读取设备的 NFC 信息 5
  • StealSensorInfo 读取设备的传感器信息 5
  • StealTelephonyInfo 读取设备的电话信息 5
  • StealWifiInfo 读取设备的 WIFI 信息 5

FindDanger 原理之自定义 Lint 规则

从生成的报告可以看出,FindDanger 是利用 Android Lint 进行代码扫描的,而这之中最关键的就是如何自定义 Lint 规则以满足我们的需求。
Android Lint 规则会打包到一个 Jar 包中,所以自定义规则主要有五

最低0.47元/天 解锁文章
北辰丶
关注
Android静态代码扫描效率优化与实践,大厂Android开发面试解答
wa32saa的博客
01-20 818
通过对Task耗时排序,主要的耗时体现在FindBugs和Lint对每一个Module的扫描任务上,CheckStyle任务并不占主要影响。整体来看,除了工具本身的扫描时间外,耗时主要分为多Module、多Variant带来的任务数量耗时。 优化思路分析 对于工具本身的扫描时间,一方面受工具自身扫描算法和检测规则的影响,另一方面也跟扫描的文件数量相关。针对源码类型的工具比如CheckStyle和Lint,需要经过词法分析、语法分析生成抽象语法树,再遍历抽象语法树跟定义的检测规则去匹配;而针对字节码文件的工.
android静态代码扫描,Android 静态代码扫描流程及工具说明
weixin_35578748的博客
05-26 1696
1. 静态扫描流程1.1 版本发布流程大致分为5个阶段,静态代码扫描的工作在第3步进行,如图:版本发布流程图1.2 典型案例分析[空指针]空指针引用[内存泄露]Stream资源关闭[性能]使用indexOf(字符)[兼容]系统API兼容性隐患[越界]数组下标越界隐患[异常] 使用除法或求余没有判断分母长度隐患[SQL]注入风险[应用安全] AndroidMannifest.xml文件中allowB...
android扫描代码
hzp666的博客
08-28 527
如果看代码不明白也可以下载视频例子查看 这个开源项目可以扫描一维,和二维码, 一维码指的是书后面的条形码 首先配置ZXingAndroid工程 项目本身非常大,我们只需使用精简版的 导入之后 TestQRcode 项目作为被其他项目使用。 BarCodeTestActivity package com.ericssonlabs; impor
android静态代码扫描,android 静态代码扫描
weixin_29111593的博客
05-26 265
开始做这样一个东西是为了帮助开发减少代码方面的问题,提高代码质量,减小以后上线的风险。前面看了 360 的那个静态代码扫描感觉很强大,但目前没这实力去做成这样,希望早日开源,多多学习。所以就先用开源的也能解决下问题。怎么来的开始做是想直接使用 sonar 自带的 android 静态代码扫描,但后面发现不是很好用,而且 sonar 对于移动端的扫描能力好像也不是很强。后面在逛 github 时发现...
Android代码-知乎Android客户端启动页的视差动画效果实现
08-08
知乎 Android 客户端启动页的视差动画效果实现 Blog 【Parallax Animation】实现知乎 Android 客户端启动页视差滚动效果 Declaration 项目中图片等素材均取自于知乎 Android 客户端,仅作学习交流之用,请勿用于...
Android-知乎专栏API分析第三方知乎专栏Android客户端
08-13
Android平台上,开发一款知乎专栏客户端需要深入了解Android开发技术,特别是网络请求、数据解析和UI设计等方面。"Android-知乎专栏API分析第三方知乎专栏Android客户端"这个项目旨在提供一个实战案例,帮助开发者...
Android-ReadBar仿知乎日报Android客户端
08-13
Android-ReadBar仿知乎日报Android客户端】 ReadBar是一款基于Android平台的应用程序,它模仿了知名知识分享平台知乎日报的用户界面和功能。这个项目旨在为开发者提供一个学习和实践Android应用开发,特别是UI...
ZhihuDaily_Android:简易的知乎Android客户端
06-16
ZhihuDaily_Android ####学习安卓开发的第一个Demo,目标是了解Android开发的基本流程,很多Android的东西不熟悉,边搜边做的一个Demo工程。完善中! ###效果如下:
Android静态代码扫描效率优化与实践,看完这篇
m0_66264673的博客
02-17 2056
scope.add(PROGUARD_FILE) } else if (name.endsWith(DOT_PROPERTIES)) { scope.add(PROPERTY_FILE) } else if (name.endsWith(DOT_PNG)) { scope.add(BINARY_RESOURCE_FILE) } else if (name == RES_FOLDER || file.parent == RES_FOLDER) { scope.add(ALL_RESOURCE_FILES) s
AdsVulnerablilty:检测Android三方使用的危险权限
05-08
#检测Android三方使用的危险权限###侯赛因·阿尔·鲁巴伊(Hussein Al Rubaye) ## Abstract Android危险许可,这是Android开发人员最重要的安全入口。 因为它包含对用户隐私信息的访问,例如(用户位置,电话,照片,SMS,联系人,麦克风和摄像头)。 开发人员必须确保此信息不被任何人使用。 属于Android应用程序的第三方可以访问与授予该应用程序相同的权限。 为防止第三方使用用户应用程序权限,我们构建了可帮助Android开发人员通过搜索深层代码来检测第三方使用的权限的工具。 我们测试了15个,并找到了在该中使用的危险许可。 结果,我们将此权限分为两种类型的符号。 首先,对于没有危险的理由而使用危险权限的,我们使用“ X”表示。 其次,对于有说服力的理由使用危险权限的,我们使用“ O”表示。 ##介绍 Android是开放源代
基于敏感权限及其函数调用图的Android恶意代码检测
01-20
为了有效地检测 Android 平台上的恶意软件,提出了一种基于敏感权限及其函数调用 流程图的静态综合检测方法.通过对恶意软件进行逆向工程分析,构建了包含恶意代码敏感权 限与函数调用图的特征.并采用 Munkres 匈牙利算法计算待测样本与特征在相同敏感权 限下两个函数调用图之间的编辑距离,得到两个函数调用图之间的相似性,进而得到两个应用 程序之间的相似性,据此对恶意软件进行检测识别.实验结果表明,该检测方法具有较高的准 确性与有效性,检测效果明显优于工具 Androguard.
检测移动端内存敏感数据方法(安卓)
qq_30237715的博客
08-25 1580
一、背景: 有时因为手机端应用程序备案的需求,需要将手机内存中存储的应用敏感数据进行脱敏或加密处理,我们再验证是否符合要求时,需要通过工具和技术去测试。 二、测试步骤: 1、PC端上安装android sdk并且设置好环境变量,网上资料很多,不再详述; 2、命令行执行ddms,打开窗口,左侧列表中找到被测应用的名称并选中; 3、在手机或模拟器上操作相应的页面(这个页面中的数据就是你要检测是否在内存中加密处理了),操作完成以后,点击窗口左上角的Dump HPROF file按钮,将文件导出; 4、对导出的文
科学收集并分析Android用户敏感信息实战
不积跬步,无以至千里;不积小流,无以成江海。
10-27 708
为一名Android开发者,经常会接到项目经理提出的收集用户信息的需求,而且对于普通开发者来说,也需要收集一些真实用户的信息来辅助开发或者进行优化。
别让引入的 SDK 和第三方导致您应用被下架!
谷歌开发者
05-14 622
或许您的应用正在使用一些第三方 SDK 或者代码,毕竟 "站在巨人的肩膀上" 比从头开始最基础的应用开发更节省时间。作为应用开发者,您需要为应用的整体情况负责,包括用户体...
条形码、二维码扫一扫和生成二维码采用ZXing3.0开源android studio中实现
牵手生活
05-12 9360
在开始之前先给各位上个运行效果图 二维码QRcode全称Quick Response Code 通过在一个矩形区域内使用黑白像素来进行编码 高纠错性、高可用性、高识别性 四周面有3个大的方框和一个小的方框,用于二维码的定位。通过识别这几个标识位来定位二维码,并对它进行
android 扫码 第三方,Android sdutio配置Zxing进行扫码功能的实现方法
weixin_35748962的博客
05-26 445
最快的调用Zxing方法1.关联第三方2.调用基础的扫码3.获取返回值具体代码如下://1.默认选项启动意图new IntentIntegrator(MainActivity.this).initiateScan(); // `this` is the current Activity//2.获取得到的结果:@Overrideprotected void onActivityResult(int...
Github敏感信息自动扫描
NewTyun的博客
08-17 1960
‍‍新钛云服已为您服务1230天日常工作中,运维和开发同事通常会有自己的Github账号,用来上传自己编写的代码或存放博客文章、笔记等资料,有时会不经意的把公司或客户的敏感信息上传到Git...
敏感词“智能”检测(代码和完整文档在最后)
最新发布
5akura's Blog
03-13 339
知识分享-敏感词检测
深度解析:仿知乎日报Android客户端开发技术全览
资源摘要信息:"本资源是一个结合了知乎日报和凤凰新闻特点的资讯客户端Android应用的开源代码。该应用在实现上采用了多种流行的Android开发技术栈,具体知识点如下: 1. **Volley+OkHttp3网络通信框架** - Volley...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值