Android app 首次运行违规读取 Mac 地址定位方法

最新推荐文章于 2024-02-27 17:17:16 发布
最新推荐文章于 2024-02-27 17:17:16 发布
阅读量8.8k 收藏 9
点赞数 5
分类专栏: Android 文章标签: android mac地址 违规 工信部 隐私
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tyyj90/article/details/111307060
版权

通常意义上来说,app 可以读取 mac 地址,但仅限于用户已经阅读了隐私内容,并且隐私内容中也告知了用户,app 会运行期间采集 wlan mac 地址等信息。所以如果没等用户同意隐私政策中的内容,就开始提前读取 mac 地址,这是不合法的行为。工信部抽查中如果发现此类行为,app 会被通告整改,整改不力的将强制从应用市场下架,后果还是很严重的。

但这里忽略一个问题,如果我们的 app 本身代码没有读取 mac 地址,那如何是好?自己的代码心中有数,实在不行可以全局搜索,如果第三方库偷偷摸摸的读取 mac 地址,这问题解决起来就有点棘手了。首先我们要复现出来确实存在读取 mac 地址的行为,这里最好的办法就是直接在 android framework 和 Linux kernel 层面截获读取 mac 地址的信息。当然还可以通过安装 VirtualXposed 的方法来定位。

我这里使用 NanoPC-T4 单板搭载 Android 8.0 系统进行实验,对于有android源码来说才能这样定位问题,如果只是 app 开发者,建议参考使用VirtualXposed的方法。

一、获取 mac 地址

你要截获获取 mac 地址信息,当然先要知道哪些接口可以读取 mac 地址,可以在调用接口处加入 log 输出。

1.方法一

先拿到 WifiManager,接着获取到 WifiInfo,通过 WifiInfo 对象的 getMacAddress() 方法得到 mac 地址。

WifiManager wifi = (WifiManager) context.getSystemService(Context.WIFI_SERVICE);
WifiInfo winfo = wifi.getConnectionInfo();
String mac =  winfo.getMacAddress();

2.方法二

使用 cat 命令,或者其他方式读取 /sys/class/net/wlan0/address 节点或 /sys/class/net/eth0/address 下的 mac 地址信息。

cat /sys/class/net/wlan0/address
cat /sys/class/net/eth0/address

二、截获获取 mac 地址方法

以下代码中+号表示需要增加的代码。

1. WifiInfo getMacAddress()

对于通过 WifiInfo 对象的 getMacAddress() 方法得到 mac 地址的方法,在 framework java 类 WifiInfo 中直接写入 log,可以清楚的知道那个 app 调用了此接口。

/frameworks/base/wifi/java/android/net/wifi/WifiInfo.java

...
+ import android.util.Log;
...
    public String getMacAddress() {
+        Log.d(TAG, "getMacAddress mac=" + mMacAddress, new RuntimeException("lhw"));
        return mMacAddress;
    }

这会直接打印出调用堆栈的。比如下面是系统进程在调用(system_process) getMacAddress 方法。

2020-12-08 10:56:13.166 490-810/system_process D/WifiInfo: getMacAddress mac=d4:12:43:86:69:88
    java.lang.RuntimeException: lhw
        at android.net.wifi.WifiInfo.getMacAddress(WifiInfo.java:478)
        at com.android.server.wifi.WifiStateMachine.syncRequestConnectionInfo(WifiStateMachine.java:1781)
        at com.android.server.wifi.WifiServiceImpl.getConnectionInfo(WifiServiceImpl.java:1752)
        at android.net.wifi.IWifiManager$Stub.onTransact(IWifiManager.java:320)
        at android.os.Binder.execTransact(Binder.java:697)

2. cat 节点

这要花一些功夫,要到 Linux 内核中找到供读取节点实现的方法。最后可以查到要在 net-sysfs.c 中相应修改。

kernel/net/core/net-sysfs.c

/* use same locking rules as GIFHWADDR ioctl's */
static ssize_t address_show(struct device *dev, struct device_attribute *attr,
			    char *buf)
{
	struct net_device *ndev = to_net_dev(dev);
	ssize_t ret = -EINVAL;

	read_lock(&dev_base_lock);
	if (dev_isalive(ndev))
		ret = sysfs_format_mac(buf, ndev->dev_addr, ndev->addr_len);
	read_unlock(&dev_base_lock);
+    printk(KERN_ALERT "mac address_show");
	return ret;
}

编译系统整体烧写一下,再来运行app查看是否存在读取 mac 地址违规的问题。下面 mac address_show 这句 log 就表示有 app 读取了获取 mac 地址的节点了。下面的 Log 是通过串口读取的。
在这里插入图片描述

三、总结

真实排查过程中发现,经过 360 加固后,首次运行 app 必现读取 mac 地址,当然这是违规行为了!最后更换为腾讯加固再试,问题得以解决。

另外,我们使用的第三方sdk一定要注意,比如友盟在它的开发文档中有提到如何使用才能合规,我们需要参照 sdk 的指导去使用。

最后,保护个人隐私任重而道远,需要开发者和监管部门共同努力!

参考资料:

1.https://blog.csdn.net/chaozhung_no_l/article/details/78329371

2.https://www.jianshu.com/p/84127032d15a

Android 检测获取 Mac 权限
qq_38315348的博客
01-02 3548
零蚀 前言 一个月黑风高的夜晚,一个苦逼的程序员,因为mac权限问题,应用被打回,然被召唤到公司加班,被监督到凌晨四点,然后测试到12点才被放行。好在就这一次,再来一次,我肯定要裂开了。 为什么有mac权限的问题,因为像友盟,360加固等第三方工具在我们不知情的情况下偷偷调用mac权限,但是现在工信部禁止这种操作。不允许用户不知情情况下偷偷调用mac,imei权限,不允许点击不同意权限后,不让用户进入应用etc.。 测试工具 这里我找到了一个可以测试出哪些应用在后台偷偷调用我们.
Android获取Mac地址-适配所有版本
duanchuanzhi的博客
07-09 4052
转载地址:https://blog.csdn.net/chaozhung_no_l/article/details/78329371 DEMO下载地址:https://download.csdn.net/download/duanchuanzhi/10530037 最近由于项目需要MAC地址的记录,搞了一个通用的适配类,目前经过测试可以适配Android所有版本,我测试过的设备系统Androi...
android 11 第三方apk获取wifi mac地址
sunzhi12的博客
02-02 868
【代码】android 11 第三方apk获取wifi mac地址
我们发现您的应用在用户同意隐私政策前申请获取用户个人信息(IMEI, 设备ID, 用户应用安装列表, MAC地址用户数据)
Joseph的博客
09-22 1万+
一、需求 解决应用上架问题 过度获取用户信息 我们发现您的应用在用户同意隐私政策前申请获取用户个人信息(IMEI, 设备ID, 用户应用安装列表, MAC地址用户数据) 自"滴滴"事件后,为避免该类事件,App的上架变的严格起来。上架经常已“过度获取用户信息/请在用户同意用户协议和隐私政策后获取用户隐私” 二、错误方法 第一次遇到需要已弹窗的形式让用户同意用户协议和隐私政策,自行手敲了一个隐私政策弹窗,但是在华为应用平台无论如何怎么都通过不了 三、解决方法 首先碰到此问题请更新到Hbui
uniapp获取安卓设备的mac地址,获取蓝牙的mac地址,获取和设置媒体音量,获取移动网络信号强度
最新发布
weixin_44749255的博客
02-27 2230
【uniapp开发安卓应用】uniapp获取安卓设备的mac地址,获取蓝牙的mac地址,获取和设置媒体音量,获取移动网络信号强度
android隐私违规获取问题处理 及 Hook拦截处理记录 (VirtualXposted/epic等)及 android/iOS 多bundle加载方式修复方案
iOSTianNan的博客
07-08 5554
最近公司启动了隐私合规检测,报告告知我们在用户未同意隐私协议前,我们APP提前获取了WIIF/SSID/Mac地址等信息,不合规需要处理 (就是在同意前以及拒绝后, 不进行某些SDK的初始化…,能在非root情况下掌控自己进程空间内的任意Java方法调用, 主要的就是用框架进行hook, 来抓取系统函数调用, 追踪三方SDK的启动情况/函数调用等。在尽量不改动原版功能的基础上,做好隐私协议的前置(在各种RN组件/三方组件加载前),不同意就多次确认后,退出APP, 基本上就是这种思路。
APP上架市场隐私政策被拒(关于未经用户同意收集用户信息)
qq_43603312的博客
08-27 6106
问题 问题主要就是类似这种的APP本身或SDK未经用户同意收集用户信息或未明示收集的目的违规收集的 针对以上问题,不进行整改市场将根据工信部相关文件规定下架应用。 解决: 下面是就我个人整改的方案进行总结: 查看项目所用的所有三方SDK,在隐私政策里进行相关的说明(使用目的 获取的权限等信息) 用户初次安装后,在隐私弹窗里用户点击确定之前不获取用户信息,App本身和第三方都不可以获取,信息包括MAC地址、软件安装列表、IMEI等。 3.友盟SDK必须升级进行预初始化,根据文档修改。 针对第二点
您的应用审核未通过,在用户同意隐私政策前,您的应用获取了用户的ANDROID ID
Pou321的博客
08-16 6735
您的应用审核未通过。在用户同意隐私政策前,您的应用获取了用户的ANDROID ID,不符合华为应用市场审核标准。修改建议:请在用户同意隐私政策后,再申请获取用户个人信息及权限。请参考《审核指南》第7.5相关审核要求:https://developer.huawei.com/consumer/cn/doc/50104 APP常见个人信息保护问题FAQ请参考: https://developer.huawei.com/consumer/cn/doc/distribution/app/FAQ-faq#h2..
APP、SDK未告知用户,私自收集用户个人信息的行为的检测方法
saii的专栏
02-03 8794
背景 针对网络数据安全这一问题,工信部刚刚印发《电信和互联网行业提升网络数据安全保护能力专项行动方案》(下称“《方案》”) 。《方案》明确提出深化App违法违规专项治理,持续推进App违法违规收集使用个人信息专项治理行动,今年10月底前将完成全部基础电信企业(含专业公司)、50家重点互联网企业以及200款主流App数据安全检查。 问题及解决 但是目前针对app中使用的sdk的行为,测试人员是没有办法掌控的。因为没有办法通过抓包或者其他手段能够知道第三方的sdk到底有没有尝试去获取你的手机号码或者说mac
Android 获取本地MacAndroidId
森森先生的博客
07-14 629
fun getMac(context: Context): String { val wm = context.applicationContext.getSystemService(Context.WIFI_SERVICE) as WifiManager; val wi = wm.connectionInfo if (wi?.macAddress == null) { return “” } return if (“02:00:00:00:00:00” == wi.macAddress.trim()) {
Android审核:用户授权前获取mac地址,imei等用户敏感信息的方法工信部要下架APP)加固信息
u010194271的博客
05-31 3228
方法可以用来大家自己检测自己的app是否非法调用了用户信息。 前言 由于开发的公司的APP工信部警告,有违法手机信息,APP隐私政策弹窗前,非法收集用户信息,mac地址。 排查过程 通过抓包我们确认没用在弹出隐私条款前,发送类似的接口上报敏感信息,后和工信部电话沟通确认是只要你有调用getMacAddress此方法,就认定为非法的,即使你没有上报。所以就想怎么抓取那些sdk调用了getMacAddress,下面就是找方法的过程。。。N+1小时后,我确定是360加固额外获取了这些信息。 确定方案.
获取Android手机的MAC地址 MacAddressUtil
zhongruichun的博客
08-02 984
由于手机和系统的差别获取手机mac地址还是有点麻烦的 import android.content.Context; import android.content.pm.PackageManager; import android.net.wifi.WifiInfo; import android.net.wifi.WifiManager; import android.os.Bui...
华为应用市场上传APP失败多次因为:您的应用在用户同意隐私政策前申请获取用户的(MAC地址)个人信息。
点滴之路的博客
05-18 4556
因为您的应用在用户同意隐私政策前申请获取用户的(MAC地址)个人信息。原因APP审核失败多次,后面发现一个方法挺好用的,记录一下: 1.手机先安装xposed,也就是虚拟系统,务必使用我提供的xpose的apk,不然你可能出现安装的xpose虚拟apk以后,在选择安装软件的时候,会出现不支持32位安装,这样就无法测试,这时你只能选择32位还是64位的Xposed; 2.安装sherlock apk,直接安装手机,具体apk地址github地址是:https://github.com/AbandonCod
android获取Mac地址和IP地址
djh10000的博客
12-30 113
获取Mac地址实际项目中测试了如下几种方法:(1)设备开通Wifi连接,获取到网卡的MAC地址(但是不开通wifi,这种方法获取不到Mac地址,这种方法也是网络上使用的最多的方法) //根据Wifi信息获取本地Mac public static String getLocalMacAddressFromWifiInfo(Context context){ ...
Android WebView违规获取MAC地址解决方案
分享Android开发知识
06-11 3843
一、需求背景 最近app的合规检查特别的严格,app在同意隐私协议之前不允许获取用户的隐私信息,但是很多的隐私合规都是写在H5中的,通过webview打开h5会获取mac地址,所有要想通过合规检查就必须让webview打开h5的时候获取不到mac地址。 二、解决方案 1.方案思路 经过多种的尝试最后想到了解决方案,既然是去获取了MAC地址,必定要调用系统的API,那么只要去HOOK系统的方法在获取mac地址的时候返回空字符串就可以了。 2.代码实现 object HookMacAddressUtils {
Android mac地址获取的方法小结及可能出现的问题
热门推荐
卡小基的博客
10-11 2万+
这段时间项目遇到个问题,客户把移动设备回厂修理后再安装我们的项目,运行会报错。后来经过我仔细排查发现一个很诡异的问题,就是无法获取mac地址了。于是我仔细把获取mac地址的一些资料看了看,加上一些调试,总算是解决了这个问题。现在决定把这块小结下,以免再次遇到问题。      mac地址又称为物理地址,和ip地址不同的是,mac地址由网卡决定,也就是一个设备只能有一个mac地址,所以经常作为唯一标
Android wifiMac地址显示异常坑
郑敏
09-10 4085
主要介绍Android p之后wifi设备mac地址获取因为不同厂商对源码进行裁剪 具体还是需要去看源码 主要包括WifiSettings,WifiInfo,WifiConfiguration,WifiManager这些类去查找。
Android违规收集个人信息问题修改
FrancisBingo的博客
08-10 1957
一、何为违规收集个人信息 根据国家网信办等四部门联合发布《App违法违规收集使用个人信息行为认定方法》(下称《方法》),为App运营者自查自纠和网民社会监督提供指引,明确9种行为可被认定为“未经用户同意收集使用个人信息”以下几点需要注意, 1.在App中没有隐私政策,或者隐私政策中没有收集使用个人信息规则; 2.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则; 3.隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到; 4.隐私政策等收集使
App隐私合规注意事项和相关材料
南风的专栏
09-19 3673
关于开展纵深推进APP侵害用户权益专项整治行动的通知(工信部信管函〔2020〕164号)https://www.miit.gov.cn/xwdt/gxdt/sjdt/art/2020/art_c229d4f7d84041be84ff51824c32cf89.html。《信息安全技术个人信息安全规范》https://www.isccc.gov.cn/zxyw/fwzzrz/fwzzrzzn/images/2017/09/06/898D626AA34FF57F0575B31DABF79743.pdf。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

TYYJ-洪伟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值