Android审核:用户授权前获取mac地址,imei等用户敏感信息的方法(工信部要下架APP)加固信息

已于 2022-06-29 14:52:12 修改
阅读量3k 收藏 6
点赞数 1
分类专栏: ----------Android---------- 文章标签: macos 安全
于 2022-05-31 14:58:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010194271/article/details/125065712
版权

此方法可以用来大家自己检测自己的app是否非法调用了用户信息。

前言

由于开发的公司的APP被工信部警告,有违法手机信息,APP以隐私政策弹窗前,非法收集用户信息,mac地址。

排查过程

通过抓包我们确认没用在弹出隐私条款前,发送类似的接口上报敏感信息,后和工信部电话沟通确认是只要你有调用getMacAddress此方法,就认定为非法的,即使你没有上报。所以就想怎么抓取那些sdk调用了getMacAddress,下面就是找方法的过程。。。N+1小时后,我确定是360加固额外获取了这些信息。

确定方案

使用VirtualXposed在手机上装了一下虚拟系统。
https://github.com/android-hacker/VirtualXposed/issues

HookLoginDemo: 这是一个用来拦截方法的程序,具体是你需要拦截那些方法,可以在HookLogin中自定义。(原理不做过多阐述)
https://github.com/sgl890226/HookLoginDemo

使用方法介绍:

  • 1)安装两个到你的手机。

  • 2)打开VirtualXposed 把你要扫描的应用和HookLogin装入虚拟系统。
    点击底部按钮–>添加应用–>选择你的应用,如:自己要排查应用&HookLogin

  • 3)向上滑动打开Xposed选择模块,勾选中该选项,然后在设置 重启
    在这里插入图片描述

  • 4)然后依次打开安装的应用(切到后台,不要杀死应用),xposed–>hooklogin)–>你要的检测应用,注意停留一会(10s左右),让log写入文件中。注意清空一下后台,防止其他应用错报,也可以在HookLogin限制一下包名,大佬们看一下代码就知道怎么改了。

  • 5)xposed切换到日志模块,查看输出内容,也可以到导出

日志内容如下:

在这里插入图片描述
可以把所有调用我们想知道的方法都排查出来。

整个流程就是这样,顺便说一下,我们的应用是因为360加固后默认360在加固过程中添加了获取mac地址的方法,导致被整改。
我们找方案的过程中试了还几种加固:
如:
360加固–加固后的包加了mac地址,审核被拒
腾讯乐加固–加固后使用该方法打不开,目前不能确定是否可以。
百度加固–加固后使用该方法打不开,目前不能确定是否可以。
梆梆加固-加固后没有增加额外信息 – 目前我们使用的方式
爱加密–加固后被屏蔽了日志,目前不能确定是否可以。

实际,这个方法不仅能用来排查审核内容,还可以运用到三方sdk冲突的解决,定位错误方法等,总之是排查三方库和整理隐私条款的一个利器。

HookLogin.java 33 行替换成 
 if (!pageName.contains("com.xxx.app")) {
      return;
    }
黄毛火烧雪下
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 7
    评论
专栏目录
利用Mac地址添加用户授权
02-19
利用Mac地址添加用户授权。 begin eventmemo.Clear; eventmemo.Lines.LoadFromFile('vpr.wqa'); vp:=strtoint(eventmemo.Lines[0]); vp:=vp+1; ARegistry := TRegistry.Create; with ARegistry do begin begin RootKey:=HKEY_LOCAL_MACHINE; if OpenKey('\System\CurrentControlSet\Services\Class\Net\0000',True) then WriteString('NetworkAddress','090000'+inttostr(vp)); if OpenKey('\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0000',True) then WriteString('NetworkAddress','090000'+inttostr(vp)); if OpenKey('\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0001',True) then WriteString(
Mac授权
weixin_38157505的博客
07-17 1096
54:19:C8:F9:2B:EB 54:19:C8:F9:2B:EC 55:19:C8:F9:2B:ED 55:16:C8:F9:2B:ED 55:17:C8:F9:2B:ED
android 获取设备的mac地址,Android获取设备IMEIMac地址
weixin_42127937的博客
05-26 661
public static boolean checkPermission(Context context, String permission) {boolean result = false;if (Build.VERSION.SDK_INT >= 23) {try {Class> clazz = Class.forName("android.content.Context");M...
U2000授权R09版本MAC地址授权无时间限制不提示不匹配。
10-28
U2000授权R09版本MAC地址授权无时间限制不提示不匹配。不用改时间!
Android app 首次运行违规读取 Mac 地址定位方法
洪伟的专栏
12-17 8361
通常意义上来说,app 可以读取 mac 地址,但仅限于用户已经阅读了隐私内容,并且隐私内容中也告知了用户app 会运行期间采集 wlan mac 地址等信息。所以如果没等用户同意隐私政策中的内容,就开始提读取 mac 地址,这是不合法的行为。工信部抽查中如果发现此类行为,app 会被通告整改,整改不力的将强制从应用市场下架,后果还是很严重的。 但这里忽略一个问题,如果我们的 app 本身代码没有读取 mac 地址,那如何是好?自己的代码心中有数,实在不行可以全局搜索,如果第三方库偷偷摸摸的读取 mac
android 7.0 禁止 imei,Android一些适配
weixin_30413765的博客
05-28 657
# Android 版本适配重点其他细节请查看官网对应版本:https://developer.android.com/preview## 7.01. 后台优化- 移除了以下静态注册广播通知(动态注册可继续使用):CONNECTIVITY_ACTION ACTION_NEW_PICTURE ACTION_NEW_VIDEO2. 系统权限更改- Android 7.0 或更高版本的应用私有目录被限...
安卓APP:隐私合规检测常见问题建议总结
APP操盘手
05-24 6524
1.1 违规收集个人信息 1).APP隐私政策必须非常清楚、全面地说明(不要用可能收集、了解用户信息这种模糊不清晰的词语)收集用户个人信息的目的、方式和范围,用户个人信息包括但不限于mac地址、设备序列号、imei、imsi、软件安装列表、通讯录信息、短信信息等。 清楚的写明收集的信息 2).在用户浏览完隐私政策并点击同意按钮APP和SDK不要有任何收集行为或者关联动作,例如和服务器之间发送或者接收信息的行为。 3).隐私协议用户同意环节,必须明确使用“同意”、“拒绝/不使用”按钮,不要使用“好的”、
解决隐私权限原因拒审的终极方案. 在用户同意隐私政策,您的应用获取用户xx信息
Sun Spark Studio
10-09 1万+
您的应用审核未通过。在用户同意隐私政策,您的应用获取用户ANDROID ID,不符合应用市场审核标准。修改建议:请在用户同意隐私政策后,再申请获取用户个人信息及权限。
Android市场审核,用于检查是否提调用mac地址imei信息
12-27
开发者在提交应用,应确保正确处理MAC地址IMEI敏感信息获取,遵循Android的权限模型,避免在未获得用户许可的情况下进行调用。通过VirtualXposed和XposedHook这样的工具,可以有效测试和验证应用的行为,...
获取 Android 设备的系统信息 包含屏幕信息、内存信息IMEI、存储、传感器、CPU等信息.zip
最新发布
01-24
Android平台上,获取设备的系统信息是开发过程中常见的需求,这包括屏幕参数、内存状态、IMEI号码、存储空间、传感器信息以及CPU详情等。以下将详细解释如何获取这些信息。 1. **屏幕信息**: - 屏幕尺寸:通过`...
HookDemo:钩子android系统
03-23
HookDemo 钩子android系统的OnClickListener,startActivity,Notification,ClipboardManager
Android获取IMEI码的方法
01-04
1.加入权限在manifest.xml文件中要添加 <uses android:name=”android.permission.READ_PHONE_STATE”>2.代码 代码如下:package net.sunniwell.app; import android.app.Activity; import android.os.Bundle; ...
Android如何获取双卡手机IMEI方法示例
08-26
Android 获取双卡手机IMEI方法示例 在 Android 开发中,获取双卡手机的IMEI是一件很重要的事情,IMEI 是移动终端设备的唯一标识符。常见的获取IMEI方法是使用 TelephonyManager 的 getDeviceId() 方法,但是这...
Android-史上最全、最完整,获取设备信息获取手机唯一标识
05-04
Android开发中,获取设备信息和手机唯一标识是常见的需求,尤其在进行用户风险控制时。这篇文章将深入探讨如何在Android系统中获取这些关键数据。 首先,了解Android设备信息包括但不限于以下几点: 1. **设备...
uniApp上架注意踩坑事项
王龙鑫的博客
08-04 3158
uniApp上架注意踩坑事项 隐私协议 最近上架一款社交类型的App,在安卓市场经常被驳回, 总计原因就是,需要在协议内,写明所使用的权限说明,使用用途,相关SDK列表 各行业的模板 链接: https://pan.baidu.com/s/1ohMdMwdZ-MuFq2TUJxHuOg 密码: 97ii 示例: 建议使用webView 的形式,这样方便修改,应用市场也是需要http的链接,能保证统一 被拒记录和解决方案 弹窗,用户首次进入,需要有一个是否同意隐私协议的弹窗,参考QQ 华为:
Android xposed权限检测
weixin_42345592的博客
09-14 2001
言 由于开发的公司的APP上线华为市场被拒绝,APP以隐私政策弹窗,非法收集用户信息mac地址。 排查过程 通过抓包我们确认没用在弹出隐私条款,发送类似的接口上报敏感信息,后和工信部电话沟通确认是只要你有调用getMacAddress此方法,就认定为非法的,即使你没有上报。所以就想怎么抓取那些sdk调用了getMacAddress 确定方案 使用VirtualXposed在手机上装了一下虚拟系统。 :https://github.com/android-hacker/VirtualXposed Ho
App隐私合规注意事项和相关材料
南风的专栏
09-19 3252
关于开展纵深推进APP侵害用户权益专项整治行动的通知(工信部信管函〔2020〕164号)https://www.miit.gov.cn/xwdt/gxdt/sjdt/art/2020/art_c229d4f7d84041be84ff51824c32cf89.html。《信息安全技术个人信息安全规范》https://www.isccc.gov.cn/zxyw/fwzzrz/fwzzrzzn/images/2017/09/06/898D626AA34FF57F0575B31DABF79743.pdf。
关于APP 内涉及用户个人敏感信息/权限的进一步整改
Jacinth40的博客
04-28 7981
言: 有一段时间没更新关于用户隐私相关的内容了。随着去年 11 月《个人信息保护法》的更新,四部委和工信部又下达了一批新的标准,这一篇就是记录一下这半年来项目里关于保护用户隐私部分的优化。 一、用户未同意隐私政策之收集用户敏感信息/权限 这个问题是比较普遍的,就是用户安装完 APP 之后,未点同意之,收集了敏感信息/权限。 所以在用户点击同意之,不可以有任何获取 Android ID、 IP、Mac 、用户账号密码等用户个人隐私信息行为出现,包括动态权限申请。包括在 SDCard 写入数据,
我们发现您的应用在用户同意隐私政策申请获取用户个人信息IMEI, 设备ID, 用户应用安装列表, MAC地址用户数据)
热门推荐
Joseph的博客
09-22 1万+
一、需求 解决应用上架问题 过度获取用户信息 我们发现您的应用在用户同意隐私政策申请获取用户个人信息IMEI, 设备ID, 用户应用安装列表, MAC地址用户数据) 自"滴滴"事件后,为避免该类事件,App的上架变的严格起来。上架经常已“过度获取用户信息/请在用户同意用户协议和隐私政策后获取用户隐私” 二、错误方法 第一次遇到需要已弹窗的形式让用户同意用户协议和隐私政策,自行手敲了一个隐私政策弹窗,但是在华为应用平台无论如何怎么都通过不了 三、解决方法 首先碰到此问题请更新到Hbui
App个人信息收集评估指南
6. 设备唯一标识:App不得收集不可变更的设备唯一标识(如IMEI号、MAC地址等),用于保障网络安全或运营安全的除外。 7. 服务类型:App不得频繁征求用户同意使用某服务类型,并保证其他服务类型正常使用。 8. 第三...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黄毛火烧雪下

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值