Android 隐私合规API检查方案

闫文敬

已于 2022-09-03 13:57:42 修改

阅读量2.6k

点赞数 1

分类专栏： # Android知识点 # Android进阶文章标签： android

于 2021-09-18 18:16:44 首次发布

本文链接：https://blog.csdn.net/u011106915/article/details/120372099

版权

Android知识点同时被 2 个专栏收录

60 篇文章

订阅专栏

Android进阶

13 篇文章

订阅专栏

对于涉及用户隐私的API的行为，无法通过手工log、UI等方式有效的方案进行；

种类：

hook
动态代理、AspectJ
AppOpsManager.OnOpNotedCallback

    // 创建AppOpsManager实例并添加上面定义的回调
    val appOpsManager = getSystemService(AppOpsManager::class.java) as AppOpsManager
    appOpsManager.setOnOpNotedCallback(mainExecutor, appOpsCallback)

这里主要讲hook

转换思路进行hook

Android系统隐私权限的API方法可以通过Xposed进行hook处理，监听到相关方法的调用；
仓库代码：https://github.com/yanerchuang/PrivacyPolicyComplianceCheck
目前代码中监控的API涉及：（也可以手动添加）

ActivityManager
ApplicationPackageManager
InetAddress
NetworkInterface
WifiManager
Settings
SensorManager
TelephonyManager
LocationManager

实现步骤

准备一个Xposed的设备
运行脚本至设备上
在Xposed中启动插件，重启手机，再打开APP
通过过滤’hookLog日志进行查看

实现后效果如下
在这里插入图片描述

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

闫文敬

关注关注

1
点赞
踩
3

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

OpenAPI安全合规检查

why811的博客

08-01

472

感觉这个应该按照具体的代码和功能来进行合规检查，在flink层面做检查难度较大，能完成的检测模块可能是明文传输检测和未知的HTTP认证方式，是否需要开始尝试实现需要讨论。

Android应用隐私合规检测实现方案

weixin_40533164的博客

09-27

910

1、安装夜神模拟器安卓7.0版本，自带Xposed框架。

参与评论您还未登录，请先登录后发表或查看评论

Android 隐私合规检查工具套装

最新发布

Gaga246的博客

04-15

1664

对于一套完整的隐私合规检查来说，动静结合是非常有必要的，静态用于扫描整个应用隐私 api 的调用情况，动态用于在运行时同意隐私弹框之前是否有不合规的调用，以下列出一些常规的检查方案：思维导图中 ✅ 打钩的部分都已经实现，后面会讲解这些方案适合应用在什么场景，他们之间有哪些优缺点。

Android 敏感 API 的说明

weixin_30709809的博客

05-07

1504

　　从中国的国情来看，Google 的诸多产品，包括 gmail，Android 官方市场 Google Play 正处于并将长期处于访问不了的状态。国内几亿网民也要生活，于是墙内出现了“百家争鸣”的场面，各家硬件厂商、三大运营商和游戏应用商城都推出了自己的Android市场，出现了豌豆荚，91助手，MIUI 应用商店、360手机助手、搜狗手机助手、酷安网等。Android市场鱼龙混杂，有很多优秀...

微信小程序用户隐私API

分享互联网的有趣知识~

11-13

1310

由于用户隐私保护的政策执行，我们在调用涉及到用户隐私的API时，未更新用户隐私保护协议是无法直接调用的，小程序会默认判断是否更新用户隐私保护，并根据用户隐私保护中的协议来判断是否可以调用对应的API，如开发者调用的API在用户保护协议中未声明，小程序则会默认禁用该API。

想做Android隐私API检测？用Frida呀

自动化测试技术栈

05-06

1905

Frida 很强大也很深奥，有兴趣的可以深入学习

Python基于Frida的Android App隐私合规检测辅助工具源码.zip

07-08

Camille可能是一个自定义的Frida插件或工具集，专门用于Android隐私合规检测。源码中可能包含以下组件： - Python脚本：用于启动Frida会话，加载插桩脚本，处理检测结果。 - Frida JavaScript插桩脚本：定义了具体的...

Frida助力Android隐私合规自动化检测工具

资源摘要信息: "基于Frida的Android App隐私合规检测辅助工具" 本项目提供了一种基于Frida框架的工具，旨在帮助开发者和安全研究员检测Android应用的隐私合规性。这项工作尤其对那些在技术领域希望深入学习以及应用...

隐私合规检测方法

bajie_qujing的博客

07-13

8506

安全隐私协议合规检测

Android — 运行时权限检查

热门推荐

man_help的博客

08-25

1万+

在 Android 6.0 即 API 23 之前，我们用到的权限只需要在 AndroidManifest 文件中统一进行申请就可以了，而且用户不可取消！但是在 6.0 及以上，出于安全性考虑，开始由用户掌握了部分主动权！动态权限检查就成了必经之路...

Sechunter移动应用隐私合规检测详解

阿道夫的博客

01-14

998

受益于移动设备的广泛普及，移动应用近年来得到了蓬勃发展。基于移动设备集成的各类传感器，众多功能丰富的移动应用被开发出来，聚集了大量高价值用户隐私数据，包括用户身份信息、地理位置信息、账户资料信息等。用户在享受移动应用带来便利的同时，其隐私安全也受到了重大威胁。在这样的背景下，移动应用隐私合规检测应运而生。本文简要介绍Sechunter移动应用隐私合规检测的方法步骤，以及目标检测技术在其中的应用。移动应用的隐私合规检测，从技术形态上可以分为静态检测方案与动态检测方案。以下分别作简要介绍。

python+Android-APP隐私合规检测-模拟器操作

qq_40689436的博客

07-27

2352

App违法违规收集使⽤个⼈信息⾏为认定⽅法》《移动互联网应用程序（App）收集使用个人信息自评估指南》《关于开展纵深推进APP侵害用户权益专项整治行动的通知》工信部〔2020〕164《移动互联网应用程序（App）系统权限申请使用指南》《移动互联网应用程序（App）个人信息保护常见问题及处置指南》《移动互联网应用程序（App）个人信息安全防范指引》《常见类型移动互联网应用程序必要个人信息范围规定》《GB/T 37964-2019 信息安全技术个⼈信息去标识化指南》

快速自查App启动时违规调用的Api

qq_36861770的博客

09-03

649

重点整治APP、SDK未告知用户收集个人信息的目的、方式、范围且未经用户同意，私自收集用户个人信息的行为。这里推荐使用Xposed去Hook系统Api 去查找调用栈看看到底是哪个sdk违规使用api Xposed沙盒地址:https://github.com/asLody/SandVXposed 插件地址：https://github.com/android-hacker/VirtualXposed/releases/tag/0.20.3 近期又被整治了一番。推荐一套新的应对方案 Camille工具

Android隐私合规检测

wang_yong_hui_1234的博客

06-01

4299

随着国内渠道市场对APP规范越来越严格，在我们APP上线前需要做好隐私协议以及权限检查。由于项目中可能接入了第三方SDK，由于第三方SDK在初始化的时候可能会调用设备的隐私信息，因此检查合规非常的重要。一般情况下在用户使用APP的时候，只有选中了隐私协议之后，才能调取隐私信息。现在一些第三方SDK已经做了处理，比如：友盟SDK添加了预初始化，在预初始化的时候不会调取隐私信息。1，使用VirtualXposed在手机上装了一下虚拟系统，这里可以直接安装VirtualXposed.apk就可以 https://

weixin_34366546的博客

03-18

746

• PRIVACY CLAUSEThe game attaches great importance to the privacy protection of users, so it has formulated the privacy policy covering how to collect, use, disclose, share and store users' informatio...

Android 查看隐私权限方法调用者集合

wangjiang

12-28

1647

这里，新建立一个 MethodCollectorDetector，并让它实现接口，主要告诉 lint ，需要的是 class 文件的检查。和的区别，前者作用域只包含项目内的 class 文件，后一个作用域才会包含三方库中的 class 文件。//需要的是方法)}) {//目标所属类名称：instruction.owner//目标所属类方法名称：instruction.name//调用者所属类名称：classNode.name//调用者所属类方法名称：method.name。

【开发者必看】App使用SDK合规自查三步走

umengplus的博客

06-01

1772

2021年5月1日，工信部、网信部、公安部、国家市场监督总局（简称“四部委“）联合制定的《常见类型移动互联网应用程序必要个人信息范围规定》（简称“新规”）已正式实施。根据新规及监管执法要求...

Android 11 （API 级别 30）AppOpsManager.OnOpNotedCallback监听隐私运行时权限调用

xuwb123xuwb的博客

10-27

3645

一、简介监听隐私运行时权限调用：此流程在搭载 Android 11（API 级别 30）及更高版本的设备上可用，可让您更好地识别可能出现的意外数据访问。您的应用可以注册 AppOpsManager.OnOpNotedCallback 实例，该实例可在每次发生以下任一事件时执行相应操作：应用的代码访问私密数据。为了帮助您确定应用的哪个逻辑部分调用了事件，您可以按归因标记审核数据访问。依赖库或 SDK 中的代码访问私密数据。数据访问审核是在发生数据请求的线程上调用的。这意味着，如果应用中的第三方

Android 11 AppOps setOnOpNotedCallback实现分析

一品巡抚

11-30

898

使用AppOpsManager.setOnOpNotedCallback()可以监控本应用的隐私行为、打印调用堆栈等。见：https://developer.android.com/about/versions/11/privacy/data-access-auditing OnOpNotedCallback的实现demo： public class OnOpNotedCallBackImpl extends AppOpsManager.OnOpNotedCallback { @Over.