工信部用户隐私信息收录整改排查

最新推荐文章于 2023-07-04 15:04:01 发布
最新推荐文章于 2023-07-04 15:04:01 发布
阅读量7.3k 收藏 1
点赞数
分类专栏: 安卓
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zclongwork/article/details/109331904
版权

经过多轮的技术整改,App送检工信部检测,不幸依然上了工信部通报侵害用户权益行为APP的名单中。原因是违规收集用户信息。

排查及整改过程简要记录:

  1. 用户隐私协议同意之前,不获取设备信息 mac地址 imei等设备信息。
  2. 排查第三方sdk, sdk延迟初始化等处理
  3. 经过以上处理,送检后依然被检测出违规收集用户信息。经与其他厂商沟通获知:工信部检测获取设备信息 mac地址 imei即认为为收集了用户信息。
  4. 接下来将重心放在查找哪里调用了获取设备信息,首先代码排查,可见代码没问题,怀疑三方sdk问题。

 

如何进行检测:首先想到的通过hook的方式来实现,具体如何hook却是难点,搜索引擎查到了下边的一遍文章,感谢作者、为我们解决问题节省了大把时间。

解决思路:借助Xposted框架,开发一个插件hook。xposted需要root手机,可使用VirtualXposed在手机上装了一下虚拟系统。插件在虚拟系统中运行即可。

遇到问题:VirtualXposed在一加、华为手机上无法运行我们的app原因还不知道,通过更换手机后可正常运行:小米手机、Vivo手机

结果:应用使用了360加固,加固后默认在加固过程中添加了获取mac地址的方法。360加固目前已经处理,新的加固经检测不存在获取用户信息行为。

参考:

https://www.jianshu.com/p/84127032d15a

zclong
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
android隐私违规获取问题处理 及 Hook拦截处理记录 (VirtualXposted/epic等)及 android/iOS 多bundle加载方式修复方案
iOSTianNan的博客
07-08 5046
最近公司启动了隐私合规检测,报告告知我们在用户未同意隐私协议前,我们APP提前获取了WIIF/SSID/Mac地址等信息,不合规需要处理 (就是在同意前以及拒绝后, 不进行某些SDK的初始化…,能在非root情况下掌控自己进程空间内的任意Java方法调用, 主要的就是用框架进行hook, 来抓取系统函数调用, 追踪三方SDK的启动情况/函数调用等。在尽量不改动原版功能的基础上,做好隐私协议的前置(在各种RN组件/三方组件加载前),不同意就多次确认后,退出APP, 基本上就是这种思路。
网络与信息安全整改报告.docx
12-15
网络与信息安全整改报告.docx
安卓端自行实现工信部要求的隐私合规检测二(使用Xposed/VirtualXposed进行监测)
cjs1534717040的专栏
07-15 6804
一、准备条件 1、已经root的手机可以下载Xposed.apk Xposed在github上面开源,可以自己下载XposedInstaller的源码进行编译,也可以直接下载已经编译好的apk。 支持安卓5及以上的app 支持安卓5以下的app 2、没有root的手机可以下载VirtualXposed.apk VirtualXposed在github上面有专门的release页面,其作者在0.20.x的版本的时候放弃了对32位应用的支持,理由是谷歌商店未来只允许64位的app上架,不想花更多精力维护32位的
App违法违规收集使用个人信息自评估指南(史宾格隐私合规检查项)
最新发布
天在等我,菜鸟想飞
07-04 681
是否有隐私政策:在APP界面中能够找到隐私政策,包括通过弹窗、文本链接、常见问题等形式隐私政策是否单独成文:隐私政策以单独成文的形式发布,而不是作为用户协议、用户说明等文件中的一部分存在隐私政策是否易于访问:进入APP主功能界面后,通过4次以内的点击,能够访问到隐私政策,且隐私政策链接位置突出、无遮挡隐私政策是否易于阅读:隐私政策文本文字显示方式(字号、颜色、行间距等)不会造成阅读困难。
Android 违规获取用户隐私(获取软件安装列表信息)整改
朱豪凯的博客
01-09 1万+
前几天,收到公司App违规收取用户隐私的邮件,其中一项说我们App存在在用户同意协议前获取软件安装列表信息。 经排查,发现判断主进程的时候,会去获取软件安装列表。 public static boolean isMainProcess() { return Utils.getApp().getPackageName().equals(getCurrentProcessName()); } private static String getCurrentProcessName() { try
施工安全隐患排查、评定、整改登记表.xls
06-01
附件3 施工安全隐患排查、评定、整改登记表 项目名称:大面街道万科路断头路(龙泉段)市政道路及配套设施工程 排查 日期 隐患编号 隐患等级 隐患内容 整改措施 整改完成情况 整改 日期 责任人
数据库系统整改对医院信息化系统的影响.docx
12-18
同时,数据库系统整改也需要遵守相关的安全和隐私条例,保护患者的隐私和敏感信息。 在中国,医院信息化建设已经初具规模,后续还有非常大的开展建设空间。国内医院的数字化建设进程以区域卫生信息平台、国家卫生...
信息系统安全整改建议报告模板
04-07
信息系统安全整改建议报告
xposed-v89-sdk21-arm.zip
03-06
xposed框架,适用于android5 xposed框架,适用于android5 xposed框架,适用于android5
Android app 首次运行违规读取 Mac 地址定位方法
洪伟的专栏
12-17 8321
通常意义上来说,app 可以读取 mac 地址,但仅限于用户已经阅读了隐私内容,并且隐私内容中也告知了用户,app 会运行期间采集 wlan mac 地址等信息。所以如果没等用户同意隐私政策中的内容,就开始提前读取 mac 地址,这是不合法的行为。工信部抽查中如果发现此类行为,app 会被通告整改整改不力的将强制从应用市场下架,后果还是很严重的。 但这里忽略一个问题,如果我们的 app 本身代码没有读取 mac 地址,那如何是好?自己的代码心中有数,实在不行可以全局搜索,如果第三方库偷偷摸摸的读取 mac
Android 违规获取用户隐私(获取MAC地址)整改
热门推荐
朱豪凯的博客
12-31 1万+
前几天,收到公司App违规收取用户隐私的邮件,说是存在收集设备MAC地址的行为。 这就让我很方了,上次已经整改过一次违规获取用户隐私的问题了,这次又来。。 因为上次整改的时候,已将所有的第三方库移到用户同意了隐私协议后,才去初始化的,自己的代码又不会去获取这些数据,理应不会再出现获取,所以就很奇怪,不知道哪里出了问题。 后来想到,既然是去获取了MAC地址,必定要调用系统的API,那么我只要去HOOK系统的方法,就可以知道在什么时候,去获取了MAC地址了。 由于各个系统版本获取MAC地址的方式不同,所以特意拿
APP被工信部下架了怎么办?重新上架流程分享
calm13的博客
05-20 8222
目前,工信部每个月都会向社会公布存在侵害用户权益行为APP企业的名单,逾期未整改整改不到的APP将会被直接下架,各大应用商店无法搜索下载。 APP被工信部下架了怎么办?相信是各大被通报企业比较头疼的问题,一是不知道要怎么整改,二是不知道整改后怎么提交检测,还有就是对整个恢复上架流程没有任何的了解。 从近期通报的数据来看,被下架APP主要存在违规收集个人信息违规使用个人信息,超范围收集个人信息,APP强制、频繁、过度索取权限等方面问题。下面就为大家介绍一下详细的重新上架流程。 APP被工信部下架
mac无法获取凭证以授权用户在此计算机上,定位用户授权前获取mac的问题(工信部要下架APP)...
weixin_28481133的博客
06-26 1636
最近,工信部说我们APP在用户授权前就获取了mac,开发测试定位不到问题,说没问题,让我们帮忙看看(安全真的是什么都干,解决各种疑难杂症).......话不多说,开始干,开始查找获取mac的接口,主要有两个getHardwareAddress() 和getMacAddress()一开始,利用frida hook 以hook deviceid为例 其他的自己写hookdeviceid.js...
要想app隐私获取不被工信部下架,就得掌握这个测试方法!
05-11 2295
测试目的:避免受欢迎的app被工信部点名下架给公司造成影响测试环境搭建:1.手机先安装xposed,也就是虚拟系统,务必使用我提供的xpose的apk,不然你可能出现安装的xpose虚拟...
Android获取敏感信息整改---基于Xposed的方法检测
DeMonnnnnn
04-27 4771
前言 前段时间315针对获取敏感的隐私信息(MAC地址)第一次要求整改时,我们使用了如下方案: 将已知的友盟SDK放在同意隐私权限后再初始化。 使用Hook&反射去拦截可能存在的其他第三方调用。 但是整改提交审核20多天后还是被下架了,我们只能认为: Hook&反射去拦截的方案是无效的,检测时只要调用获取MAC的方法就会被认为是违规的。 因此我们需要把App首次启动时所有会调用获取MAC的方法,放在同意隐私权限后再初始化。 但是App启动时会默认初始化几十个库&第三方服务,我
如何构建完善的信息安全隐患从排查整改闭环流程
04-07
对于构建完善的信息安全隐患从排查整改闭环流程,我们可以采取以下步骤: 1. 风险评估:对系统、应用程序、网络、数据等进行风险评估,确定可能存在的隐患和安全漏洞。 2. 漏洞扫描:通过漏洞扫描工具对系统、应用程序、网络、数据进行扫描,发现可能存在的漏洞和威胁。 3. 漏洞验证:对发现的漏洞进行验证,确认漏洞的真实性和危害程度。 4. 漏洞修复:及时修复漏洞,采取补丁更新、配置修改、安全策略调整等措施,消除安全隐患。 5. 安全监控:部署安全监控系统,实时监测系统、应用程序、网络、数据等的安全状态,发现异常情况及时处理。 6. 安全培训:对员工进行安全培训,提高员工的安全意识,避免人为因素导致的安全隐患。 以上是构建完善的信息安全隐患从排查整改闭环流程的基本步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值