经过多轮的技术整改,App送检工信部检测,不幸依然上了工信部通报侵害用户权益行为APP的名单中。原因是违规收集用户信息。
排查及整改过程简要记录:
- 用户隐私协议同意之前,不获取设备信息 mac地址 imei等设备信息。
- 排查第三方sdk, sdk延迟初始化等处理
- 经过以上处理,送检后依然被检测出违规收集用户信息。经与其他厂商沟通获知:工信部检测获取设备信息 mac地址 imei即认为为收集了用户信息。
- 接下来将重心放在查找哪里调用了获取设备信息,首先代码排查,可见代码没问题,怀疑三方sdk问题。
如何进行检测:首先想到的通过hook的方式来实现,具体如何hook却是难点,搜索引擎查到了下边的一遍文章,感谢作者、为我们解决问题节省了大把时间。
解决思路:借助Xposted框架,开发一个插件hook。xposted需要root手机,可使用VirtualXposed在手机上装了一下虚拟系统。插件在虚拟系统中运行即可。
遇到问题:VirtualXposed在一加、华为手机上无法运行我们的app原因还不知道,通过更换手机后可正常运行:小米手机、Vivo手机
结果:应用使用了360加固,加固后默认在加固过程中添加了获取mac地址的方法。360加固目前已经处理,新的加固经检测不存在获取用户信息行为。
参考: