【CTA认证】Android CTA资料及信息安全要求

认证资料需求

1.　说明书；需有应用场景、使用人群说明
2.　产品铭牌（需有IMEI号，产品名称需是：TD-LTE无线数据终端）
3.　产品整体尺寸长宽高
4.　原理框图；
5.　主板正反面照片（需拆除屏蔽罩）；
6.　关键射频元器件清单。（会提供一个清单参考）
7.　软件配置信息列表

设备与文档

1. 烧录cta固件
2. 本地测好射频，内置好射频配置，
3. 机器打孔，外接好射频天线
4. 填好认证功能表格，比如安卓系统版本，支持的4g运营商是哪几个等
5. 写一个声明文档，声明不支持的功能，比如不支持摄像

Android6.0以下应用默认不授权

设备在进行入网认证的时候，实验室要求应用在使用特殊权限的时候，需要告知用户，要用户授权才能使用相应的权限；而Android的动态申请权限是6.0才有的，也就是说，如果应用把sdk版本设置为6.0以下，那么应用则不需要动态申请权限就能默认获得AndroidManifest.xml里面配置的权限；这在入网实验室的不允许的，虽然低版本的应用不会申请授权，但是实验室要求默认不给低版本的应用授权，让用户在设置的应用中手动授权即可。所以，要解决这个问题，就是去掉限制Android6.0的这个条件，让所有版本的应用都需要动态申请权限。

1. Android 6以下的app不能默认获取到权限，未获取到权限前相应的API调用要求失败
   比如一个Android 5.0的打电话应用，第一次打电话（要求默认为无权限），禁止。
   目前是会默认获取到权限，打电话不会禁止，不符合要求。
2. 在设置中此应用的应用权限界面，要求可以手动进行权限允许
   比如一个Android 5.0的打电话应用，设置中允许权限后，打电话，允许。

wifi与蓝牙开关要弹窗

开关WIFI与蓝牙时，不限在设置中操作，或在代码中，都要弹个确认的窗口。

拆分申请权限分组

设备在进行入网认证的时候，实验室要求应用在使用特殊权限的时候，需要告知用户，要用户授权才能使用相应的权限；Android需要申请的危险权限，是以组的形势申请的，比如说，拨打电话、读取通话记录、写入通话记录都是属于电话权限分组；而在入网认证的时候，实验室要求这些权限组要拆分为单独的权限，每个权限就是独立的，不再是以组的形势

权限管理要细分到组中的权限，目前是按组管理的，不符合要求

1. 比如申请打电话，权限是android.permission.CALL_PHONE，弹出的窗口却提示申请“拔打电话和管理 通话”允许后会把android.permission.READ_CONTACTS也允许了，不符合要求。
2. 设置的应用权限界面，需要显示组中的项
   比如拨打电话、读取通话记录、写入通话记录都是属于电话权限分组，要求组中的成员都要显示出来，能单独操作。

手机号匹配

联系人中比如有11位号码，低版本的安卓输入7位号码都会匹配上，这是过不了认证的。

是否支持第三方应用

一般是声明不支持，如果支持安装第三方应用，认证会过的比较困难，因为实验室会安装第三方应用进行测试，要求第三方应用运行时请求运行权限时要正确弹出权限请求窗口。

大部分应用需要可卸载

所有第三方应用要求可卸载，某些安卓内置应用也要求能卸载。

CTA自测的总原则

1.没有经过用户同意，不可以有任何联网的行为。

2.任何需要定位，需要读取用户个人隐私信息(联系人，短信，通话记录等等)的情况，都需要先在CTA弹窗中明确询问用户是否同意，且在用户同意之前，不可以执行任何读取用户隐私的操作。

3.不可以明文传递用户的个人信息(e.g.手机的IMEI号，Mac地址等信息)

具体的测试点：

联网相关的测试

对手机短信的各种权限的测试(创建/删除/发送/读取短信和彩信的权限)

对手机联系人的各种权限的测试(创建/删除/查找/编辑/联系人，读取/创建/删除通话记录)

使用照相机/录音

使用定位

隐私测试：明文传递个人信息

具体测试：

联网相关的测试:

1． 手机还原设置后不启动待测试的应用，通过filddler或者wireshark查看测试应用没有上网数据。

2． 打开待测试应用后弹出上网提示，点击取消，通过filddler或者wireshark查看测试应用没有上网数据。

3． 打开待测试应用后弹出上网提示，点击同意，通过fiddler或者wireshark查看测试应用有上网数据，打开设置-应用，查看测试应用的隐私权限：”开启wifi”是允许。

手机短信/彩信的相关操作：

1． 待测试应用没有打开前进入设置-应用，查看测试应用的隐私权限 “发送短信””发送彩信””读取短信””通知类短信”和”读取彩信”是询问。

2． 打开待测试应用后，弹出发送短信/彩信的确认弹窗后点击拒绝，查看测试应用的隐私权限 “发送短信””发送彩信””读取短信””通知类短信”和”读取彩信”是拒绝。

3． 打开待测试应用后，弹出发送短信/彩信的确认弹窗后点击接受，查看测试应用的隐私权限 “发送短信””发送彩信””读取短信””通知类短信”和”读取彩信”是允许。

使用照相机的相关测试

1． 应用没有打开前进入设置-应用，查看测试应用的隐私权限 “相机”和”录音”是询问。

2． 打开应用后，弹出发送短信/彩信的确认弹窗后点击拒绝，查看测试应用的隐私权限 “相机”和”录音”是拒绝。

3． 打开应用后，弹出发送短信/彩信的确认弹窗后点击接受，查看测试应用的隐私权限 “相机”和”录音”是允许。

定位的相关测试

1． 应用没有打开前进入设置-应用，查看测试应用的隐私权限 “定位”是询问。

2． 打开应用后，弹出发送短信/彩信的确认弹窗后点击拒绝，查看测试应用的隐私权限 “定位”是拒绝。

3． 打开应用后，弹出发送短信/彩信的确认弹窗后点击接受，查看测试应用的隐私权限 “定位”是允许。

隐私测试：明文传递个人信息

用fiddler/wireshark截获待测试应用的所有网络请求，查看各种类型的网络请求里是否明文上传了用户的信息(e.g. IMEI，MAC,待测试应用的用户名和密码等信息)
作者：帅得不敢出门 谢绝转载