亲宝软件园·资讯

展开

Android App隐私合规检测

Zhengjim 人气:0

Camille

Android App隐私合规检测辅助工具,项目仓库:https://github.com/zhengjim/camille

简介

现如今APP隐私合规十分重要,各监管部门不断开展APP专项治理工作及核查通报,不合规的APP通知整改或直接下架。camille可以hook住Android敏感接口。根据隐私合规的场景,辅助检查是否符合隐私合规标准。

安装

环境:

python3、frida 、一台已root手机(我测试机为Redmi 3s,刷机成魔趣Android 8.1,感觉问题挺多的),并在手机上运行frida-server

下载:

git clone https://github.com/zhengjim/camille.git
cd camille
pip install -r requirements.txt
python camille.py -h

用法

简单使用:

python camille.py com.zhengjim.myapplication

com.zhengjim.myapplication为测试app的包名,会显示时间、行为和调用堆栈。可以根据场景来判断是否合规,如:获取敏感信息是否是在同意隐私政策之前等。

python camille.py com.zhengjim.myapplication -ns -f demo01.xls

python camille.py com.zhengjim.myapplication -t 3

-t: hook应用自己的函数或含壳时,建议使用setTimeout并给出适当的延时(1-5s,需要根据不同app进行调整)。以免hook失败。默认不延迟。

如下图:不加延迟hook失败。

加了延迟hook成功。

后记

本来想使用uiautomator2或appium来模拟点击制定场景,但后续调研发现纯自动化的检测是不全的,最多也就检测20-30%,还是得结合人工来检测。索性就删除了模拟点击这块。(其实就是懒,不定期更新)

场景

参考百度史宾格的检测场景,根据工信部信管函〔2020〕164号文(共37项),需要人工自查的有15项

网站:https://console.bce.baidu.com/springer (现在1.4元/次,挺划算的,嫌麻烦的直接用就行)

1 APP、SDK违规处理用户个人信息方面

1.1 违规收集个人信息。

重点整治APP、SDK未告知用户收集个人信息的目的、方式、范围且未经用户同意,私自收集用户个人信息的行为。

1.2 超范围收集个人信息。

重点整治APP、SDK非服务所必需或无合理应用场景,特别是在静默状态下或在后台运行时,超范围收集个人信息的行为。

1.3 违规使用个人信息。

重点整治APP、SDK未向用户告知且未经用户同意,私自使用个人信息,将用户个人信息用于其提供服务之外的目的,特别是私自向其他应用或服务器发送、共享用户个人信息的行为。

1.4 强制用户使用定向推送功能。

重点整治APP、SDK未以显著方式标示且未经用户同意,将收集到的用户搜索、浏览记录、使用习惯等个人信息,用于定向推送或广告精准营销,且未提供关闭该功能选项的行为。

2 设置障碍、频繁骚扰用户方面

2.1 APP强制、频繁、过度索取权限。

重点整治APP安装、运行和使用相关功能时,非服务所必需或无合理应用场景下,用户拒绝相关授权申请后,应用自动退出或关闭的行为。重点整治短时长、高频次,在用户明确拒绝权限申请后,频繁弹窗、反复申请与当前服务场景无关权限的行为。重点整治未及时明确告知用户索取权限的目的和用途,提前申请超出其业务功能等权限的行为。

2.2 APP频繁自启动和关联启动。

重点整治APP未向用户告知且未经用户同意,或无合理的使用场景,频繁自启动或关联启动第三方APP的行为。

3 欺骗误导用户方面

3.1 欺骗误导用户下载APP。

通过“偷梁换柱”“移花接木”等方式欺骗误导用户下载APP,特别是具有分发功能的移动应用程序欺骗误导用户下载非用户所自愿下载APP的行为

3.2 欺骗误导用户提供个人信息。

行为表现:非服务所必需或无合理场景,通过积分、奖励、优惠等方式欺骗误导用户提供SFZ号码以及个人生物特征信息的行为。

参考链接

https://github.com/Dawnnnnnn/APPPrivacyDetect

https://github.com/r0ysue/r0capture/

https://github.com/ChenJunsen/Hegui3.0

加载全部内容

相关教程
猜你喜欢
用户评论