HBuilderX日常踩坑之隐私合规检测

我们常用的三个平台：苹果，华为，小米。

苹果审核，除非框架对SDK版本要求之类的，基本审核都没啥问题。

华为目前也还流畅，隐私合规刚开始的时候会比较严一些，但基本还比较人性化。

小米的隐私合规，每次更新都需要发布无数个版本，修复文字和各种配置，而且不是一次性提醒，也不明确告诉该怎么调整。下面是更新的隐私合规检查的坑：

1、违规收集个人信息

APP以隐私政策弹窗的形式向用户明示收集使用规则，但未见清晰明示APP收集OAID等的目的方式范围，用户同意隐私政策后，存在收集OAID的行为。

APP向用户明示SDK的收集使用规则，但未见清晰明示SDK收集设备oaid-sdk,MSA移动安全联盟SDK,数字天堂SDK获取OAID等的目的方式范围，用户同意隐私政策后，SDK存在收集设oaid-sdk,MSA移动安全联盟SDK,数字天堂SDK获取OAID的行为。

1.1 问题分析：

因为app基于HBuilder，这样框架本身可能引用了第三方的SDK，这时候如果隐私声明没有相关说明，就会被拒。

1.2 解决方案：

隐私声明中添加如下文字：

本App使用可收集个人信息的第三方SDK如下:

MSA移动安全联盟SDK(图片处理com.asus.msa)
使用目的：用于MSA移动安全联盟推送设备oaid生成
收集的方式：自动收集
收集的个人信息类型：唯一设备识别码
所属公司/机构：MSA移动安全联盟

阿里设备标识SDK(com.ta.utdid2)
使用目的：用于阿里推送设备id生成
收集的方式：自动收集
收集的个人信息类型：唯一设备识别码
所属公司/机构：阿里云计算有限公司

Facebook SDK(图片处理com.facebook.animated.gif)
使用目的：App使用fresco图片加载框架
收集的方式：自动收集
收集的个人信息类型：IP地址和网络状态
所属公司/机构：Facebook

微信开放平台（com.tencent.mm）
使用目的：用于微信授权登录
收集的方式：自动收集
收集的个人信息类型：硬件设备型号、操作系统及版本、应用列表
所属公司/机构：深圳市腾讯计算机系统有限公司

微信支付SDK
使用目的：为用户提供在线支付服务
收集的方式：自动收集
收集的个人信息类型：设备标识符、硬件设备型号、软件版本信息、IP地址、位置信息、移动网络信息、存储读写权限
所属公司/机构：财付通支付科技有限公司

支付宝支付SDK
使用目的：为用户提供在线支付服务
收集的方式：自动收集
收集的个人信息类型：设备状态及身份信息、位置信息、运营商信息、Wi-Fi地址、应用列表
所属公司/机构：支付宝（杭州）信息技术有限公司

DCloud(io.dcloud)
使用目的：广告投放合作，广告归因、反作弊、安全
收集的方式：自动收集
收集的个人信息类型：设备地理位置
所属公司/机构：数字天堂（北京）网络技术有限公司

DCloud(io.dcloud)
使用目的：提供统计分析服务，并通过应用启动数据及异常错误日志分析改进性能和用户体验，为用户提供更好的服务
收集的方式：自动收集
收集的个人信息类型：设备唯一识别码（IMEI/Android_ID/ANDROID ID/DEVICE_ID/IDFA、SIM序列号、OAID）
所属公司/机构：数字天堂（北京）网络技术有限公司

2、APP强制、频繁、过度索取权限

APP首次打开，未见使用权限对应的相关产品或服务时，提前向用户弹窗申请开启存储权限。

2.1 问题分析：

HBuilderX打包后app安装启动会自动申请读写手机存储需访问系统相册，申请获取设备信息权限，这2种都是敏感权限，容易导致上架应用商店审核被拒。

2.2 解决方案：

1)、打开manifest.json文件，切换到“源码视图”项：

uni-app项目
在 "app-plus" -> "distribute" -> "android" 节点下添加

5+ App项目
在 "plus" -> "distribute" -> "google" 节点下添加

2).关闭获取设备信息权限

    "permissionPhoneState": {  "request": "none",  "prompt": "为保证您正常、安全地使用，需要获取设备识别码（部分手机提示为获取手机号码）使用权限，请允许。"  }

3).关闭读写手机存储相册权限：

    "permissionExternalStorage": {  "request": "none",  "prompt": "应用保存运行状态等信息，需要获取读写手机存储（系统提示为访问设备上的照片、媒体内容和文件）权限，请允许。"  }

request有以下三种策略：

none
应用启动时不申请

once
应用第一次启动时申请，用户可以拒绝

always
应用每次启动都申请，并且用户必须允许，用户拒绝时会弹出以下提示框引导用户重新允许

HBuilderX日常踩坑之隐私合规检测相关推荐

正式开源无恒实验室推出 appshark 自动化漏洞及隐私合规检测工具
一.开源背景随着移动互联网的高速发展,人们的生产生活也逐渐从 PC 电脑端转移到手机等移动端,各类移动 App 也如雨后春笋般产生.受限于代码的开发质量等原因, App 中或多或少的会存在安全漏洞或 ...
App 不想被“点名”，mPaaS 隐私合规检测为开发者护航数字生态建设
简介:<个人信息保护法>的即将落地,无疑是近年来政策法规及监管标准不断细化深化.监管查处力度不断加大.处置通报常规化的又一里程碑式的具象体现,App 开发企业如若违规将会面临的各类损失也在 ...
移动应用中的第三方SDK隐私合规检测，早知道
摘要: 在移动应用隐私合规检测中,第三方SDK隐私声明由于其展现位置展现形式的多样性,自动化提取与解析是比较困难的任务. 本文分享自华为云社区<移动应用中的第三方SDK隐私合规检测>,作者 ...
移动应用中的第三方SDK隐私合规检测
[摘要] 概述:工信部164号文[1]要求对SDK违规处理用户个人信息进行整治,包括违规收集个人信息.超范围收集个人信息.违规使用个人信息.强制用户使用定向推送功能等违规内容.相关整治内容的检测需要结 ...
camille下的frida与mumu模拟器连接，进行隐私合规检测
环境: mumu模拟器最新版本(官网自行下载) camille(最新版) python3 详细过程 frida 本机确保在python3的环境下,安装frida: pip install frida ...
App隐私监管新规实施隐私合规检测要注意这几点？
5月1日,国家四部委联合制定的<常见类型移动互联网应用程序必要个人信息范围规定>(简称<规定>)将正式实施. <规定>明确移动互联网应用程序(App)运营者不得因用 ...
安卓端自行实现工信部要求的隐私合规检测一(教你手写Xposed模块代码)
前言友情提示:文章较长,源码及相关使用教程都在文尾. 之所以写这篇文章,是因为不久前,我们公司上架的app被打回来了.信通院那边出了个报告,里面说我们app未经授权就自动获取了手机的mac地址.当时 ...
EMAS隐私合规检测专项服务，从确保形式合规及实质合规规避风险
一.App数据安全,主流商业模式下的新挑战近年来随着信息技术快速发展,大数据时代已经来临.大数据为我们带来信息共享.便捷生活的同时,还存在着数据安全问题. 目前不少公司依托于推送等采集数据工具沉淀用 ...
安卓端自行实现工信部要求的隐私合规检测二(使用Xposed/VirtualXposed进行监测)
一.准备条件 1.编译合规检测的Xposed模块源码下载源码,修改设置白名单,编译成apk,安装到手机相关操作参考<安卓端自行实现工信部要求的隐私合规检测一(教你手写Xposed模块代码)& ...
安卓APP：隐私合规检测常见问题建议总结
1.1 违规收集个人信息 1).APP隐私政策必须非常清楚.全面地说明(不要用可能收集.了解用户信息这种模糊不清晰的词语)收集用户个人信息的目的.方式和范围,用户个人信息包括但不限于mac地址.设备序 ...

HBuilderX日常踩坑之隐私合规检测

HBuilderX日常踩坑之隐私合规检测相关推荐

最新文章

热门文章