HBuilderX日常踩坑之隐私合规检测
我们常用的三个平台:苹果,华为,小米。
苹果审核,除非框架对SDK版本要求之类的,基本审核都没啥问题。
华为目前也还流畅,隐私合规刚开始的时候会比较严一些,但基本还比较人性化。
小米的隐私合规,每次更新都需要发布无数个版本,修复文字和各种配置,而且不是一次性提醒,也不明确告诉该怎么调整。下面是更新的隐私合规检查的坑:
1、违规收集个人信息
APP以隐私政策弹窗的形式向用户明示收集使用规则,但未见清晰明示APP收集OAID等的目的方式范围,用户同意隐私政策后,存在收集OAID的行为。
APP向用户明示SDK的收集使用规则,但未见清晰明示SDK收集设备oaid-sdk,MSA移动安全联盟SDK,数字天堂SDK获取OAID等的目的方式范围,用户同意隐私政策后,SDK存在收集设oaid-sdk,MSA移动安全联盟SDK,数字天堂SDK获取OAID的行为。
1.1 问题分析:
因为app基于HBuilder,这样框架本身可能引用了第三方的SDK,这时候如果隐私声明没有相关说明,就会被拒。
1.2 解决方案:
隐私声明中添加如下文字:
本App使用可收集个人信息的第三方SDK如下:
MSA移动安全联盟SDK(图片处理com.asus.msa)
使用目的:用于MSA移动安全联盟推送设备oaid生成
收集的方式:自动收集
收集的个人信息类型:唯一设备识别码
所属公司/机构:MSA移动安全联盟阿里设备标识SDK(com.ta.utdid2)
使用目的:用于阿里推送设备id生成
收集的方式:自动收集
收集的个人信息类型:唯一设备识别码
所属公司/机构:阿里云计算有限公司Facebook SDK(图片处理com.facebook.animated.gif)
使用目的:App使用fresco图片加载框架
收集的方式:自动收集
收集的个人信息类型:IP地址和网络状态
所属公司/机构:Facebook微信开放平台(com.tencent.mm)
使用目的:用于微信授权登录
收集的方式:自动收集
收集的个人信息类型:硬件设备型号、操作系统及版本、应用列表
所属公司/机构:深圳市腾讯计算机系统有限公司微信支付SDK
使用目的:为用户提供在线支付服务
收集的方式:自动收集
收集的个人信息类型:设备标识符、硬件设备型号、软件版本信息、IP地址、位置信息、移动网络信息、存储读写权限
所属公司/机构:财付通支付科技有限公司支付宝支付SDK
使用目的:为用户提供在线支付服务
收集的方式:自动收集
收集的个人信息类型:设备状态及身份信息、位置信息、运营商信息、Wi-Fi地址、应用列表
所属公司/机构:支付宝(杭州)信息技术有限公司DCloud(io.dcloud)
使用目的:广告投放合作,广告归因、反作弊、安全
收集的方式:自动收集
收集的个人信息类型:设备地理位置
所属公司/机构:数字天堂(北京)网络技术有限公司DCloud(io.dcloud)
使用目的:提供统计分析服务,并通过应用启动数据及异常错误日志分析改进性能和用户体验,为用户提供更好的服务
收集的方式:自动收集
收集的个人信息类型:设备唯一识别码(IMEI/Android_ID/ANDROID ID/DEVICE_ID/IDFA、SIM序列号、OAID)
所属公司/机构:数字天堂(北京)网络技术有限公司
2、APP强制、频繁、过度索取权限
APP首次打开,未见使用权限对应的相关产品或服务时,提前向用户弹窗申请开启存储权限。
2.1 问题分析:
HBuilderX打包后app安装启动会自动申请读写手机存储需访问系统相册,申请获取设备信息权限,这2种都是敏感权限,容易导致上架应用商店审核被拒。
2.2 解决方案:
1)、打开manifest.json文件,切换到“源码视图”项 :
- uni-app项目
在 "app-plus" -> "distribute" -> "android" 节点下添加- 5+ App项目
在 "plus" -> "distribute" -> "google" 节点下添加
2).关闭获取设备信息权限
"permissionPhoneState": { "request": "none", "prompt": "为保证您正常、安全地使用,需要获取设备识别码(部分手机提示为获取手机号码)使用权限,请允许。" }
3).关闭读写手机存储相册权限:
"permissionExternalStorage": { "request": "none", "prompt": "应用保存运行状态等信息,需要获取读写手机存储(系统提示为访问设备上的照片、媒体内容和文件)权限,请允许。" }
request有以下三种策略:
- none
应用启动时不申请- once
应用第一次启动时申请,用户可以拒绝- always
应用每次启动都申请,并且用户必须允许,用户拒绝时会弹出以下提示框引导用户重新允许
HBuilderX日常踩坑之隐私合规检测相关推荐
- 正式开源 无恒实验室推出 appshark 自动化漏洞及隐私合规检测工具
一.开源背景 随着移动互联网的高速发展,人们的生产生活也逐渐从 PC 电脑端转移到手机等移动端,各类移动 App 也如雨后春笋般产生.受限于代码的开发质量等原因, App 中或多或少的会存在安全漏洞或 ...
- App 不想被“点名”,mPaaS 隐私合规检测为开发者护航数字生态建设
简介:<个人信息保护法>的即将落地,无疑是近年来政策法规及监管标准不断细化深化.监管查处力度不断加大.处置通报常规化的又一里程碑式的具象体现,App 开发企业如若违规将会面临的各类损失也在 ...
- 移动应用中的第三方SDK隐私合规检测,早知道
摘要: 在移动应用隐私合规检测中,第三方SDK隐私声明由于其展现位置展现形式的多样性,自动化提取与解析是比较困难的任务. 本文分享自华为云社区<移动应用中的第三方SDK隐私合规检测>,作者 ...
- 移动应用中的第三方SDK隐私合规检测
[摘要] 概述:工信部164号文[1]要求对SDK违规处理用户个人信息进行整治,包括违规收集个人信息.超范围收集个人信息.违规使用个人信息.强制用户使用定向推送功能等违规内容.相关整治内容的检测需要结 ...
- camille下的frida与mumu模拟器连接,进行隐私合规检测
环境: mumu模拟器最新版本(官网自行下载) camille(最新版) python3 详细过程 frida 本机确保在python3的环境下,安装frida: pip install frida ...
- App隐私监管新规实施 隐私合规检测要注意这几点?
5月1日,国家四部委联合制定的<常见类型移动互联网应用程序必要个人信息范围规定>(简称<规定>)将正式实施. <规定>明确移动互联网应用程序(App)运营者不得因用 ...
- 安卓端自行实现工信部要求的隐私合规检测一(教你手写Xposed模块代码)
前言 友情提示:文章较长,源码及相关使用教程都在文尾. 之所以写这篇文章,是因为不久前,我们公司上架的app被打回来了.信通院那边出了个报告,里面说我们app未经授权就自动获取了手机的mac地址.当时 ...
- EMAS隐私合规检测专项服务,从确保形式合规及实质合规规避风险
一.App数据安全,主流商业模式下的新挑战 近年来随着信息技术快速发展,大数据时代已经来临.大数据为我们带来信息共享.便捷生活的同时,还存在着数据安全问题. 目前不少公司依托于推送等采集数据工具沉淀用 ...
- 安卓端自行实现工信部要求的隐私合规检测二(使用Xposed/VirtualXposed进行监测)
一.准备条件 1.编译合规检测的Xposed模块源码 下载源码,修改设置白名单,编译成apk,安装到手机 相关操作参考<安卓端自行实现工信部要求的隐私合规检测一(教你手写Xposed模块代码)& ...
- 安卓APP:隐私合规检测常见问题建议总结
1.1 违规收集个人信息 1).APP隐私政策必须非常清楚.全面地说明(不要用可能收集.了解用户信息这种模糊不清晰的词语)收集用户个人信息的目的.方式和范围,用户个人信息包括但不限于mac地址.设备序 ...
最新文章
- 云计算的优势有这6点
- ODS DWD DWS ADS 数仓分层
- 倪海厦天纪笔记16_倪海厦老师讲解天纪易经——第3集(13)
- POJ 3268 迪杰斯特拉图论 置换找最短路
- graylog2 架构--转载
- js indexOf()
- 在单链表写入一组数据代码_第5章 第1节 链表 - osc_x8s7voop的个人空间 - OSCHINA - 中文开源技术交流社区...
- Dapper学习 - Dapper.Rainbow(三) - Read
- DataWindow的数据更新技术及应用
- DGL系列之(二):使用DGL实现GCN
- widows 下git记住账号密码
- 截部分陈宏对用线段树解矩形并的轮廓(picture 问题的深入讨论)
- 一道逻辑推理题的程序实现(纯属娱乐)
- 求绝对值(调用函数)
- 初识linux之shell外壳与基本权限
- DevOps工具链学习——相关工具知多少
- 量子时刻 奇妙的不确定性
- 蛋糕上两只翘着二郎腿的小胖猪可爱极了
- 用Python爬虫来爬写真网图片
- 网络中数据的封装与解封装
热门文章
- 使用计算机时鼠标和键盘各有什么优缺点,计算机键盘与鼠标的使用简介.ppt
- python 中文转换 url 编码
- cad命令栏怎么调出来_Solidworks工具栏,功能区不见了,怎么调出来?
- 微信小程序地图组件利用腾讯地图生成热力图
- win10如何打来计算机的工具,电脑系统教程:Win10自带解压缩文件工具如何使用
- VS2017社区版+Qt5.12.2+VTK8.2环境搭建
- 【Godot】拖放的逻辑
- 拼多多商品采集、商品数据解析详解
- 消息队列——ActiveMQ使用及原理浅析
- 层次分析法(附实例)