背景:

公司的APP被工信部通报:1.在用户确认隐私权限以前会获取用户的mac地址。2.在app内频繁的获取定位,超过了场景所必须的频次。

排查过程

收到通报我们一脸懵,我们排查业务代码中没有获取mac地址,并且我们的定位sdk只定位一次,于是想到了可能是三方sdk在获取mac地址。

于是我们电话工信部下的全国APP技术检测平台 咨询到他们是通过getHardwareAddress方法的调用来检测MAC地址的获取。至于第2条没有给出确切的回复,他们说可能是接口里频繁的带有用户位置信息,超出了业务场景必须的频次,也可能是在频繁的调用LocationManager#getLastKnownLocation方法。

于是反编译了自己项目中的apk,全局搜索查询到有三方sdk在调用getHardwareAddress和getLastKnownLocation方法。于是首次安装采取了延迟初始化的策略,把相关的三方sdk的初始化延迟到了用户同意隐私权限之后。但是我们想知道这些方法的调用时机和调用频次。因此我们需要用AOP或者hook系统方法的方式来查看他们的调用时机。我采用的是Xposed工具hook的系统底层方法以达到检测调用时机。

检测方法

使用VirtualXposed在手机上装了一下虚拟系统。https://github.com/android-hacker/VirtualXposed
 sherlock: 这是一个用来拦截方法的程序,具体是你需要拦截那些方法,可以在 https://github.com/hauler1/sherlock 下载源码并自定义。

使用方法:
1)安装两个App到你的手机(不需要root)

安装VirtualXposed App,可以拉取GitHub代码自己运行安装,也可以下载现成VirtualXposed App。

此处需要注意,你的待检测app是32位的就应该使用VirtualXposed32位APK,是64位的就应该使用VirtualXposed64位,不然会出现无法安装 待检测app的问题。

2)打开VirtualXposed 点击添加应用,选择你要监控的应用和sherlock安装到VirtualXposed中

3)点击模块管理,勾选你要sherlock,然后退到VirtualXposed首页,向上滑动,先打开sherlock模块,再启动你要检测的app。在logcat中就能看到调用的日志输出了。

Android隐私合规检测方法相关推荐

  1. 安卓端自行实现工信部要求的隐私合规检测一(教你手写Xposed模块代码)

    前言 友情提示:文章较长,源码及相关使用教程都在文尾. 之所以写这篇文章,是因为不久前,我们公司上架的app被打回来了.信通院那边出了个报告,里面说我们app未经授权就自动获取了手机的mac地址.当时 ...

  2. EMAS隐私合规检测专项服务,从确保形式合规及实质合规规避风险

    一.App数据安全,主流商业模式下的新挑战 近年来随着信息技术快速发展,大数据时代已经来临.大数据为我们带来信息共享.便捷生活的同时,还存在着数据安全问题. 目前不少公司依托于推送等采集数据工具沉淀用 ...

  3. 正式开源 无恒实验室推出 appshark 自动化漏洞及隐私合规检测工具

    一.开源背景 随着移动互联网的高速发展,人们的生产生活也逐渐从 PC 电脑端转移到手机等移动端,各类移动 App 也如雨后春笋般产生.受限于代码的开发质量等原因, App 中或多或少的会存在安全漏洞或 ...

  4. camille下的frida与mumu模拟器连接,进行隐私合规检测

    环境: mumu模拟器最新版本(官网自行下载) camille(最新版) python3 详细过程 frida 本机确保在python3的环境下,安装frida: pip install frida ...

  5. App 不想被“点名”,mPaaS 隐私合规检测为开发者护航数字生态建设

    简介:<个人信息保护法>的即将落地,无疑是近年来政策法规及监管标准不断细化深化.监管查处力度不断加大.处置通报常规化的又一里程碑式的具象体现,App 开发企业如若违规将会面临的各类损失也在 ...

  6. 移动应用中的第三方SDK隐私合规检测,早知道

    摘要: 在移动应用隐私合规检测中,第三方SDK隐私声明由于其展现位置展现形式的多样性,自动化提取与解析是比较困难的任务. 本文分享自华为云社区<移动应用中的第三方SDK隐私合规检测>,作者 ...

  7. 移动应用中的第三方SDK隐私合规检测

    [摘要] 概述:工信部164号文[1]要求对SDK违规处理用户个人信息进行整治,包括违规收集个人信息.超范围收集个人信息.违规使用个人信息.强制用户使用定向推送功能等违规内容.相关整治内容的检测需要结 ...

  8. App隐私监管新规实施 隐私合规检测要注意这几点?

    5月1日,国家四部委联合制定的<常见类型移动互联网应用程序必要个人信息范围规定>(简称<规定>)将正式实施. <规定>明确移动互联网应用程序(App)运营者不得因用 ...

  9. 安卓端自行实现工信部要求的隐私合规检测二(使用Xposed/VirtualXposed进行监测)

    一.准备条件 1.编译合规检测的Xposed模块源码 下载源码,修改设置白名单,编译成apk,安装到手机 相关操作参考<安卓端自行实现工信部要求的隐私合规检测一(教你手写Xposed模块代码)& ...

最新文章

  1. 程序员必备注释模板---佛祖保佑
  2. 网站建设技术方案_企业网站建设解决方案
  3. exchange server 2003 安装过程中的一个问题
  4. Javascript之浏览器对象
  5. 干货丨深度迁移学习方法的基本思路(文末送书)
  6. typedef 为类型取别名
  7. 人类如何感受到四维空间?
  8. before和after怎么区分_触发器before和after的区别
  9. [01] 四大组件之Activity
  10. 【MYSQL笔记】MYSQL监视器
  11. Beta版本展示博客
  12. 八种不要钱的男士护肤方法 - 生活至上,美容至尚!
  13. mysql执行计划(explain)
  14. jsp15公安海警学院值班管理系统(jsp+servlet+mysql)
  15. 关于学习的三个认知升级
  16. 因子分析(Factor Analysis)
  17. RALL机制的线程锁
  18. 计算机电路板 接地,pcb电路板接地怎么接
  19. html流星雨页面,HTML5炫酷流星雨特效
  20. opencv——图像中关于轮廓的一些操作

热门文章

  1. Win10 磁盘管理、分盘、扩展压缩
  2. 超无敌搞笑的 Q 版语文 ^_^
  3. 2012-IJCV - Non-uniform deblurring for shaken images
  4. 分享你一份超详细的公众号文章制作流程,注意查收
  5. 远程连接别人电脑教程,超详细(命令行方式)
  6. killall 后面信号_killall 、kill 、pkill 命令区别
  7. Linux 防火墙及端口配置
  8. python之mysql数据库连接与封装
  9. 时间复杂度如何推算?
  10. 各种实用符号图标及项目符号