作者 | 漏洞404
编辑 | L
[漏洞404] 学习文章
网络安全需要你我共同努力
如需转载,请联系平台
APP作为个人信息处理的重要载体,已成为监管重点,如不履行隐私合规义务,将会面临行政处罚与民事责任的双重后果。APP运营者需要主动合规、实质合规,以满足日益严格的监管要求。
APP隐私合规检查项
1、隐私政策协议
2 、APP功能设计
3 、APP权限申请和使用
4 、APP敏感信息获取
5、第三方SDK
APP隐私合规常见问题
•未说明收集使用个人信息目的、类型、方式(隐私协议)
•隐私政策未征得用户同意(隐私协议)
•超范围收集(APP逆向分析/或者通过调用堆栈检查)
•强制捆绑授权(APP功能设计)
• 未经用户同意收集个人信息(APP逆向和抓包分析/或者通过调用堆栈检查)
•申请权限或收集个人敏感信息未同步告知目的(APP功能设计/未经用户同意收集个人信息)
•实际收集使用个人信息行为与声明不一致(隐私协议/APP逆向分析/调用堆栈检查)
• 未经同意向第三方提供个人信息(APP逆向和抓包分析/调用堆栈检查)
• 未提供删除、更正或投诉举报的功能或渠道(隐私协议)
•未提供有效的注销用户帐号途径(隐私协议)
APP隐私合规参考依据和工具软件
参考评估手册
• 《移动互联网应用程序(App)收集使用个人信息自评估指南》
• 《App 违法违规收集使用个人信息自评估指南》
• 《App 违法违规收集使用个人信息行为认定方法》
参考工具
• jadx-gui
• 夜神模拟器/逍遥模拟器...
•真机
•camille
•其他...
隐私政策协议
• 《移动互联网应用程序(App)收集使用个人信息自评估指南》
• 《App 违法违规收集使用个人信息自评估指南》
两本官方手册进行评估,手册来自App 专项治理工作组 二零一九年三月编写主要用于 App 运营者对其收集使用个人信息的情况进行自查自纠。App 运营者应遵守《网络安全法》、《消费者权益保护法》等法律要求,参考个人信息保护国家标准,持续提升个人信息保护水平,总共分为以下内容
• 隐私政策文本独立性、易读性
• App 收集使用个人信息行为
• App 运营者对用户权利的保障
• 是否公开收集使用个人信息的规则
• 是否明示收集使用个人信息的目的、方式和范围
• 是否征得用户同意后才收集使用个人信息
• 是否遵循必要原则,仅收集与其提供的服务相关的个人信息
• 是否经用户同意后才向他人提供个人信息
• 是否提供删除或更正个人信息功能,或公布投诉、举报方式等信息
APP功能设计
•用户安装、注册或开启APP时,应主动提醒用户阅读隐私政策 (以弹框或者明显的提示【如隐私政策用户不易发现等...】)
• APP申请授权时,应该明确说明申请授权的功能目的、方式、范围(如相机权限用于人脸登录...等)
• 隐私协议、权限申请同意拒绝默认勾选的行为【用户未同意的情况下默认勾选】
• 用户拒绝授权之后,无法正常使用APP 【强制性用户授权使用,如登录某app 不登陆无法使用等】
•用户拒绝授权之后,频繁弹窗要求用户授权
•一揽子申请权限的行为【过多的申请权限】
APP权限申请和使用
APP权限申请和使用
APP权限申请函数
AndroidManifest.xml中声明的危险权限,在代码中未调用(冗余权限)反编译APP,查看Manifest文件中声明的危险权限,代码全局搜索(jadx-gui)
超过功能需要,申请一揽子权限 (过度申请)
一些全局搜索关键字:
•requestPermissions
向用户申请权限的方法
•checkSelfPermission
checkSelfPermission方法用于检测用户是否授权了某个权限。
•shouldShowRequestPermissionRationale
判断是否需要向用户显示权限说明弹窗
•PackageManager.PERMISSION_GRANTED
权限检查
•PackageManager.PERMISSION_DENIED
权限检查
APP敏感信息获取
常见问题:
•用户未同意隐私政策之前,进行imei、MAC、地理位置等设备信息的获取;运行时进行网络抓包,看三方SDK加载情况
•代码中获取了重要的用户信息,未在隐私政策中列举说明反编译查看代码,结合隐私政策内容
一些全局搜索关键字:
•getMacAddress
系统获取Mac地址的方法
•getDeviceId
获取IMEI和MEID和ESN
•getImei
反射获取IMEI和MEID的值
•getline1Number
获取到手机号
第三方SDK
常见问题:
• 隐私政策中未列明所有使用的SDK,以及各SDK申请的权限和会获取的个人信息反编译查看代码,梳理使用的SDK和SDK申请权限
• 隐私政策同意之前就初始化第三方SDK
抓包分析、反编译分析
隐私评估手册
• 《移动互联网应用程序(App)收集使用个人信息自评估指南》
• 《App 违法违规收集使用个人信息自评估指南》
• 《App 违法违规收集使用个人信息行为认定方法》
https://wwvg.lanzouj.com/ixd5r1eystzc
原文始发于微信公众号(漏洞404):APP隐私合规基础汇总
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论