APP隐私合规基础汇总

admin 2024年2月9日16:53:07评论13 views字数 2131阅读7分6秒阅读模式

作者 | 漏洞404

编辑 | L

[漏洞404] 学习文章

网络安全需要你我共同努力

如需转载,请联系平台

APP隐私合规基础汇总

APP作为个人信息处理的重要载体,已成为监管重点,如不履行隐私合规义务,将会面临行政处罚与民事责任的双重后果。APP运营者需要主动合规、实质合规,以满足日益严格的监管要求。

APP隐私合规检查项

1、隐私政策协议 

2 、APP功能设计 

3 、APP权限申请和使用 

4 、APP敏感信息获取 

5、第三方SDK

APP隐私合规常见问题 

 •未说明收集使用个人信息目的、类型、方式(隐私协议) 

 •隐私政策未征得用户同意(隐私协议) 

 •超范围收集(APP逆向分析/或者通过调用堆栈检查) 

 •强制捆绑授权(APP功能设计) 

 • 未经用户同意收集个人信息(APP逆向和抓包分析/或者通过调用堆栈检查) 

 •申请权限或收集个人敏感信息未同步告知目的(APP功能设计/未经用户同意收集个人信息) 

 •实际收集使用个人信息行为与声明不一致(隐私协议/APP逆向分析/调用堆栈检查) 

 • 未经同意向第三方提供个人信息(APP逆向和抓包分析/调用堆栈检查) 

 • 未提供删除、更正或投诉举报的功能或渠道(隐私协议) 

 •未提供有效的注销用户帐号途径(隐私协议)

APP隐私合规参考依据和工具软件

参考评估手册

• 《移动互联网应用程序(App)收集使用个人信息自评估指南》 

• 《App 违法违规收集使用个人信息自评估指南》 

• 《App 违法违规收集使用个人信息行为认定方法》

APP隐私合规基础汇总

参考工具

• jadx-gui 

• 夜神模拟器/逍遥模拟器...

•真机

•camille

•其他...

隐私政策协议

• 《移动互联网应用程序(App)收集使用个人信息自评估指南》

 • 《App 违法违规收集使用个人信息自评估指南》

两本官方手册进行评估,手册来自App 专项治理工作组 二零一九年三月编写主要用于 App 运营者对其收集使用个人信息的情况进行自查自纠。App 运营者应遵守《网络安全法》、《消费者权益保护法》等法律要求,参考个人信息保护国家标准,持续提升个人信息保护水平,总共分为以下内容

• 隐私政策文本独立性、易读性

 • App 收集使用个人信息行为

 • App 运营者对用户权利的保障

 • 是否公开收集使用个人信息的规则

 • 是否明示收集使用个人信息的目的、方式和范围

 • 是否征得用户同意后才收集使用个人信息

 • 是否遵循必要原则,仅收集与其提供的服务相关的个人信息

 • 是否经用户同意后才向他人提供个人信息

 • 是否提供删除或更正个人信息功能,或公布投诉、举报方式等信息

APP功能设计

 •用户安装、注册或开启APP时,应主动提醒用户阅读隐私政策 (以弹框或者明显的提示【如隐私政策用户不易发现等...】)

 • APP申请授权时,应该明确说明申请授权的功能目的、方式、范围(如相机权限用于人脸登录...等)

 • 隐私协议、权限申请同意拒绝默认勾选的行为【用户未同意的情况下默认勾选】

 • 用户拒绝授权之后,无法正常使用APP 【强制性用户授权使用,如登录某app 不登陆无法使用等】

 •用户拒绝授权之后,频繁弹窗要求用户授权 

 •一揽子申请权限的行为【过多的申请权限】

APP隐私合规基础汇总
APP隐私合规基础汇总
APP隐私合规基础汇总

APP权限申请和使用

APP隐私合规基础汇总

APP权限申请和使用

APP隐私合规基础汇总

APP权限申请函数

AndroidManifest.xml中声明的危险权限,在代码中未调用(冗余权限)反编译APP,查看Manifest文件中声明的危险权限,代码全局搜索(jadx-gui) 

 超过功能需要,申请一揽子权限 (过度申请)

一些全局搜索关键字: 

•requestPermissions 

向用户申请权限的方法

•checkSelfPermission 

checkSelfPermission方法用于检测用户是否授权了某个权限。

•shouldShowRequestPermissionRationale 

判断是否需要向用户显示权限说明弹窗

•PackageManager.PERMISSION_GRANTED 

权限检查

•PackageManager.PERMISSION_DENIED

权限检查

APP隐私合规基础汇总
APP隐私合规基础汇总

APP敏感信息获取

常见问题: 

•用户未同意隐私政策之前,进行imei、MAC、地理位置等设备信息的获取;运行时进行网络抓包,看三方SDK加载情况 

•代码中获取了重要的用户信息,未在隐私政策中列举说明反编译查看代码,结合隐私政策内容 

一些全局搜索关键字: 

•getMacAddress 

系统获取Mac地址的方法

•getDeviceId 

获取IMEI和MEID和ESN

•getImei

反射获取IMEI和MEID的值

•getline1Number

获取到手机号

第三方SDK

常见问题: 

• 隐私政策中未列明所有使用的SDK,以及各SDK申请的权限和会获取的个人信息反编译查看代码,梳理使用的SDK和SDK申请权限 

• 隐私政策同意之前就初始化第三方SDK 

抓包分析、反编译分析

隐私评估手册

• 《移动互联网应用程序(App)收集使用个人信息自评估指南》 

• 《App 违法违规收集使用个人信息自评估指南》 

• 《App 违法违规收集使用个人信息行为认定方法》

https://wwvg.lanzouj.com/ixd5r1eystzc

原文始发于微信公众号(漏洞404):APP隐私合规基础汇总

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月9日16:53:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   APP隐私合规基础汇总https://cn-sec.com/archives/2210409.html

发表评论

匿名网友 填写信息