点击蓝字 关注我们
日期:2024年07月12日
作者:L-Center
介绍:移动应用隐私测试工具-appscan。
0x00 前言
AppScan是同程旅行安全应急响应中心开源的项目。
是基于动态行为分析,并且可以实时抓取APP使用过程中采集信息的隐私测试工具。
0x01 工具下载及使用
1.1 前期准备和支持环境
AppScan支持的环境:
windows: 10及以上android: 8.x及以上app: 64位/未加固(有时候引入的第三方sdk也会自带一些反检测功能)雷电模拟器9
在雷电模拟器中需要在【设置-其他设置】中开启root权限, 设置ADB调试为开启本地连接。
对于手机及APP的要求:
1、安卓手机ROOT并打开了ADB调试
2、连接时必须允许软件申请ROOT并同意ADB调试
3、APP为未加壳的
1.2 安装使用
工具下载地址:https://github.com/tongcheng-security-team/AppScan
下载完成后双击即可自动安装,无需环境搭配、安装即用。
启动测试平台后使用root的手机通过数据线连接电脑。
完成后点击【连接到设备开始隐私合规检测】。
这时手机会弹窗提示是否同意授权允许usb调试。
授权成功后会自动读取手机里的应用列表并显包名和版本号。
选择好需要测试的App并开始测试。
这里以某日记为例,开始测试后会有三个列表,分别为【打标列表】、【关注列表】和【网络行为】。
在手机出会自动弹出App的使用界面,我们需要根据使用结果对【打标列表】出进行打标,确认是否存在隐私问题。
【关注列表】则显示获取到的权限信息。
在【关注列表】里也可以根据操作行为进行问题标记。
【网络行为】里则是抓取到应用程序的数据包,包括类型、域名和方法。
我们可以点击详情来具体的查看请求包和返回包。
当对App测试完成后点击停止检测,在历史处会得到测试结果。
在【应用权限信息】、【第三方SDK获取个人信息行为】、【应用自身获取个人信息行为】处。
我们可以看到在使用过程中App索要权限的次数、类型和主体。
以此来判断是否存在不当行为。
在完成所有测试后可将结果导出,完成本次测试。
0x02 总结
这款工具的好处是覆盖了《App违法违规收集使用个人信息行为认定方法》、国家标准GB/T35273《信息安全技术 个人信息安全规范》、《中华人民共和国网络安全法》等主流安全检测标准,并且可以批量的测试App并得到结果。
点此亲启
原文始发于微信公众号(宸极实验室):『工具使用』移动应用隐私测试工具-appscan
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论