APP隐私合规安全测试基础培训.pptx

APP隐私安全合规评测基础培训 培训人：程 伟 背景 目前,大量的移动app在使用过程中，涉及个人隐私信息和敏感信息。在个人信息处理、共享、转让、公开披露过程中，管理流程和技术手段不规范造成个人信息泄露的安全事件层出不穷。中央网信办、工信部、公安部、市场监管总局指导成立App违法违规收集使用个人信息专项治理工作组（app专项治理工作组）组织展开手机使用个人信息评估工作，收到举报信息线下超过3480条，其中实名举报1040余条，涉及1300 余款App。被举报App主要集中在金融借贷、社区社交、网上购物、短视频与直播、即时通讯等领域。 没有隐私条款未明确收集个人信息 收集个人信息权限，未明确告知用户 收集与业务功能无关的个人信息 未经用户同意向他人提供用户信息 强制索要与用户功能无关的权限 法律法规其他规范要求 《APP违法违规收集使用个人信息专业治理》 《关于开展APP安全认证工作的公告》 参考依据（举例部分）： 《工信部APP侵害用户权益专项整治8项要求》 《工信部164号文》 APP隐私合规怎么做？ 6、APP通信传输 7、APP数据存储 8、APP源文件安全 4、APP违法权限检测 5、第三方SDK检测 9、身份认证风险 二、APP基本信息检测 1、违规收集个人信息 2、超范围收集个人信息 3、违规使用个人信息 4、强制用户使用定向推送功能 5、APP强制、频繁过度索取权限 6、APP频繁自启动和关联启动 四、APP违法权限检测 3、尝试使用未声明权限 4、过度声明风险 5、安全加固情况 2、敏感权限风险 1、声明权限 6）提供注销账号的途径，注销方式应简单易懂、易于操作，并在用户注销账号后删除或者匿名化处理个人数据，且来自该用户的接口调用都不能成功 7)提供用户查询、更正、删除个人数据的途径 测试思路： 1）手动检查隐私条款 2）通过接口调用 3）通过adb命令查看日志 主要包含以下几小点： 1）通过反编译 APK 包，获取 AndroidManifest.xml 文件，检测应用在 AndroidManifest.xml 文件中配置的权限，即声明的权限，包括谷歌官方权限、应用开发者定义的权限。 2）在收集个人数据之前应以弹窗等显著方式提供隐私声明 3）隐私声明可供用户随时查阅，查阅方式应易于操作 4）隐私声明中详细说明信息 5）需要持续跨设备访问敏感权限，访问设备提示用户在持续使用用户的个人数据 2、敏感权限风险 1)发布版本版本不包含应用日志，或打印的日志不存在敏感信息 主要包含以下几小点： 2)通过反编译 APK 包，获取 AndroidManifest.xml 文件，检测应用在 AndroidManifest.xml 文件中配置的权限，权限的等级为敏感等级。 测试思路： 1）手动检查隐私条款 2）通过adb命令查看相关日志 3、尝试使用未声明权限 主要包含以下几小点： 1)通过反编译 APK 包，获取 AndroidManifest.xml 文件，检测应用在 AndroidManifest.xml 文件中配置的权限，获取声明权限。再通过动态沙箱检测，获取应用权限行为数据，进行对 比，获取尝试使用未声明权限。 4、过度声明风险 1)通过反编译APK 包，获取 AndroidManifest.xml 文件，检测应用在 AndroidManifest.xml 文件中配置的权限，获取声明权限。再通过动态沙箱检测，获取应用权限行为数据，进行对比，获取尝试使用未声明权限。 主要包含以下几小点： 5、APP 安全加固情况 1)检测 APK 包中加固后的 so 库的名称，通过识别不同厂商的固定特征，判断 APK 的加固 主要包含以下几小点： 测试思路： 1）获取待检测APP，启动检测程序；解析 APP；获取APP内Androidmainfest.xml和classes.dex文件进行解析；获取Androidmainfest.xml 中的注册组件列表和classes.dex中的声明组件列表进行匹配；若注册组件列表不能在声明组件列表 中找到对应项，则确认APP加固 六、APP通信传输 七、APP数据存储 解决思路： /trufflesecurity/trufflehog ↑ 八、APP源文件安全 测试思路： 1、通过常用的反编译工具识别，检查是否能够得到核心代码。 2、检查应用是否对代码进行了混淆，是否可以轻易还原逻辑。 测试思路：APK中包含多种类型的资源文件，例如图片、ICON、H5文件等，直接对 APK进行解压缩就可以查看APK中的资源文件，窃取应用图标，篡改H5文件 ，植入钓鱼页面或者恶意代码，造成用户的敏感信息泄露。 九、身份认证风险 检测应用在敏感数据输入时是否使用不安全的系统键盘。 客户端的敏感界面如登录界面、