androidapp隐私合规检测辅助工具项目仓库(隐私合规检测辅助工具项目仓库)

如今，APP隐私合规至关重要，各个监管部门都在持续对APP进行专项治理工作和核查通报工作，未合规APP被告知整改或者直接下架处理camille能够hook到Android的敏感接口本文介绍了隐私合规的相关概念以及Camille在移动医疗中的应用和实现方式，并对隐私合规进行测试验证。通过使用隐私合规工具对APP功能进行分析基于隐私合规场景协助查看是否满足隐私合规标准

AndroidApp隐私合规检测辅助工具项目仓库:1

https:

安装

环境:python3、frida，一部已经root的手机，运行frida-server到手机中

下载:

gitclonehttps://github.c_m/zhengjim/camille.gitcdcamillepipinstall-rrequirements.txtpythoncamille.py-h

使用方法

简便的用法:

pythoncamille.pycom.zhengjim.myapplication

com·zhengjim·myapplication是一个包名用于测试一个app，它将显示一个时间，一个行为以及一个调用堆栈用户通过对这些参数进行分析就能了解到当前系统中哪些活动是合法或不合法的。当系统运行时，这些数据也随之发生变化可基于情景对遵守情况进行评判，例如:敏感信息的获得是否先于对隐私政策的认同

pythoncamille.pycom.zhengjim.myapplication-ns-fdemo01.xls.

--ns:没有日志显示默认的显示

·f:将app的行为轨迹保存在去execl的过程默认不会保存

pythoncamille.pycom.zhengjim.myapplication-t3.

·t:hook在应用其函数或者含壳的时候，推荐用setTimeout，并且给一个合适的延时（1-5秒，要根据不同app来调整）免得hook落空默认不会延迟但在一些情况下，可以考虑将延迟时间加到5秒左右。如果你是个喜欢玩手机游戏的人。那么就应该尽量多玩游戏。否则会导致游戏速度变慢下图:没有任何延迟的hook是无效的

加上推迟hook的成功时间

合规自查清单

按照工信部信管函[2022]164号文件（共计37份）的有关要求形成了15份自测清单，企业可以结合实际安全合规需求进行自定

APP，SDK对用户个人信息的违规操作等

违规采集个人信息在互联网领域，存在着利用互联网技术和移动通信网络非法获取他人个人信息的现象重点纠正APP，SDK不告知使用者个人信息采集目的，方式和范围，擅自采集使用者个人信息

场景1:APP将用户个人信息和IMEI、MAC地址添加到软件安装列表中，并通过通讯录、短信等方式进行传播

场景2:APP通过隐私政策弹窗展示收集使用规则，MAC地址和IMEI等信息

情景3:APP通过隐私政策弹窗将收集使用规则告知用户，APP在软件列表中查找对应的设备MAC地址并进行相应操作，未发现有违反隐私政策的行为，但在软件列表中没有找到与设备MAC地址匹配的信息

情景4（人工自查）:APP在后台自动生成SDK，并将用户个人信息与SDK关联存储到IMEI中，同时将设备MAC地址、软件安装列表、设备通讯录及短信等信息添加到SDK中

情景5（人工自查）:APP未对用户明示SDK采集使用规则，SDK存在收集使用IMEI和设备MAC地址及软件安装列表、联系人名单、通讯录和发送短信等行为

场景6（人工自查）:用户通过手机登录APP，获取SDK，并将SDK中包含的MAC地址与软件安装列表进行匹配，如果匹配成功，则按照国家相关隐私政策要求对SDK中的MAC地址进行删除，否则重新生成新的软件安装列表

场景7:APP对好的”进行提示，我知道了’是什么意思？

情景八:APP向用户咨询同意的部分，设默认勾选

超范围收集个人信息近期以来，"信息泄露"事件频发集中整治APP，SDK等非服务必备或者不具备合理应用场景的问题，尤其要关注静默状态或者后台操作中超范围采集个人信息等问题

情景一（人工自查）:APP有采集IMEI，IMSI，设备MAC地址，软件安装列表，地点，联系人，通话记录，日历，短信，本机电话号码，照片，音视频等个人信息，不属于服务必须，不具备合理的应用情景

情景二:APP运行过程中没有通知用户和未征得用户同意的情况下，有按特定频率读取采集IMEI，IMSI，设备MAC地址，软件安装列表，地点，联系人，通话记录，日历，短信，本机电话号码，照片，音视频等个人信息的情况，这些信息是非服务必须的，不具备合理的应用情景，超过了实现商品或者服务业务功能的最低频率

场景三（人工自查）:APP没有明确SDK采集和使用规则给用户，在未征得用户同意的情况下，SDK有采集IMEI，IMSI，设备MAC地址，软件安装列表，地点，联系人，通话记录，日历，短信，本机电话号码，照片，音视频等内容，不属于服务必须，没有合理的应用场景，在与个人信息采集时宣称的目的有直接或者合理联系之外

4)当用户通过手机使用APP时，每间隔2秒采集一次IMEI，并将其与位置信息进行比对，判断是否符合应用场景和业务功能要求，若不满足则自动切换至最低频率

场景5:APP在运行时，IMSI中记录有设备序列号及对应的应用场景，但未对用户个人信息进行保护

情景6:APP在静默状态下，存在收集位置信息和获取IMEI（通讯录）、发送短信等信息的功能，不属于服务所必需且有合理应用场景，但不影响用户对个人信息的正常使用

情景7:APP未对SDK进行授权，未经用户同意，SDK在用户使用过程中，存在获取通讯录、短信和通话记录以及相机等设备拍摄照片等内容的行为，不符合应用场景要求，不属于收集个人信息之列

情景八:APP没有向用户明示SDK采集和使用规则，也没有征得用户的同意，SDK处于静默状态或者运行于后台，有按一定频率采集位置信息，IMEI，通讯录，短信和图片的情况，不属于服务必须，没有合理的应用情景，超过了与个人信息采集时宣称目的有直接或者合理联系的情形

重点整治未经用户同意，擅自获取用户个人信息根据《中华人民共和国刑法修正案》第四十四条规定:非法获取他人信息，情节严重或者有重大社会影响的；拒不改正违法行为或者采取补救措施后仍然继续危害公共安全的。依法依法追究刑事责任重点纠正APP，SDK在未通知用户和未征得用户同意的情况下，擅自利用个人信息并利用用户个人信息为自己提供服务以外的用途，尤其是擅自将用户个人信息发送到其他应用程序或者服务器上进行分享等问题

场景1:APP未对用户的个人信息进行任何处理，仅通过IMEI、IMSI、MAC、软件安装列表、联系人、通话记录、日历、短信、本机电话号码、音视频等方式获取用户个人信息，并通过第三方SDK进行存储

场景2:APP未授权第三方获取用户个人信息，如通过隐私政策，IMEI/设备MAC地址及/或软件安装列表获取用户个人信息，也可授权第三方SDK等企业或组织获取用户个人信息

场景3:通过人工自查发现，APP未对用户提供的设备识别信息、商品浏览记录、搜索使用习惯和软件安装列表中包含的个人信息进行审核，且未在APP服务器上对用户提供的第三方产品的个人信息进行审核

二是强化定向推送功能监管针对手机媒体领域存在的非法信息传播问题，国家互联网信息管理办公室近日印发《关于加强网络信息内容管理有关工作的通知》（以下简称《通知》），要求各地进一步规范网络信息内容管理APP通过调用SDK中的特定的应用，以不同的方式和不同的方式，对用户行为进行分析，并根据分析结果，采用不同的方式和方法，如通过用户搜索、浏览记录等方式获取用户的使用习惯，从而实现对用户个人信息的定向推送与精准营销，进而为用户提供更多的功能选项

场景1（人工自查）:若APP的定向推送功能未按照相关隐私政策要求进行，则无法通过定向推送实现精准营销

场景2（人工自查）:在APP定向推送功能下，用户可自行选择是否使用该功能，并对自己的个人信息来源和隐私政策进行确认

场景3（人工自查）:APP隐私政策中根据您的喜好进行个性化推荐”和定向推送功能均未提及是否提供个性化推送服务，个性化展示”与定推”则是两者共同作用的结果

场景四（人工自查）:APP通过隐私政策弹窗的方式明示有定向推送功能存在，没有给出退出或者关闭个性化展示模式选择，比如拒绝定向推送信息或者停止，退出和关闭对应功能等机制

设置障碍，经常骚扰使用者

APP强行，经常，过多地要求授权针对上述问题，APP应根据自身特点和非服务所必需的应用场景，合理设置授权申请对具有明显违反互联网管理规定，且已被责令整改但仍拒不改正的违法违规行为，依法依规予以处罚；对于严重违规，造成不良影响并可能构成刑事犯罪的行为，依法依法追究刑事责任重点整治在满足一定条件的情况下，如用户对应用的使用时间不超过短时长及高频次时，可以主动发起权限申请，以解决当前工作中存在的服务场景复杂且难以界定的问题要着重纠正不及时、不清楚地通知用户要求使用权限、事先应用超越了用户业务功能及其他权限范围

场景1（用户自检）:在手机上安装了该APP之后，首次登录时，通过电话、通讯录、定位等方式获取用户信息，并通过短信、图片、录音、视频、相机、存储、日历等方式进行弹窗循环

场景2（人工自查）:用户在使用APP时，根据当前的服务场景选择相应的权限，如通讯录、定位和短信、录音和相机、存储和日历等

场景3（人工自查）:APP运行时，通过电话、通讯录和定位、短信、图片、录音、视频、相机、存储和日历等方式对用户进行管理，并在后台对用户进行授权，当用户需要访问其他服务时，APP会自动开启相应服务

场景4（人工自查结束）:当用户再次登录APP时，根据当前服务场景选择相应的电话、通讯录和定位、短信、图片、录音、相机等权限进行操作，并将相关信息保存到本地，同时对存储、日历等资源进行弹窗循环。好地解决了上述问题

场景5（自动切换）:当用户需要使用APP时，先将手机上的通讯录、定位和短信、录音等功能切换为相机和存储，然后再根据自己的需求选择相应的功能，并将手机上的存储、日历等功能切换至当前服务场景下

场景6:当用户在APP上设置了上述权限后，若用户未主动申请到相应的权限，则无法通过界面提示用户进行操作，如用户没有主动申请到上述权限，则不能通过界面提示用户对其进行操作，如该用户已申请到上述权限且可通过界面提示用户使用上述权限，则可以通过界面提示用户选择是否使用上述权限，如用户未选择，则无法通过页面提示用户选择是否继续使用上述权限

场景7:APP在用户首次登录时，未主动提示用户是否需要申请通讯录和定位、短信、图片、录音、相机及日历等权限

场景8:在人工自查过程中发现，APP的各项业务功能如通讯录，定位、短信、相机、日历等易被用户滥用

APP的自启动和关联启动均需经过批准方可进行针对上述问题，应加强对互联网信息服务机构监管力度。一是完善相关法律法规，加大执法力度；二是强化自律管理，建立长效管理机制APP在不同的使用场景下是否会出现上述问题，本文以第三方APP为例进行分析

场景1:APP虽没有向用户明示并经其同意，但频繁自发动或关联启动发生于用户同意后

情景二:APP虽存在对用户的明示和用户的同意的环节，但是频繁的自启动或者相关启动都是在用户的同意之前进行的

情景三:APP非服务必备或者没有合理的应用情景，超范围地频繁自发起或者与第三方APP相关联发起

欺骗误导用户一方

欺骗误导使用者下载APP在互联网时代，欺骗误导用户下载的现象越来越普遍，严重影响了我国互联网安全和社会稳定。文章对当前互联网欺骗误导用户下载应用进行分类总结。针对不同类型进行分析。并提出相应对策如偷梁换梁”、移花接骨”等恶意行为，利用APP的分发功能，将用户手机上安装的其他移动应用程序导入到自己手机中去，从而达到诱导用户下载其他APP的目的

场景1:APP广告页面和开屏广告，以主屏为中心向周围扩散，诱导用户在APP上进行游戏或浏览其他APP

情景2:APP广告页面和开屏广告、主屏等功能页面以是否即刻开始游戏”的方式诱导用户自动安装非用户所自愿安装APP

情景3:APP广告页面和开屏广告、主屏等功能页面，通过领取红包”的方式诱导用户下载非用户所选择的APP

场景6（人工自查）:在APP广告页面和开屏广告中，如果发现主屏或其他功能页面存在关闭障碍时，则提示用户重新安装该APP

场景7（人工自查）:在APP广告页面和开屏广告中，对主屏等功能页面未进行审核的情况下，擅自将用户所需安装的软件添加到自己的APP中

个人信息不真实

本文主要针对这些问题进行了分析和研究，并提出了相应的解决方法，如:增加身份证号码等个人生物特征信息

～~【作者简介】作者长期从事软件测试及相关技术研究工作，对接口测试、自动化测试有较深的理解与认识，并参与了特斯汀软件测试”项目软件测试大厂介绍，Python自动生成测试用例和接口的方法以及框架搭建本书将从实际案例入手介绍软件开发的整个过程。让读者了解软件开发中最重要也是最容易出错的环节:需求分析。测试用例设计与编写等。同时讲解了项目实施流程技术大牛解难题，同仁们共同交流