移動應用中的第三方SDK隱私合規檢測
概述:
工信部164號文[1]要求對SDK違規處理用戶個人信息進行整治,包括違規收集個人信息、超范圍收集個人信息、違規使用個人信息、強制用戶使用定向推送功能等違規內容。相關整治內容的檢測需要結合第三方SDK隱私聲明與SDK運行時行為進行判斷。本文簡要介紹如何提取與解析第三方SDK相關的隱私政策內容以及如何在運行時監控第三方SDK處理個人隱私數據。
工信部164號文中對于SDK違規處理個人信息的檢測內容:
(一)APP、SDK違規處理用戶個人信息方面。
1.違規收集個人信息。重點整治APP、SDK未告知用戶收集個人信息的目的、方式、范圍且未經用戶同意,私自收集用戶個人信息的行為。
2.超范圍收集個人信息。重點整治APP、SDK非服務所必需或無合理應用場景,特別是在靜默狀態下或在后臺運行時,超范圍收集個人信息的行為。
3.違規使用個人信息。重點整治APP、SDK未向用戶告知且未經用戶同意,私自使用個人信息,將用戶個人信息用于其提供服務之外的目的,特別是私自向其他應用或服務器發送、共享用戶個人信息的行為。
4.強制用戶使用定向推送功能。重點整治APP、SDK未以顯著方式標示且未經用戶同意,將收集到的用戶搜索、瀏覽記錄、使用習慣等個人信息,用于定向推送或廣告精準營銷,且未提供關閉該功能選項的行為。
第三方SDK隱私政策提取與解析
針對第三方SDK隱私聲明的提取,按照應用隱私政策呈現的方式,可以分為兩種主要形式:1、直接在應用隱私聲明中陳述(如圖1所示)。2、在隱私聲明中提供跳轉形式單獨表述(如圖2所示)。針對第2種情況,需要對第三方SDK隱私聲明的文本跳轉內容進行提取。
圖1 正文中的第三方SDK隱私聲明? ? ? ? ? ? 圖2? ? 第三方SDK隱私聲明鏈接? ? ? ? ? ? ?圖3 表格形式呈現的第三方隱私政策
調研表明,當第三方SDK的隱私聲明以跳轉方式另行表述時,目標跳轉頁面通常通過webview進行呈現,并且當前應用的隱私聲明也由webview進行呈現。原因可能在于使用url借助webview進行跳轉,不需要另行開發跳轉過程,否則需要通過封裝intent進行不同應用頁面之間的跳轉。
對第三方SDK隱私聲明內容進行提取,存在兩種可行方案。一、獲取第三方SDK超鏈接,進而通過url解析文本。二、獲取第三方SDK超鏈接文字在頁面上的位置,通過模擬點擊跳轉,然后通過uiautomator獲取頁面文字。第二種方案可由《移動應用隱私合規檢測簡介及目標檢測技術的應用》 中所述的方案進行文本定位。但是考慮到部分應用使用表格形式展示接入的第三方SDK的情形,如果通過uiautomator獲取頁面文字將丟失表格樣式信息,增加解析難度。因此優先采用第一種方案,具體步驟為:
1、利用hook技術添加代碼 webView.setWebContentsDebuggingEnabled(true);
2、獲取第三方SDK超鏈接,并跳轉;
3、基于Chrome DevTools Protocol [2]獲得帶樣式的文本。
按照第三方SDK內容展示的形式,可以分為三類:1、以表格形式(如圖3);2、無樣式列表(如圖1);3、無固定格式。對于第1種形式,根據前文所述可以使用基于Chrome DevTools Protocol的方案可以解決。對于第2種形式,我們開發了一個啟發式重復格式行查找算法,找出相鄰SDK隱私陳述的分界。而對于第3中形式,除在單行中陳述單個SDK隱私政策的情況外,其余情況目前難以關聯SDK主體與其對應的隱私陳述,這種情形在實際的應用中出現較少。
至此,我們完成了隱私政策中的第三方SDK隱私聲明的提取與解析,方案小結如下表:
正文中展示
跳轉單獨展示
表格形式
基于Chrome DevTools Protocol方案
1、獲取跳轉鏈接
2、基于Chrome DevTools Protocol方案
無樣式列表
啟發式重復格式行查找算法
1、獲取跳轉鏈接
2、啟發式重復格式行查找算法
無固定格式
按行解析
1、獲取跳轉鏈接
2、按行解析
小結:
在移動應用隱私合規檢測中,第三方SDK隱私聲明由于其展現位置展現形式的多樣性,自動化提取與解析是比較困難的任務。我們通過調研統計,對常見的第三方SDK隱私聲明展現方式進行總結,歸納出一套自動化的解析方案,以增強對第三方SDK隱私違規行為的檢測能力。
文末福利:華為云移動應用安全服務新品特惠,了解詳情>>>
引用:
【1】 工業和信息化部關于開展縱深推進APP侵害用戶權益專項整治行動的通知, http://www.gov.cn/zhengce/zhengceku/2020-08/02/content_5531975.htm
【2】 Chrome DevTools Protocol,https://chromedevtools.github.io/devtools-protocol/
漏洞掃描服務 移動應用測試 MobileAPPTest 等保合規
版權聲明:本文內容由網絡用戶投稿,版權歸原作者所有,本站不擁有其著作權,亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容,請聯系我們jiasou666@gmail.com 處理,核實后本網站將在24小時內刪除侵權內容。
版權聲明:本文內容由網絡用戶投稿,版權歸原作者所有,本站不擁有其著作權,亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容,請聯系我們jiasou666@gmail.com 處理,核實后本網站將在24小時內刪除侵權內容。
相關文章
