背景
針對網(wǎng)絡數(shù)據(jù)安全這一問題,工信部剛剛印發(fā)《電信和互聯(lián)網(wǎng)行業(yè)提升網(wǎng)絡數(shù)據(jù)安全保護能力專項行動方案》(下稱“《方案》”) 睡互「停《方案》明確提出深化App違法違規(guī)專項治理,持續(xù)推進App違法違規(guī)收集使用個人信息專項治理行動湃缎,今年10月底前將完成全部基礎電信企業(yè)(含專業(yè)公司)犀填、50家重點互聯(lián)網(wǎng)企業(yè)以及200款主流App數(shù)據(jù)安全檢查。
問題及解決
但是目前針對app中使用的sdk的行為嗓违,測試人員是沒有辦法掌控的九巡。因為沒有辦法通過抓包或者其他手段能夠知道第三方的sdk到底有沒有嘗試去獲取你的手機號碼或者說mac地址等信息。
Android審核:用戶授權前獲取mac地址蹂季,imei等用戶敏感信息的方法(工信部要下架APP)
這篇文章給出了很好的解決措施冕广,需要通過 VirtualXposed 以及 VirtualXposed的一個模塊(HookLoginDemo, 這個模塊其實是由自己開發(fā)偿洁,來進行監(jiān)聽哪些應用或者說哪些方法使用的), 來解決這個事情撒汉。
步驟
- 下載 VirtualXposed以及HookLoginDemo 安全合規(guī) 密碼: b9mp 分別進行安裝后。
- 打開VirtualXposed涕滋, 添加待測的應用以及HookLogin到VirtualXposed中睬辐。
image
image
- 進入模塊管理中,將新添加的HookLogin模塊進行勾選宾肺,同時重啟VirtualXposed;
image
image
image
- 從VirtualXposed 中打開新添加的應用溯饵。
image
-
從android studio的logcat中過濾LogoinHook的字樣,就可以看到對應的應用調用了哪些方法以及是哪些sdk進行調用的了
image
