背景
针对网络数据安全这一问题,工信部刚刚印发《电信和互联网行业提升网络数据安全保护能力专项行动方案》(下称“《方案》”) 。《方案》明确提出深化App违法违规专项治理,持续推进App违法违规收集使用个人信息专项治理行动,今年10月底前将完成全部基础电信企业(含专业公司)、50家重点互联网企业以及200款主流App数据安全检查。
问题及解决
但是目前针对app中使用的sdk的行为,测试人员是没有办法掌控的。因为没有办法通过抓包或者其他手段能够知道第三方的sdk到底有没有尝试去获取你的手机号码或者说mac地址等信息。
Android审核:用户授权前获取mac地址,imei等用户敏感信息的方法(工信部要下架APP)
这篇文章给出了很好的解决措施,需要通过 VirtualXposed 以及 VirtualXposed的一个模块(HookLoginDemo, 这个模块其实是由自己开发,来进行监听哪些应用或者说哪些方法使用的), 来解决这个事情。
步骤
- 下载 VirtualXposed以及HookLoginDemo 安全合规 密码: b9mp 分别进行安装后。
- 打开VirtualXposed, 添加待测的应用以及HookLogin到VirtualXposed中。
image
image
- 进入模块管理中,将新添加的HookLogin模块进行勾选,同时重启VirtualXposed;
image
image
image
- 从VirtualXposed 中打开新添加的应用。
image
-
从android studio的logcat中过滤LogoinHook的字样,就可以看到对应的应用调用了哪些方法以及是哪些sdk进行调用的了
image
