1、監(jiān)管機(jī)構(gòu)及政策

想要確保App安全合規(guī)，需要先了解相關(guān)政策法規(guī)。對于企業(yè)而言，App合規(guī)監(jiān)管背后，主要涉及哪些監(jiān)管機(jī)構(gòu)？包括中央網(wǎng)信辦、工業(yè)和信息化部、公安部和國家市場監(jiān)管總局，由四部門在全國范圍組織開展App違法違規(guī)收集使用個人信息專項治理活動。日常App開發(fā)中，主要是來自工信部的安全整改問題。

常見的法律法規(guī)包括《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護(hù)法》、《信息安全技術(shù)個人信息安全規(guī)范》、《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》等。

圖1 移動安全相關(guān)法律法規(guī)

近幾年，工信部不斷開展推進(jìn)App侵害用戶權(quán)益專項整治行動，整治對象包括三大類，即App服務(wù)提供者（即應(yīng)用軟件，包括快應(yīng)用和小程序等新應(yīng)用形態(tài)）、軟件工具開發(fā)包(SDK)提供者、應(yīng)用分發(fā)平臺。

下面是App典型違規(guī)問題分類：

• 違規(guī)收集用戶個人信息方面，包括“私自收集個人信息”、“超范圍收集個人信息”；
• 違規(guī)使用用戶個人信息方面，“私自共享個人信息給第三方”、“強(qiáng)制用戶使用定向推送功能”；
• 不合理索取用戶權(quán)限方面，“不給權(quán)限不讓用”、“頻繁申請權(quán)限”、“過度索取權(quán)限”；
• 為用戶賬號注銷設(shè)置障礙方面，即“賬號注銷難”。

2、檢測手段

對App的安全合規(guī)檢測手段除了工信部的定期抽查，自查手段包括人工檢測、通過采購第三方的App漏洞掃描工具（目前第三方漏洞掃描產(chǎn)品有：愛加密、梆梆、360等），也有一些開源的第三方工具檢測套件輔助使用。從技術(shù)形態(tài)上可以分為靜態(tài)檢測方案與動態(tài)檢測方案，以下分別作簡要介紹。

2.1 靜態(tài)檢測方案

靜態(tài)檢測方案基于反編譯技術(shù)通過對移動應(yīng)用的安裝包反編譯出代碼文件，逐個掃描驗證分析，主要對配置文件、源碼文件、資源文件和so等文件進(jìn)行靜態(tài)掃描，檢測移動應(yīng)用中敏感權(quán)限申請及隱私相關(guān)API代碼，生成精準(zhǔn)可視化安全報告。

在該領(lǐng)域中，常用到以下工具：

? Apktool : 反編譯安卓Apk，可以反編譯資源，并在進(jìn)行修改之后重新打包Apk。

? dex2jar : 將Apk反編譯成Java源碼（classes.dex轉(zhuǎn)化成jar文件）。

? baksmali：dex文件轉(zhuǎn)化成smali文件。

利用上述工具，開發(fā)者可以基于安全隱私規(guī)范，制定相應(yīng)的安全檢測項，利用腳本檢測到存在的安全隱私問題。

下面是Android系統(tǒng)中典型的敏感API：

圖2 Android典型敏感API

優(yōu)點：檢測速度快、通用性強(qiáng)、技術(shù)簡單。

缺點：無法確定是否合規(guī)、加固后無法檢測。

2.2 動態(tài)檢測方案

通過抓包&Hook沙箱或操作系統(tǒng)沙箱技術(shù)，在APP運行的過程中，針對特定API進(jìn)行埋點（可參考上文敏感函數(shù)），查看App是否執(zhí)行了埋點的API，從而判斷是否合規(guī)。

? 應(yīng)用場景

• 通過抓包的方式，在同意《隱私政策》之前查看流量中是否出現(xiàn)敏感數(shù)據(jù)。
• 通過Hook技術(shù)，對敏感函數(shù)進(jìn)行埋點，在同意《隱私政策》之前查看埋點的函數(shù)是否執(zhí)行。

? 工具推薦

• 抓包工具，burpsuite/charles/fiddler等
• Hook框架，frida/Xposed框架等

優(yōu)點：檢測確認(rèn)性高100%能檢測（不會受加固影響）。

缺點：技術(shù)復(fù)雜、通用性差。

3、常態(tài)化&防劣化技術(shù)

常規(guī)的檢測手段基于安裝包，適用于第三方檢測，在技術(shù)手段上受限，不能高效徹底的檢測安全合規(guī)問題。人工抓包方式耗時長且覆蓋率低，Hook系統(tǒng)方式往往前提是需要手機(jī)root，隨著移動安全的發(fā)展，root手機(jī)已不再輕松，成本高，都不適用于常態(tài)化安全合規(guī)自查。

對于大型App而言，業(yè)務(wù)復(fù)雜，接入的第三方SDK眾多，開發(fā)過程中難免踩雷。常規(guī)檢測手段很難充分全量排查，且無法常態(tài)化（工信部、第三方機(jī)構(gòu)檢測次數(shù)有限）。相對基于APK的安全自查，開發(fā)者具有一個顯著的優(yōu)點，那就是擁有源碼權(quán)限，可以自由在編譯等各階段插入自定義安全檢測邏輯?；诖?，App開發(fā)可以實現(xiàn)更加深入徹底的安全合規(guī)自查，切實保障用戶隱私安全。

下面就在源碼權(quán)限基礎(chǔ)上提出了兩種常態(tài)化深度安全合規(guī)自查方案。從技術(shù)形態(tài)依然可以分為靜態(tài)檢測及動態(tài)檢測模式。

方案的靜態(tài)檢測能力基于Python腳本，實現(xiàn)App引用三方SDK的全列舉，快速檢測各個三方SDK中隱私權(quán)限、網(wǎng)絡(luò)請求、隱私API和漏洞API調(diào)用情況?？蓞f(xié)助工信部安全審查問題快速整改。整體實現(xiàn)思路：

1??基于App依賴樹，采用深度優(yōu)先遍歷算法，快速查找App引用全部SDK列表，以及各個SDK使用的AndroidManifest.xml、jar和so文件。

2??使用反編譯工具cfr將jar包轉(zhuǎn)成java文件，同時使用dx工具將jar包轉(zhuǎn)成dex文件。然后，使用baksmali工具將dex文件轉(zhuǎn)化成smali文件。

3??讀取相關(guān)政策代碼及隱私代碼檢測策略、策略說明建議等json配置 。逐個分析AndroidManifest.xml中聲明的權(quán)限及相關(guān)包信息?；趈ava文件及smali文件，完成網(wǎng)絡(luò)請求、隱私API和漏洞API調(diào)用情況分析。

4??整合分析結(jié)果，輸出對應(yīng)檢測報告，開發(fā)人員根據(jù)檢測報告自查整改即可。

流程圖及隱私策略配置見圖3、圖4：

圖3 常態(tài)化靜態(tài)安全檢測流程

圖4 隱私策略配置文件

本方案有兩大優(yōu)點，第一，可快速檢測完App，輸出安全檢測報告，同時針對安全問題，有詳細(xì)的路徑說明，方便后續(xù)問題解決。第二，基于可變的隱私策略，支持json自定義隱私api、敏感api等，可擴(kuò)展性強(qiáng)。

方案的常態(tài)化動態(tài)檢測能力基于Gradle transform+ASM+Hook+動態(tài)代理編譯插樁技術(shù)，最終以Gradle插件的形式應(yīng)用于安全隱私檢測，基于編譯任務(wù)針對敏感API、隱私權(quán)限申請、網(wǎng)絡(luò)請求實現(xiàn)全局插樁檢測，同時輸出調(diào)用堆棧，方便問題排查。此方法直接在源碼編譯階段，通過ASM字節(jié)碼操作框架對字節(jié)碼進(jìn)行修改，兼容性好，且可以全工程無縫Hook。下面是Hook敏感API “getDeviceId”的一個代碼段示例。關(guān)于插樁技術(shù)末尾的參考文獻(xiàn)有更詳細(xì)的說明，這里不再細(xì)談。

圖5 Hook敏感API代碼段

4、結(jié)語

大數(shù)據(jù)時代，每一個人在互聯(lián)網(wǎng)中的畫像都是“數(shù)據(jù)化”的。近年來，App成為個人信息監(jiān)管的重點，工信部不斷開展App侵害用戶權(quán)益專項整治行動，開發(fā)者不僅要提高安全合規(guī)意識，還要一套完善的合規(guī)檢測體系，切實保障用戶信息安全，為App健康發(fā)展保駕護(hù)航。

參考文獻(xiàn)

[1] https://mp.weixin.qq.com/s/rCfUAB_xqSdZ3P0x5kLNkw

[2] http://www.gov.cn/zhengce/zhengceku/2020-08/02/content_5531975.htm