移動(dòng)應(yīng)用中的第三方SDK隱私合規(guī)檢測(cè)
移動(dòng)應(yīng)用中的第三方SDK隱私合規(guī)檢測(cè)
工信部164號(hào)文[1]要求對(duì)SDK違規(guī)處理用戶個(gè)人信息進(jìn)行整治,包括違規(guī)收集個(gè)人信息、超范圍收集個(gè)人信息、違規(guī)使用個(gè)人信息、強(qiáng)制用戶使用定向推送功能等違規(guī)內(nèi)容。相關(guān)整治內(nèi)容的檢測(cè)需要結(jié)合第三方SDK隱私聲明與SDK運(yùn)行時(shí)行為進(jìn)行判斷。本文簡(jiǎn)要介紹如何提取與解析第三方SDK相關(guān)的隱私政策內(nèi)容以及如何在運(yùn)行時(shí)監(jiān)控第三方SDK處理個(gè)人隱私數(shù)據(jù)。
|
(一)APP、SDK違規(guī)處理用戶個(gè)人信息方面。 1.違規(guī)收集個(gè)人信息。重點(diǎn)整治APP、SDK未告知用戶收集個(gè)人信息的目的、方式、范圍且未經(jīng)用戶同意,私自收集用戶個(gè)人信息的行為。 2.超范圍收集個(gè)人信息。重點(diǎn)整治APP、SDK非服務(wù)所必需或無(wú)合理應(yīng)用場(chǎng)景,特別是在靜默狀態(tài)下或在后臺(tái)運(yùn)行時(shí),超范圍收集個(gè)人信息的行為。 3.違規(guī)使用個(gè)人信息。重點(diǎn)整治APP、SDK未向用戶告知且未經(jīng)用戶同意,私自使用個(gè)人信息,將用戶個(gè)人信息用于其提供服務(wù)之外的目的,特別是私自向其他應(yīng)用或服務(wù)器發(fā)送、共享用戶個(gè)人信息的行為。 4.強(qiáng)制用戶使用定向推送功能。重點(diǎn)整治APP、SDK未以顯著方式標(biāo)示且未經(jīng)用戶同意,將收集到的用戶搜索、瀏覽記錄、使用習(xí)慣等個(gè)人信息,用于定向推送或廣告精準(zhǔn)營(yíng)銷,且未提供關(guān)閉該功能選項(xiàng)的行為。 |
工信部164號(hào)文中對(duì)于SDK違規(guī)處理個(gè)人信息的檢測(cè)內(nèi)容:
第三方SDK隱私政策提取與解析
針對(duì)第三方SDK隱私聲明的提取,按照應(yīng)用隱私政策呈現(xiàn)的方式,可以分為兩種主要形式:1、直接在應(yīng)用隱私聲明中陳述(如圖1所示)。2、在隱私聲明中提供跳轉(zhuǎn)形式單獨(dú)表述(如圖2所示)。針對(duì)第2種情況,需要對(duì)第三方SDK隱私聲明的文本跳轉(zhuǎn)內(nèi)容進(jìn)行提取。
圖1正文中的第三方SDK隱私聲明 
圖2第三方SDK隱私聲明鏈接
圖3表格形式呈現(xiàn)的第三方隱私政策
調(diào)研表明,當(dāng)?shù)谌絊DK的隱私聲明以跳轉(zhuǎn)方式另行表述時(shí),目標(biāo)跳轉(zhuǎn)頁(yè)面通常通過(guò)webview進(jìn)行呈現(xiàn),并且當(dāng)前應(yīng)用的隱私聲明也由webview進(jìn)行呈現(xiàn)。原因可能在于使用url借助webview進(jìn)行跳轉(zhuǎn),不需要另行開(kāi)發(fā)跳轉(zhuǎn)過(guò)程,否則需要通過(guò)封裝intent進(jìn)行不同應(yīng)用頁(yè)面之間的跳轉(zhuǎn)。
對(duì)第三方SDK隱私聲明內(nèi)容進(jìn)行提取,存在兩種可行方案。一、獲取第三方SDK超鏈接,進(jìn)而通過(guò)url解析文本。二、獲取第三方SDK超鏈接文字在頁(yè)面上的位置,通過(guò)模擬點(diǎn)擊跳轉(zhuǎn),然后通過(guò)uiautomator獲取頁(yè)面文字。第二種方案可由《移動(dòng)應(yīng)用隱私合規(guī)檢測(cè)簡(jiǎn)介及目標(biāo)檢測(cè)技術(shù)的應(yīng)用》中所述的方案進(jìn)行文本定位。但是考慮到部分應(yīng)用使用表格形式展示接入的第三方SDK的情形,如果通過(guò)uiautomator獲取頁(yè)面文字將丟失表格樣式信息,增加解析難度。因此優(yōu)先采用第一種方案,具體步驟為:
1、利用hook技術(shù)添加代碼webView.setWebContentsDebuggingEnabled(true);
2、獲取第三方SDK超鏈接,并跳轉(zhuǎn);
3、基于Chrome DevTools Protocol [2]獲得帶樣式的文本。
按照第三方SDK內(nèi)容展示的形式,可以分為三類:1、以表格形式(如圖3);2、無(wú)樣式列表(如圖1);3、無(wú)固定格式。對(duì)于第1種形式,根據(jù)前文所述可以使用基于Chrome DevTools Protocol的方案可以解決。對(duì)于第2種形式,我們開(kāi)發(fā)了一個(gè)啟發(fā)式重復(fù)格式行查找算法,找出相鄰SDK隱私陳述的分界。而對(duì)于第3中形式,除在單行中陳述單個(gè)SDK隱私政策的情況外,其余情況目前難以關(guān)聯(lián)SDK主體與其對(duì)應(yīng)的隱私陳述,這種情形在實(shí)際的應(yīng)用中出現(xiàn)較少。
至此,我們完成了隱私政策中的第三方SDK隱私聲明的提取與解析,方案小結(jié)如下表:
| 正文中展示 | 跳轉(zhuǎn)單獨(dú)展示 | |
| 表格形式 | 基于Chrome DevTools Protocol方案 |
1、獲取跳轉(zhuǎn)鏈接 2、基于Chrome DevTools Protocol方案 |
| 無(wú)樣式列表 | 啟發(fā)式重復(fù)格式行查找算法 |
1、獲取跳轉(zhuǎn)鏈接 2、啟發(fā)式重復(fù)格式行查找算法 |
| 無(wú)固定格式 | 按行解析 |
1、獲取跳轉(zhuǎn)鏈接 2、按行解析 |
小結(jié):
在移動(dòng)應(yīng)用隱私合規(guī)檢測(cè)中,第三方SDK隱私聲明由于其展現(xiàn)位置展現(xiàn)形式的多樣性,自動(dòng)化提取與解析是比較困難的任務(wù)。我們通過(guò)調(diào)研統(tǒng)計(jì),對(duì)常見(jiàn)的第三方SDK隱私聲明展現(xiàn)方式進(jìn)行總結(jié),歸納出一套自動(dòng)化的解析方案,以增強(qiáng)對(duì)第三方SDK隱私違規(guī)行為的檢測(cè)能力。
-
移動(dòng)應(yīng)用
+關(guān)注
關(guān)注
0文章
65瀏覽量
15575 -
SDK
+關(guān)注
關(guān)注
3文章
1045瀏覽量
46273
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
EE-303:將VisualDSP線程安全庫(kù)與第三方RTOS配合使用
武漢第三方三坐標(biāo)測(cè)量檢測(cè)中心協(xié)助外地用戶完成產(chǎn)品驗(yàn)收
第三方檢測(cè)機(jī)構(gòu)該如何提升核心競(jìng)爭(zhēng)力?
鴻蒙Flutter實(shí)戰(zhàn):05-使用第三方插件
三維天地低代碼開(kāi)發(fā)平臺(tái)助力第三方質(zhì)檢行業(yè)數(shù)據(jù)可視化
炬芯科技低功耗藍(lán)牙SoC通過(guò)Apple授權(quán)第三方測(cè)試機(jī)構(gòu)合規(guī)性驗(yàn)證
請(qǐng)問(wèn)esp8266會(huì)開(kāi)放使用第三方云服務(wù)器嗎?
x-ray射線無(wú)損檢測(cè)第三方檢測(cè)機(jī)構(gòu)廠家
工商網(wǎng)監(jiān)
評(píng)論