5月6日, 工信部通报了56款APP(SDK)侵害用户权益行为,主要涉及APP强制、频繁、过度索取权限;违规收集个人信息;强制用户使用定向推送功能;欺骗诱导强迫用户;违规收集个人信息;超范围收集个人信息;强迫收集非必要个人信息等。其中有8款微信小程序,存在违规收集个人信息和强制用户使用定向推送的功能。
近年来,个人信息安全问题备受关注。工信部在APP管理、治理方面进行了重要举措,综合施策,不断完善治理体系。通过强化关键责任链监管,建立主体责任落实不到位的应用商店排名通报机制,督促应用商店加强自查清理、下架问题APP、开展新增APP上架审核等用户专项整治。315晚会也屡次曝光了部分破解版APP成永不消失的追踪器、”免费WiFi“APP暗藏陷阱导致隐私大曝光等个人信息安全问题。
作为国内知名的移动信息安全综合服务提供商,爱加密深耕于移动应用个人信息安全领域多年,积累了丰富的行业实践经验和服务经验。可针对不同的个人信息安全业务场景,如应用分发渠道、大型开发企业、小型开发企业、监管机构、测评机构等,提供专业的移动应用个人信息安全检测、个人信息安全合规测评服务。强大的安全检测技术和合规能力,帮助监管机构准确、有效地提供行政执法依据;帮助测评机构出具专业的个人信息测评报告;帮助应用开发企业在应用发布前评估个人信息的安全性和合规性。
产品架构
核心功能
1、快速检测、深度检测
快速检测:a.支持批量进行;b.全流程自动化,无需人工参与;c.授权前行为、前台行为、后台行为;d.自动化法规检测
深度检测:a.支持多任务并发;b.通过人工配合对APP进行全方位的检测,避免遗漏违规点;c.法规检测,满足当下主流法规、条文检测,对APP进行合规判断。
2、检测类型
覆盖移动端2大主流操作系统——Android、iOS;可支持SDK集成到空白APP进行个人信息合规检测SDK行为和支持微信小程序个人信息合规检测。
3、自动化法规检测
通过自动化遍历、阶段行为检测、隐私政策文本获取等技术,针对164号文、191号文、个人信息安全规范35273中可自动化执行检测的检测项进行快速检测。
4、深度&法规检测
深度检测:执行静态检测后手动启动动态检测,可视化界面实时查看APP运行及应用行为监控和网络传输监控,实时查看函数调用。
法规检测:通过可视化界面,完成法规检测,包含APP违法违规手机使用个人信息品评估指南、信息安全技术个人信息安全规范( GB/T 35273 )/工信部APP侵害用户权益专项整治8项要求(337号文)、APP违法违规收集使用个人信息行为认定方法(191号文)。
5、SDK检测能力
静态、动态相结合;
静态:通过唯一标识精准识别SDK信息、版本;
动态:行为调用栈判别、区分行为应用主体或SDK;
识别内容:收集使用个人信息行为、权限使用情况、通信IP次数、收集使用个人信息。
6、应用行为检测
提供硬件级“手机沙箱仿真系统”,实现代码应用“真实”运行分析。沙箱内核跟踪、识别、记录代码的行为活动以及获取行为结果数据。
通过脱壳、反编译分析APK、IPA应用包,解析个人信息关键行为函数,定位代码位置,输出代码片段。
目前手机沙箱及静态行为函数分析可识别100+的应用行为。
7、通信传输行为分析
Android:对Android原生系统进行行为识别,拦截网络数据,再将数据包发送到后端进行数据解析。
iOS:对iOS原生系统进行行为识别,拦截网络数据,再将数据包发送到后端进行数据解析。
微信小程序:对微信上的小程序进行行为识别,拦截网络数据,再将数据包发送到后端进行数据解析。
8、存储、传输个人信息
存储个人信息:分析APP运行过程中新建、修改的文件内容,是否将个人信息明文存储至本地;
传输个人信息:分析APP运行过程中传输的数据,是否明文传输,是否对个人信息进行发送至第三方服务器;
通过分析存储、传输个人信息判断个人信息的收集使用是否符合个人信息保护政策内容;
a.可定位行为触发主体;b.函数调用栈分析APP触发的功能位置;
9、云手机(Android)
全程Web端执行,无需安装客户端、插件,无需配备实体沙箱手机,操作更简便;
解决实体沙箱手机升级不及时、故障排查难等问题;
多线程并行,提高检测效率,减少等待过程;
兼容实体沙箱手机,解决云手机繁忙等待问题,适配不同需求。
10、iOS快速检测无需实体手机
全程Web端执行,无需安装客户端、插件,无需配备实体沙箱手机,操作更简便;
解决实体沙箱手机升级不及时、故障排查难等问题;
多线程并行,提高检测效率,减少等待过程;
爱加密线上云平台连接有MAC mini和iPhone手机,使用云平台进行快速检测时全程Web端执行。
11、iOS支持扫码检测
iOS深度检测支持使用沙箱手机进行扫码检测,无需配备MAC电脑;
解决无法使用或者采购MAC电脑等问题。
12、支持微信小程序检测
与安卓自动化检测类似,支持微信小程序在云手机上运行;
解决微信账号问题,客户可自行准备微信,在开启检测前手动登录微信,保持登录完成检测任务。
13、敏感信息库
敏感SDK库:涵盖了市场常见常用的SDK,在自动化检测时能有效识别SDK主体;
敏感词汇库:个人信息规范35273中定义的个人信息及敏感个人信息;
敏感权限库:基本涵盖了所有的应用行为权限,准确识别应用在运行过程中调用行为权限。
优势价值
1、SAAS
平台支持SAAS、本地部署、一体机、接口、报告等多种模式提供服务。
2、批量自动化检测能力
云手机结合自动化遍历技术,可完成大批量自动化合规风险检测,快速发现APP中存在的合规风险,目前可针对164号文中30个检测场景进行自动化检测,191号文中18个检测场景进行自动化检测,一天最多可完成5000个APP检测。
3、iOS、Android检测
覆盖移动端2大操作系统。
4、小程序检测
专家平台可实现微信小程序人工检测能力。