国内政策愈发要求,《关于开展App违法违规收集使用个人信息专项治理的公告》,很多apk存在类似问题。
名称 | 存在的问题 |
---|---|
链家APP | 1.既未经用户同意,也未做匿名化处理,通过客户端嵌入的百度地图、个信互动、微博等SDK向第三方提供用户设备IMEI号、地理位置等个人信息;通过客户端嵌入的Crashlytics等SDK将收集Android ID等个人信息传输到美国亚马逊云服务器; |
招商银行掌上生活 | 既未经用户同意,也未做匿名化处理,通过客户端嵌入的个推、神策数据、微博等SDK向第三方提供设备IMEI号等个人信息; |
摘自App专项治理工作组反馈表
年初的顺网sdk事件,再到近期百度定位Android SDK安全漏洞,实际上,第三方sdk的安全以及隐私,已经极大影响到目前app的生态环境……
建议相关行业可以积极推动,共同制定第三方SDK安全准则、收集使用个人信息行为准则等。
所以本人开源以下工具:
Android SDK静态扫描器Coeus
https://github.com/wulio/Coeus
欢迎star 或者 watching
可以针对aar,jar一键式扫描,建议可以对已经使用过的sdk进行扫描,也可以直接去maven抓aar,生成相应报告进行分析~~这样分析报告越多,自然后续会更加重视
(实际上Coeus扫描器也可以针对apk进行分析,此框架可以复用)
python coeus.py xxx.aar
使用个推官网上下载的个推最新sdk,getui_2.13.3.0-gisdk_3.1.9.1-gssdk_2.3.0.0.aar
部分结果如下:
详细结果可以去工程查看result.xml内容
**有什么问题欢迎评论,issues
[进行中] 看雪20周年庆典12月28日上海举办,LV四级(中级)以上会员免费参与!,同时在校学生免费参加:学生报名链接!
最后于 1天前 被deff编辑 ,原因: 修改图片