Android SDK静态扫描器Coeus-隐私政策/安全/基础信息-开源工具
2019-12-25 13:52:53 Author: bbs.pediy.com(查看原文) 阅读量:483 收藏

[原创]Android SDK静态扫描器Coeus-隐私政策/安全/基础信息-开源工具

1天前 459

[原创]Android SDK静态扫描器Coeus-隐私政策/安全/基础信息-开源工具

Android SDK静态扫描器Coeus-隐私政策/安全/基础信息-开源工具

前言:

国内政策愈发要求,《关于开展App违法违规收集使用个人信息专项治理的公告》,很多apk存在类似问题。

名称 存在的问题
链家APP 1.既未经用户同意,也未做匿名化处理,通过客户端嵌入的百度地图、个信互动、微博等SDK向第三方提供用户设备IMEI号、地理位置等个人信息;通过客户端嵌入的Crashlytics等SDK将收集Android ID等个人信息传输到美国亚马逊云服务器;
招商银行掌上生活 既未经用户同意,也未做匿名化处理,通过客户端嵌入的个推、神策数据、微博等SDK向第三方提供设备IMEI号等个人信息;

摘自App专项治理工作组反馈表

sdk的安全问题分为以下类

  1. SDK违反政策,收集用户个人信息
  2. SDK借助app执行恶意操作
  3. SDK自身安全性问题

年初的顺网sdk事件,再到近期百度定位Android SDK安全漏洞,实际上,第三方sdk的安全以及隐私,已经极大影响到目前app的生态环境……

建议相关行业可以积极推动,共同制定第三方SDK安全准则、收集使用个人信息行为准则等。


开源

所以本人开源以下工具:
Android SDK静态扫描器Coeus

https://github.com/wulio/Coeus

欢迎star 或者 watching

Coeus静态扫描器介绍:

可以针对aar,jar一键式扫描,建议可以对已经使用过的sdk进行扫描,也可以直接去maven抓aar,生成相应报告进行分析~~这样分析报告越多,自然后续会更加重视
(实际上Coeus扫描器也可以针对apk进行分析,此框架可以复用)

usage
python coeus.py xxx.aar 
部分结果示例:

使用个推官网上下载的个推最新sdk,getui_2.13.3.0-gisdk_3.1.9.1-gssdk_2.3.0.0.aar

部分结果如下:

详细结果可以去工程查看result.xml内容


**有什么问题欢迎评论,issues

[进行中] 看雪20周年庆典12月28日上海举办,LV四级(中级)以上会员免费参与!,同时在校学生免费参加:学生报名链接!

最后于 1天前 被deff编辑 ,原因: 修改图片


文章来源: https://bbs.pediy.com/thread-256882.htm
如有侵权请联系:admin#unsafe.sh