ZKX's LAB

App用户隐私测试初探

2020-09-03新闻14

背景:

随着Android版本的不断更新,对APP的要求越发严格,主要体现在用户隐私的获取上;

目前工信部对各种应用上线要求严格,用户未同意隐私调用时,严禁APP获取用户隐私信息。

测试手段迭代:

输入法测试在隐私验证共迭代了三种测试方法,分别是:

① 监控接口的信息(加/解密后信息)中是否包含隐私信息;

② 监控Logcat的所有信息中是否包含隐私信息;

③ 监控系统隐私接口函数;

前两种方法主要验证APP是否将用户隐私信息进行外传,第三种方法验证APP是否获取了用户的隐私信息。

下面介绍一下三种测试方法:

一、接口监控(适用于用户同意APP获取隐私后的安全测试)

测试手段:Fiddler-Script修改抓包

方法:

改写Fiddler-Script,监听每一条请求的Header、Body内容,判断是否包含用户隐私信息,打印log的同时将结论输出到文档中,便于查看。

在OnBeforeRequest中添加如下代码:

二、logcat日志监控(适用于用户同意APP获取隐私后的安全测试)

测试手段:监控Logcat是否有应用写入包含隐私信息的日志;

方法:此处方法比较多,可以通过Studio监控过滤,也可以通过Adb直接过滤等,该方法较简单,在此不详细介绍。

三、监控系统隐私接口函数(适用于用户未同意APP获取隐私前的安全测试)

测试手段:在Root+Xposed设备上,通过Hook系统隐私接口函数,来监控是否有应用调用该接口;

方法:(举例获取Mac地址)

编写Hook工具,关键代码如下:

在用户未同意隐私权限获取时,使用APP,调节时间等,检查Log中是否有接口调用信息。

以上为本次隐私获取问题测试中的一点心得,希望能给大家带来帮助。

随机阅读

qrcode
访问手机版