检查 “同意用户隐私” 之前的隐私代码调用(epic > DexposedBridge)

2023-11-11 02:59

本文主要是介绍检查 “同意用户隐私” 之前的隐私代码调用(epic > DexposedBridge),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

        最近在小米开放平台上线时,驳回报告中说在用户同意之前获取了设备ID。

         一般来说,合规政策推出这么久了,又上线了这么多次,正常业务流程是不会再出现这种问题,就是怕一些第三方库在ContentProvider做初始化,然后调用了TelephonyManager的getDeviceId或getImei方法,这可能会导致未经用户同意就获取设备ID的情况。解决办法首先就是要找到调用这2个方法的代码位置,然后再避免在用户同意之前获取设备ID。

        要找出这样的代码,或者要实现一些类似判断app是否调用了某些方法的情况,靠肉眼和逻辑分析可能会很难受,还需要借助工具来帮我们判断。

        现在我要说的工具就是epic库中的DexposedBridge类,这个是它的中文说明文档:epic/README_cn.md at master · tiann/epic · GitHub 。这个库类在本文论述中的作用就是检测app中是否调用了某些方法。

        下面我们直接上使用步骤。

一、库的引入

1、在工程级的build.gradle中添加:

allprojects { repositories { ... maven { url 'https://jitpack.io' } } }

2、在主模块的build.gradle中添加:

implementation 'com.github.tiann:epic:0.11.2'

implementation 'com.github.tiann:epic:0.11.2@aar'

3、确保主模块的build.gradle中配置的CPU架构仅仅是:

abiFilters  "arm64-v8a"

        为什么只是它?因为上面那个链接里面有说:

4、确保你运行的设备的是 Android 5.0 ~ 11,原因见上图。

二、准备要监听的方法配置表

        在主模块的assets目录新建一个叫privacy.json的文件,文件内容如下:

{
    "methods": [
        {
            "className": "android.telephony.TelephonyManager",
            "method": "getDeviceId"
        },
        {
            "className": "android.telephony.TelephonyManager",
            "method": "getImei"
        }
    ]
}

        这个代码的意思很明显了,就是要监听className这个类当中的method方法。在本例中,就是要检查下app是否调用了TelephonyManager的getDeviceId和getImei方法。

三、实现对方法的监听(专业点叫Hook)

import android.content.Context;
import android.util.Log;import com.lancoo.homework.util.JsonUtil;import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStream;
import java.io.InputStreamReader;
import java.util.ArrayList;import de.robv.android.xposed.DexposedBridge;
import de.robv.android.xposed.XC_MethodHook;public class MyHook {public static void initPrivacy(Context context) {try {InputStream is = context.getAssets().open("privacy.json");Privacy privacy = JsonUtil.parseJson(getJson(is), Privacy.class);if (privacy == null) {Log.e("My", "没发现privacy.json,或者privacy.json里面没正确的东西");return;}ArrayList<PrivacyMethod> methods = privacy.methods;for (PrivacyMethod method : methods) {hookMethod(method.className, method.method);}} catch (IOException e) {e.printStackTrace();}}private static void hookMethod(String className, String method) {Class<?> clazz;try {clazz = Class.forName(className);} catch (ClassNotFoundException e) {e.printStackTrace();Log.e("My", "没发现privacy.json里面的className: " + className);return;}DexposedBridge.findAndHookMethod(clazz, method, new XC_MethodHook() {@Overrideprotected void beforeHookedMethod(MethodHookParam param) throws Throwable {super.beforeHookedMethod(param);Log.e("My", "beforeHookedMethod: this:" + param.thisObject, new RuntimeException("stack"));}@Overrideprotected void afterHookedMethod(MethodHookParam param) throws Throwable {super.afterHookedMethod(param);}});}private static String getJson(InputStream is) {StringBuilder sb = new StringBuilder();try {BufferedReader reader = new BufferedReader(new InputStreamReader(is));String s;while ((s = reader.readLine()) != null) {sb.append(s);sb.append("\n");}reader.close();} catch (IOException e) {e.printStackTrace();}return sb.toString();}public static class Privacy {private ArrayList<PrivacyMethod> methods;}public static class PrivacyMethod {String className;String method;}
}

四、监听调用

        在你的Application的onCreate方法的super.onCreate()下一行代码打上MyHook.initPrivacy(this)。

class App : MultiDexApplication() { override fun onCreate() {super.onCreate()MyHook.initPrivacy(this)// ...}
}

        这样你就可以监听到所有调用被监听方法的地方了。

五、查看监听反馈

        我们先看MyHook中的下面这句代码:

Log.e("My", "beforeHookedMethod: this:" + param.thisObject, new RuntimeException("stack"));

        这句代码的意思就是,在app的业务代码中,如果有地方调用 TelephonyManager.getDeviceId 或getImei,都会被epic的beforeHookedMethod拦截到,我们只需要在beforeHookedMethod打印出堆栈,即可看到是谁调用的。打印堆栈也很简单,我们就让他抛出一个异常即可在LogCat中看到。

六、@#¥%……&*

        说个秘密:这个思路我是从App 隐私合规代码排查思路!获得的,只不过我把坑都列出来了,这样一来,小伙子们只要原原本本按照我这个步骤就可以搞定了。

这篇关于检查 “同意用户隐私” 之前的隐私代码调用(epic > DexposedBridge)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/387085

相关文章

springboot循环依赖问题案例代码及解决办法

《springboot循环依赖问题案例代码及解决办法》在SpringBoot中,如果两个或多个Bean之间存在循环依赖(即BeanA依赖BeanB,而BeanB又依赖BeanA),会导致Spring的... 目录1. 什么是循环依赖?2. 循环依赖的场景案例3. 解决循环依赖的常见方法方法 1:使用 @La

使用C#代码在PDF文档中添加、删除和替换图片

《使用C#代码在PDF文档中添加、删除和替换图片》在当今数字化文档处理场景中,动态操作PDF文档中的图像已成为企业级应用开发的核心需求之一,本文将介绍如何在.NET平台使用C#代码在PDF文档中添加、... 目录引言用C#添加图片到PDF文档用C#删除PDF文档中的图片用C#替换PDF文档中的图片引言在当

C#使用SQLite进行大数据量高效处理的代码示例

《C#使用SQLite进行大数据量高效处理的代码示例》在软件开发中,高效处理大数据量是一个常见且具有挑战性的任务,SQLite因其零配置、嵌入式、跨平台的特性,成为许多开发者的首选数据库,本文将深入探... 目录前言准备工作数据实体核心技术批量插入:从乌龟到猎豹的蜕变分页查询:加载百万数据异步处理:拒绝界面

用js控制视频播放进度基本示例代码

《用js控制视频播放进度基本示例代码》写前端的时候,很多的时候是需要支持要网页视频播放的功能,下面这篇文章主要给大家介绍了关于用js控制视频播放进度的相关资料,文中通过代码介绍的非常详细,需要的朋友可... 目录前言html部分:JavaScript部分:注意:总结前言在javascript中控制视频播放

Spring Boot 3.4.3 基于 Spring WebFlux 实现 SSE 功能(代码示例)

《SpringBoot3.4.3基于SpringWebFlux实现SSE功能(代码示例)》SpringBoot3.4.3结合SpringWebFlux实现SSE功能,为实时数据推送提供... 目录1. SSE 简介1.1 什么是 SSE?1.2 SSE 的优点1.3 适用场景2. Spring WebFlu

java之Objects.nonNull用法代码解读

《java之Objects.nonNull用法代码解读》:本文主要介绍java之Objects.nonNull用法代码,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐... 目录Java之Objects.nonwww.chinasem.cnNull用法代码Objects.nonN

springboot security之前后端分离配置方式

《springbootsecurity之前后端分离配置方式》:本文主要介绍springbootsecurity之前后端分离配置方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的... 目录前言自定义配置认证失败自定义处理登录相关接口匿名访问前置文章总结前言spring boot secu

SpringBoot实现MD5加盐算法的示例代码

《SpringBoot实现MD5加盐算法的示例代码》加盐算法是一种用于增强密码安全性的技术,本文主要介绍了SpringBoot实现MD5加盐算法的示例代码,文中通过示例代码介绍的非常详细,对大家的学习... 目录一、什么是加盐算法二、如何实现加盐算法2.1 加盐算法代码实现2.2 注册页面中进行密码加盐2.

python+opencv处理颜色之将目标颜色转换实例代码

《python+opencv处理颜色之将目标颜色转换实例代码》OpenCV是一个的跨平台计算机视觉库,可以运行在Linux、Windows和MacOS操作系统上,:本文主要介绍python+ope... 目录下面是代码+ 效果 + 解释转HSV: 关于颜色总是要转HSV的掩膜再标注总结 目标:将红色的部分滤

在C#中调用Python代码的两种实现方式

《在C#中调用Python代码的两种实现方式》:本文主要介绍在C#中调用Python代码的两种实现方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录C#调用python代码的方式1. 使用 Python.NET2. 使用外部进程调用 Python 脚本总结C#调