【CTA认证】Android CTA资料及信息安全要求

2023-12-03 10:52

本文主要是介绍【CTA认证】Android CTA资料及信息安全要求,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

认证资料需求

1. 说明书;需有应用场景、使用人群说明
2. 产品铭牌(需有IMEI号,产品名称需是:TD-LTE无线数据终端)
3. 产品整体尺寸长宽高
4. 原理框图;
5. 主板正反面照片(需拆除屏蔽罩);
6. 关键射频元器件清单。(会提供一个清单参考)
7. 软件配置信息列表

设备与文档

  1. 烧录cta固件
  2. 本地测好射频,内置好射频配置,
  3. 机器打孔,外接好射频天线
  4. 填好认证功能表格,比如安卓系统版本,支持的4g运营商是哪几个等
  5. 写一个声明文档,声明不支持的功能,比如不支持摄像

Android6.0以下应用默认不授权

设备在进行入网认证的时候,实验室要求应用在使用特殊权限的时候,需要告知用户,要用户授权才能使用相应的权限;而Android的动态申请权限是6.0才有的,也就是说,如果应用把sdk版本设置为6.0以下,那么应用则不需要动态申请权限就能默认获得AndroidManifest.xml里面配置的权限;这在入网实验室的不允许的,虽然低版本的应用不会申请授权,但是实验室要求默认不给低版本的应用授权,让用户在设置的应用中手动授权即可。所以,要解决这个问题,就是去掉限制Android6.0的这个条件,让所有版本的应用都需要动态申请权限。

  1. Android 6以下的app不能默认获取到权限,未获取到权限前相应的API调用要求失败
    比如一个Android 5.0的打电话应用,第一次打电话(要求默认为无权限),禁止。
    目前是会默认获取到权限,打电话不会禁止,不符合要求。
  2. 在设置中此应用的应用权限界面,要求可以手动进行权限允许
    比如一个Android 5.0的打电话应用,设置中允许权限后,打电话,允许。

wifi与蓝牙开关要弹窗

开关WIFI与蓝牙时,不限在设置中操作,或在代码中,都要弹个确认的窗口。

拆分申请权限分组

设备在进行入网认证的时候,实验室要求应用在使用特殊权限的时候,需要告知用户,要用户授权才能使用相应的权限;Android需要申请的危险权限,是以组的形势申请的,比如说,拨打电话、读取通话记录、写入通话记录都是属于电话权限分组;而在入网认证的时候,实验室要求这些权限组要拆分为单独的权限,每个权限就是独立的,不再是以组的形势

权限管理要细分到组中的权限,目前是按组管理的,不符合要求

  1. 比如申请打电话,权限是android.permission.CALL_PHONE,弹出的窗口却提示申请“拔打电话和管理 通话”允许后会把android.permission.READ_CONTACTS也允许了,不符合要求。
  2. 设置的应用权限界面,需要显示组中的项
    比如拨打电话、读取通话记录、写入通话记录都是属于电话权限分组,要求组中的成员都要显示出来,能单独操作。

手机号匹配

联系人中比如有11位号码,低版本的安卓输入7位号码都会匹配上,这是过不了认证的。

是否支持第三方应用

一般是声明不支持,如果支持安装第三方应用,认证会过的比较困难,因为实验室会安装第三方应用进行测试,要求第三方应用运行时请求运行权限时要正确弹出权限请求窗口。

大部分应用需要可卸载

所有第三方应用要求可卸载,某些安卓内置应用也要求能卸载。

CTA自测的总原则

1.没有经过用户同意,不可以有任何联网的行为。

2.任何需要定位,需要读取用户个人隐私信息(联系人,短信,通话记录等等)的情况,都需要先在CTA弹窗中明确询问用户是否同意,且在用户同意之前,不可以执行任何读取用户隐私的操作。

3.不可以明文传递用户的个人信息(e.g.手机的IMEI号,Mac地址等信息)

具体的测试点:

联网相关的测试

对手机短信的各种权限的测试(创建/删除/发送/读取短信和彩信的权限)

对手机联系人的各种权限的测试(创建/删除/查找/编辑/联系人,读取/创建/删除通话记录)

使用照相机/录音

使用定位

隐私测试:明文传递个人信息

具体测试:

联网相关的测试:

1. 手机还原设置后不启动待测试的应用,通过filddler或者wireshark查看测试应用没有上网数据。

2. 打开待测试应用后弹出上网提示,点击取消,通过filddler或者wireshark查看测试应用没有上网数据。

3. 打开待测试应用后弹出上网提示,点击同意,通过fiddler或者wireshark查看测试应用有上网数据,打开设置-应用,查看测试应用的隐私权限:”开启wifi”是允许。

手机短信/彩信的相关操作:

1. 待测试应用没有打开前进入设置-应用,查看测试应用的隐私权限 “发送短信””发送彩信””读取短信””通知类短信”和”读取彩信”是询问。

2. 打开待测试应用后,弹出发送短信/彩信的确认弹窗后点击拒绝,查看测试应用的隐私权限 “发送短信””发送彩信””读取短信””通知类短信”和”读取彩信”是拒绝。

3. 打开待测试应用后,弹出发送短信/彩信的确认弹窗后点击接受,查看测试应用的隐私权限 “发送短信””发送彩信””读取短信””通知类短信”和”读取彩信”是允许。

使用照相机的相关测试

1. 应用没有打开前进入设置-应用,查看测试应用的隐私权限 “相机”和”录音”是询问。

2. 打开应用后,弹出发送短信/彩信的确认弹窗后点击拒绝,查看测试应用的隐私权限 “相机”和”录音”是拒绝。

3. 打开应用后,弹出发送短信/彩信的确认弹窗后点击接受,查看测试应用的隐私权限 “相机”和”录音”是允许。

定位的相关测试

1. 应用没有打开前进入设置-应用,查看测试应用的隐私权限 “定位”是询问。

2. 打开应用后,弹出发送短信/彩信的确认弹窗后点击拒绝,查看测试应用的隐私权限 “定位”是拒绝。

3. 打开应用后,弹出发送短信/彩信的确认弹窗后点击接受,查看测试应用的隐私权限 “定位”是允许。

隐私测试:明文传递个人信息

用fiddler/wireshark截获待测试应用的所有网络请求,查看各种类型的网络请求里是否明文上传了用户的信息(e.g. IMEI,MAC,待测试应用的用户名和密码等信息)
作者:帅得不敢出门 谢绝转载

这篇关于【CTA认证】Android CTA资料及信息安全要求的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/449176

相关文章

Android实现在线预览office文档的示例详解

《Android实现在线预览office文档的示例详解》在移动端展示在线Office文档(如Word、Excel、PPT)是一项常见需求,这篇文章为大家重点介绍了两种方案的实现方法,希望对大家有一定的... 目录一、项目概述二、相关技术知识三、实现思路3.1 方案一:WebView + Office Onl

Android实现两台手机屏幕共享和远程控制功能

《Android实现两台手机屏幕共享和远程控制功能》在远程协助、在线教学、技术支持等多种场景下,实时获得另一部移动设备的屏幕画面,并对其进行操作,具有极高的应用价值,本项目旨在实现两台Android手... 目录一、项目概述二、相关知识2.1 MediaProjection API2.2 Socket 网络

Android实现悬浮按钮功能

《Android实现悬浮按钮功能》在很多场景中,我们希望在应用或系统任意界面上都能看到一个小的“悬浮按钮”(FloatingButton),用来快速启动工具、展示未读信息或快捷操作,所以本文给大家介绍... 目录一、项目概述二、相关技术知识三、实现思路四、整合代码4.1 Java 代码(MainActivi

Android Mainline基础简介

《AndroidMainline基础简介》AndroidMainline是通过模块化更新Android核心组件的框架,可能提高安全性,本文给大家介绍AndroidMainline基础简介,感兴趣的朋... 目录关键要点什么是 android Mainline?Android Mainline 的工作原理关键

如何解决idea的Module:‘:app‘platform‘android-32‘not found.问题

《如何解决idea的Module:‘:app‘platform‘android-32‘notfound.问题》:本文主要介绍如何解决idea的Module:‘:app‘platform‘andr... 目录idea的Module:‘:app‘pwww.chinasem.cnlatform‘android-32

Android实现打开本地pdf文件的两种方式

《Android实现打开本地pdf文件的两种方式》在现代应用中,PDF格式因其跨平台、稳定性好、展示内容一致等特点,在Android平台上,如何高效地打开本地PDF文件,不仅关系到用户体验,也直接影响... 目录一、项目概述二、相关知识2.1 PDF文件基本概述2.2 android 文件访问与存储权限2.

Android Studio 配置国内镜像源的实现步骤

《AndroidStudio配置国内镜像源的实现步骤》本文主要介绍了AndroidStudio配置国内镜像源的实现步骤,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,... 目录一、修改 hosts,解决 SDK 下载失败的问题二、修改 gradle 地址,解决 gradle

SpringSecurity JWT基于令牌的无状态认证实现

《SpringSecurityJWT基于令牌的无状态认证实现》SpringSecurity中实现基于JWT的无状态认证是一种常见的做法,本文就来介绍一下SpringSecurityJWT基于令牌的无... 目录引言一、JWT基本原理与结构二、Spring Security JWT依赖配置三、JWT令牌生成与

在Android平台上实现消息推送功能

《在Android平台上实现消息推送功能》随着移动互联网应用的飞速发展,消息推送已成为移动应用中不可或缺的功能,在Android平台上,实现消息推送涉及到服务端的消息发送、客户端的消息接收、通知渠道(... 目录一、项目概述二、相关知识介绍2.1 消息推送的基本原理2.2 Firebase Cloud Me

SpringSecurity6.0 如何通过JWTtoken进行认证授权

《SpringSecurity6.0如何通过JWTtoken进行认证授权》:本文主要介绍SpringSecurity6.0通过JWTtoken进行认证授权的过程,本文给大家介绍的非常详细,感兴趣... 目录项目依赖认证UserDetailService生成JWT token权限控制小结之前写过一个文章,从S