本文主要是介绍【CTA认证】Android CTA资料及信息安全要求,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
认证资料需求
1. 说明书;需有应用场景、使用人群说明
2. 产品铭牌(需有IMEI号,产品名称需是:TD-LTE无线数据终端)
3. 产品整体尺寸长宽高
4. 原理框图;
5. 主板正反面照片(需拆除屏蔽罩);
6. 关键射频元器件清单。(会提供一个清单参考)
7. 软件配置信息列表
设备与文档
- 烧录cta固件
- 本地测好射频,内置好射频配置,
- 机器打孔,外接好射频天线
- 填好认证功能表格,比如安卓系统版本,支持的4g运营商是哪几个等
- 写一个声明文档,声明不支持的功能,比如不支持摄像
Android6.0以下应用默认不授权
设备在进行入网认证的时候,实验室要求应用在使用特殊权限的时候,需要告知用户,要用户授权才能使用相应的权限;而Android的动态申请权限是6.0才有的,也就是说,如果应用把sdk版本设置为6.0以下,那么应用则不需要动态申请权限就能默认获得AndroidManifest.xml里面配置的权限;这在入网实验室的不允许的,虽然低版本的应用不会申请授权,但是实验室要求默认不给低版本的应用授权,让用户在设置的应用中手动授权即可。所以,要解决这个问题,就是去掉限制Android6.0的这个条件,让所有版本的应用都需要动态申请权限。
- Android 6以下的app不能默认获取到权限,未获取到权限前相应的API调用要求失败
比如一个Android 5.0的打电话应用,第一次打电话(要求默认为无权限),禁止。
目前是会默认获取到权限,打电话不会禁止,不符合要求。 - 在设置中此应用的应用权限界面,要求可以手动进行权限允许
比如一个Android 5.0的打电话应用,设置中允许权限后,打电话,允许。
wifi与蓝牙开关要弹窗
开关WIFI与蓝牙时,不限在设置中操作,或在代码中,都要弹个确认的窗口。
拆分申请权限分组
设备在进行入网认证的时候,实验室要求应用在使用特殊权限的时候,需要告知用户,要用户授权才能使用相应的权限;Android需要申请的危险权限,是以组的形势申请的,比如说,拨打电话、读取通话记录、写入通话记录都是属于电话权限分组;而在入网认证的时候,实验室要求这些权限组要拆分为单独的权限,每个权限就是独立的,不再是以组的形势
权限管理要细分到组中的权限,目前是按组管理的,不符合要求
- 比如申请打电话,权限是android.permission.CALL_PHONE,弹出的窗口却提示申请“拔打电话和管理 通话”允许后会把android.permission.READ_CONTACTS也允许了,不符合要求。
- 设置的应用权限界面,需要显示组中的项
比如拨打电话、读取通话记录、写入通话记录都是属于电话权限分组,要求组中的成员都要显示出来,能单独操作。
手机号匹配
联系人中比如有11位号码,低版本的安卓输入7位号码都会匹配上,这是过不了认证的。
是否支持第三方应用
一般是声明不支持,如果支持安装第三方应用,认证会过的比较困难,因为实验室会安装第三方应用进行测试,要求第三方应用运行时请求运行权限时要正确弹出权限请求窗口。
大部分应用需要可卸载
所有第三方应用要求可卸载,某些安卓内置应用也要求能卸载。
CTA自测的总原则
1.没有经过用户同意,不可以有任何联网的行为。
2.任何需要定位,需要读取用户个人隐私信息(联系人,短信,通话记录等等)的情况,都需要先在CTA弹窗中明确询问用户是否同意,且在用户同意之前,不可以执行任何读取用户隐私的操作。
3.不可以明文传递用户的个人信息(e.g.手机的IMEI号,Mac地址等信息)
具体的测试点:
联网相关的测试
对手机短信的各种权限的测试(创建/删除/发送/读取短信和彩信的权限)
对手机联系人的各种权限的测试(创建/删除/查找/编辑/联系人,读取/创建/删除通话记录)
使用照相机/录音
使用定位
隐私测试:明文传递个人信息
具体测试:
联网相关的测试:
1. 手机还原设置后不启动待测试的应用,通过filddler或者wireshark查看测试应用没有上网数据。
2. 打开待测试应用后弹出上网提示,点击取消,通过filddler或者wireshark查看测试应用没有上网数据。
3. 打开待测试应用后弹出上网提示,点击同意,通过fiddler或者wireshark查看测试应用有上网数据,打开设置-应用,查看测试应用的隐私权限:”开启wifi”是允许。
手机短信/彩信的相关操作:
1. 待测试应用没有打开前进入设置-应用,查看测试应用的隐私权限 “发送短信””发送彩信””读取短信””通知类短信”和”读取彩信”是询问。
2. 打开待测试应用后,弹出发送短信/彩信的确认弹窗后点击拒绝,查看测试应用的隐私权限 “发送短信””发送彩信””读取短信””通知类短信”和”读取彩信”是拒绝。
3. 打开待测试应用后,弹出发送短信/彩信的确认弹窗后点击接受,查看测试应用的隐私权限 “发送短信””发送彩信””读取短信””通知类短信”和”读取彩信”是允许。
使用照相机的相关测试
1. 应用没有打开前进入设置-应用,查看测试应用的隐私权限 “相机”和”录音”是询问。
2. 打开应用后,弹出发送短信/彩信的确认弹窗后点击拒绝,查看测试应用的隐私权限 “相机”和”录音”是拒绝。
3. 打开应用后,弹出发送短信/彩信的确认弹窗后点击接受,查看测试应用的隐私权限 “相机”和”录音”是允许。
定位的相关测试
1. 应用没有打开前进入设置-应用,查看测试应用的隐私权限 “定位”是询问。
2. 打开应用后,弹出发送短信/彩信的确认弹窗后点击拒绝,查看测试应用的隐私权限 “定位”是拒绝。
3. 打开应用后,弹出发送短信/彩信的确认弹窗后点击接受,查看测试应用的隐私权限 “定位”是允许。
隐私测试:明文传递个人信息
用fiddler/wireshark截获待测试应用的所有网络请求,查看各种类型的网络请求里是否明文上传了用户的信息(e.g. IMEI,MAC,待测试应用的用户名和密码等信息)
作者:帅得不敢出门 谢绝转载
这篇关于【CTA认证】Android CTA资料及信息安全要求的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
