【最新版】Android APP 如何去符合工信部上架应用商店的

最近参与的 APP 陆陆续续发现一些需要修改的点去符合工信部的合规要求，针对工信部和应用商店是否有政策违规的风险点，大家可以自查一下以下一些点：

• 应用需要加固
  如果App 未加固，攻击者可轻易地反编译APK，获取App 源代码，篡改App 代码逻辑并重打包，对于有付费功能的App，会造成严重的财产损失。

  1. App 注入风险
     注入是常见的攻击手段。通过系统API 将代码写入到目标进程并让其执行，攻击者可以将一段恶意代码写到目标进程，这段代码可以加载其它可执行程序，进而实施hook，监控程序运行、获取敏感信息等。常见的动态注入，可以实现窃取输入的登录账号、密码、支付密码，修改转账的目标账号、金额，窃取通讯数据等。
  2. 动态调试攻击风险
     如果App 存在C 层代码动态调试的风险，攻击者可以利用GDB、IDA、Ptrace 等调试器跟踪运行的目标程序，查看、修改内存中的代码和数据，甚至分析篡改程序的业务逻辑，对客户关键数据或者服务器进行恶意攻击，例如修改客户端业务操作的数据，比如转账账号、金额等，导致用户的损失。
  3. 篡改和二次打包风险
     APK 篡改后二次打包不仅已经严重危害开发者版权和经济利益，而且也使App 用户遭受到不法应用的恶意侵害。对客户端程序添加或修改代码，修改客户端资源图片，配置信息、图标，添加广告，推广自己的产品，再生成新的客户端程序，可导致大量盗版应用的出现分食开发者的收入；恶意的二次打包还能实现应用钓鱼、添加病毒代码、添加恶意代码，从而窃取登录账号密码、支付密码，拦截验证码短信，修改转账目标账号、金额等。
  4. App 内存数据 dump 风险
     应用程序在运行时会产生一些敏感数据、比如解密后的资源文件、解密后的执行代码等，如果进程的内存数据未采取任何保护措施，攻击者可以使用dump 工具将程序内存dump 到文件中，或者修改内存数据来欺骗程序、伪装虚假数据欺骗服务端。

  TIP：笔者对比了360公司的360加固保和腾讯云的应用加固的免费方案，发现360加固保功能更稳定，而且有电脑客户端可下载安装，方便进行多个渠道包同时加固以及签名。而腾讯云加固方案，对比起来就没那么易用了。

• App 运营者未在个人信息处理规则（隐私政策）中提供或说明：个人信息存储期限。

• App 在申请打开可收集个人信息的存储等系统权限时，仅依赖系统弹窗向用户索取权限而未向用户同步告知申请目的、方式和范围，无法保证用户的知情权。用户在使用更换头像业务功能时授权App 打开存储权限，但后续用户使用意见反馈图片上传业务功能时直接复用该权限，变更了使用目的，但未向用户同步告知并征得用户同意，不符合规范要求。
  TIP： 若同一系统权限适用于多个场景（例如：发帖子的图片、更改头像、意见反馈上传图片等地方均需要打开系统读取存储权限），则需要在弹系统权限之前弹出APP内自己的弹框说明，用于告知用户当前权限会应用的当次及后续的全部场景和用途。用户了解全部的权限使用场景后，可自行选择是否同意授权。

• App 存在提供消息推送、悬浮窗等消息通知功能，但未向用户提供关闭消息通知功能的选项，不符合规范要求。

• App 在用户拒绝同意隐私政策后，App 直接退出拒绝提供服务，不符合规范要求。
  TIP： 如果不同意一隐私协议，比如APP可以以游客方式使用，可以再弹一个使用试用模式的弹框，告知用户在使用试用模式时功能的局限性，以及对于隐私敏感信息时如何处理的，如果用户不同意使用试用模式，则可以点拒绝按钮退出APP。

• App 在用户使用微信等第三方登录后，在未涉及信息发布、金融支付等业务功能场景下，仍强制要求用户绑定手机号码，违反必要性原则，不符合规范性要求。

• 如果隐私协议里有提收集用户相关信息，用于更个性化的用户体验和服务。则会认为存在定向推送功能，需要在应用内主功能界面以“推荐”、“为你推荐”、“个性化”、“标签化”、“猜你喜欢”等字样进行显著标识。如果应用内的确存在个性化推荐的功能，则需要在设置页面有拒绝、关闭定向推送或广告精准营销的选项，让用户可以自行控制。

• 未按法律规定提供删除或更正个人信息功能或未公布投诉、举报方式等信息。1、App 内未提供注销账号的功能，不符合相关规范要求。2、用户在申请注销用户账户时，强制要求用户填写联系QQ 账号，不符合规范要求

• 用户同意隐私协议弹框后，如果APP的隐私协议的内容有变动，用户后面打开APP时需要能看到最新隐私协议有变动的弹框提示，在APP内的系统通知里也同时告知一下会更好。尽量用户同意隐私协议的弹框的标识代码，不要在客户端写死，让服务器通过接口来动态控制。

• 在未同意隐私协议弹框之前，有调用以下代码：

  if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.P) {
      String processName = getProcessName(context);
      if (!getPackageName(context).equals(processName)) {
          WebView.setDataDirectorySuffix(processName);
      }
  }
  

  TIP：这个代码会导致获取用户应用列表权限，需要将这个针对 WebView 的 Android版本适配代码，放在用户同意隐私协议弹框后面进行调用。

• 数据存储风险（私有文件泄露风险）
  TIP：检查 APP 内自己的业务代码以及第三方SDK中是否有调用getSharedPreferences 参数设置不当，导致第三方程序可访问，存在信息泄露的问题。

• 漏洞风险（WebView 组件远程代码执行漏洞）
  TIP：在Android 版本<=4.1.2(API 16)的系统中中WebView 组件未对addJavaScriptInterface接口权限做出相应限制，导致攻击者可通过反射机制调用“java.lang.Runtime”来执行任意指令，从而导致用户的敏感信息泄露。比如应用内有限制最小 Android 系统版本5.0(API 21)才可使用，但是代码里也要做对应使用WebView 组件的addJavaScriptInterface接口的页面，去做Android系统版本判断，在Android 版本<=4.1.2(API 16)的系统中做相应限制（因为各大应用商店和各个省的管局对这个审核标准不一样）。

• 漏洞风险（随机数破解漏洞风险）
  TIP：Android 4.4 之前版本SecureRandom 实现中存在安全漏洞，这可使攻击者利用PRNG 预测性，利用此漏洞绕过密码保护机制。

• 漏洞风险（checkServerTrusted 证书漏洞风险）
  TIP：checkServerTrusted 覆盖实现后可能没有实现证书的判断逻辑，并作异常处理，将导致中间人攻击等严重安全隐患，攻击者可以轻易劫持HTTPS 会话，嗅探用户密码和其他敏感信息。

• 漏洞风险（Intent 协议解析越权漏洞风险）
  TIP：Receiver 权限未设置，恶意程序可以发送相应的action 广播危害应用安全。

• 漏洞风险（WebView File同源策略绕过漏洞）
  TIP：通过该漏洞，可在无特殊权限下盗取应用的任意私有文件，尤其是浏览器，可通过利用该漏洞，获取到浏览器所保存的密码、Cookie、收藏夹以及历史记录等敏感信息，从而造成敏感信息泄露。

  WebView跨域访问漏洞
  如果file域访问为非功能需求，对 WebView 的设置，可以添加如下代码：
  webSettings.setAllowFileAccess(false);
  webSettings.setAllowFileAccessFromFileURLs(false); //Android4.1版本之前这个API默认是true
  webSettings.setAllowUniversalAccessFromFileURLs(false); ///Android4.1版本之前这个API默认是true
  若需要开启file域访问，则设置file路径的白名单，严格控制file域的访问范围，具体如下：
  1)固定不变的HTML文件可以放在assets或res目录下，file:///android_asset和file:///android_res在不开启API的情况下也可以访问。
  2)可能会更新的HTML文件放在/data/data/(app) 目录下，避免被第三方替换或修改。
  3)对file域请求做白名单限制时，需要对"../../"特殊情况进行处理，避免白名单被绕过。

  有风险的WebView系统隐藏接口漏洞
  根据CVE披露的WebView远程代码执行漏洞信息（CVE-2012-663、CVE-2014-7224），Android系统中存在一共三个有远程代码执行漏洞的隐藏接口。分别是位于android/webkit/webview中的"searchBoxJavaBridge"接口、android/webkit/AccessibilityInjector.java中的"accessibility"接口和"accessibilityTraversal"接口。调用此三个接口的APP在开启辅助功能选项中第三方服务的Android系统上将面临远程代码执行漏洞。
  开发者自查，如果使用了WebView，那么使用WebView.removeJavascriptInterface(String name)API时，显示的移除searchBoxJavaBridge_、accessibility、accessibilityTraversal这三个接口。
  WebView.removeJavascriptInterface("searchBoxJavaBridge_");
  WebView.removeJavascriptInterface("accessibility");
  WebView.removeJavascriptInterface("accessibilityTraversal");

  WebView File域同源策略绕过风险检测
  应用程序一旦使用WebView，同时支持File域，并打开了对JavaScript的支持，就能利用JavaScript的延时执行，绕过File协议的同源检查，并能够访问应用程序的私有文件，导致敏感信息泄露。
  1.对于不需要使用File协议的应用，禁用File协议，显式设置WebView.getSettings().setAllowFileAccess(false)
  2.对于需要使用File协议的应用，禁止File协议调用JavaScript，显式设置WebView.getSettings().setJavaScriptEnabled(false)

• 漏洞风险（未移除有风险的WebView 隐藏系统接口漏洞）
  TIP：攻击者可利用WebView 隐藏的系统接口实现远程代码执行

也可再看下笔者更早之前的一篇文章，这篇文章是对之前文章的一个内容补充：
Android APP 如何去符合工信部上架应用商店的要求
https://www.jianshu.com/p/bcf8c3d23e25