CN117056904A - 应用程序隐私合规判断方法、装置、计算机设备及介质 - Google Patents
应用程序隐私合规判断方法、装置、计算机设备及介质 Download PDFInfo
- Publication number
- CN117056904A CN117056904A CN202311020355.2A CN202311020355A CN117056904A CN 117056904 A CN117056904 A CN 117056904A CN 202311020355 A CN202311020355 A CN 202311020355A CN 117056904 A CN117056904 A CN 117056904A
- Authority
- CN
- China
- Prior art keywords
- information
- privacy
- application program
- privacy information
- judging
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 42
- 238000011161 development Methods 0.000 claims abstract description 10
- 230000006870 function Effects 0.000 claims description 66
- 230000006399 behavior Effects 0.000 claims description 33
- 230000015654 memory Effects 0.000 claims description 23
- 238000012986 modification Methods 0.000 claims description 4
- 230000004048 modification Effects 0.000 claims description 4
- 230000003111 delayed effect Effects 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000012937 correction Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012856 packing Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/121—Restricting unauthorised execution of programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及计算机技术领域,公开了应用程序隐私合规判断方法、装置、计算机设备及介质,判断方法包括:从应用程序的隐私文件中获取第一隐私信息;根据第一隐私信息,从开发工具包中获取对应的调用函数;通过代码插桩方式对调用函数进行动态代理,输出第二隐私信息;根据第一隐私信息和第二隐私信息,判断应用程序是否存在违规收集隐私信息的行为。本发明通过第一隐私信息和第二隐私信息,判断出应用程序是否存在违规收集隐私信息的行为,能够有效提高应用程序的隐私合规判断的准确性。
Description
技术领域
本发明涉及计算机技术领域,具体涉及应用程序隐私合规判断方法、装置、计算机设备及介质。
背景技术
随着针对个人信息的保护加强,安卓(Android)各厂商虽然也对应用程序进行了隐私合规的检测,但是各厂商的执行判断标准并不一致,有可能出现一部分厂商通过,另一部分厂商未通过的情况,或厂商的审核也可能存在一定的误判,从而造成应用程序的隐私合规判断不准确的问题。
因此,亟需一种应用程序隐私合规判断方法,能够有效提高对于应用程序的隐私合规判断的准确性。
发明内容
有鉴于此,本发明提供了一种应用程序隐私合规判断方法、装置、计算机设备及介质,以解决相关技术中由于各个厂商的执行判断标准不一致,造成应用程序的隐私合规判断不准确的问题。
第一方面,本发明提供了一种应用程序隐私合规判断方法,包括:
从应用程序的隐私文件中获取第一隐私信息;
根据所述第一隐私信息,从开发工具包中获取对应的调用函数;
通过代码插桩方式对所述调用函数进行动态代理,输出第二隐私信息;
根据所述第一隐私信息和所述第二隐私信息,判断所述应用程序是否存在违规收集隐私信息的行为。
本发明提供的应用程序隐私合规判断方法,通过从应用程序的隐私文件中获取第一隐私信息,通过代码插桩方式对调用函数进行动态代理,输出第二隐私信息;根据第一隐私信息和第二隐私信息,判断应用程序是否存在违规收集隐私信息的行为,能够有效提高应用程序的隐私合规判断的准确性。
在一种可选的实施方式中,根据所述第一隐私信息和所述第二隐私信息,判断所述应用程序是否存在违规收集隐私信息的行为,包括:
如果所述第一隐私信息中存在所述第二隐私信息,则判断所述应用程序存在违规收集隐私信息的行为;
如果所述第一隐私信息中不存在所述第二隐私信息,则判断所述应用程序不存在违规收集隐私信息的行为。
本发明提供的应用程序隐私合规判断方法,通过判断第一隐私信息中是否存在第二隐私信息,能够判断应用程序是否存在违规收集隐私信息的行为,进而达到提高应用程序的隐私合规判断的准确性的目的。
在一种可选的实施方式中,所述方法还包括:
通过代码插桩方式对所述调用函数进行动态代理,输出调用栈信息;
当判断所述应用程序存在违规收集隐私信息的行为时,利用所述调用栈信息以及隐私合规要求对所述调用函数进行整改。
在一种可选的实施方式中,所述隐私合规要求为在用户同意隐私协议之前应用程序不能获取隐私信息;
利用所述调用栈信息以及隐私合规要求对所述调用函数进行整改,包括:
根据所述调用栈信息,将所述调用函数延迟至隐私弹窗请求之后启动,以满足所述隐私合规要求。
本发明提供的应用程序隐私合规判断方法,通过调用栈信息将调用函数置于隐私弹窗请求之后调用,以满足隐私合规要求,能够在应用程序违规收集隐私信息的情况下,对隐私信息进行防护,从而提高了隐私信息的安全性。
在一种可选的实施方式中,所述第一隐私信息包括属性信息和权限信息,其中,所述属性信息包括ID信息、IP地址信息以及MAC地址信息;所述权限信息包括信息推送权限信息、位置获取权限信息以及呼叫权限信息。
第二方面,本发明提供了一种应用程序隐私合规判断装置,包括:
信息获取模块,用于从应用程序的隐私文件中获取第一隐私信息;
函数获取模块,用于根据所述第一隐私信息,从开发工具包中获取对应的调用函数;
动态代理模块,用于通过代码插桩方式对所述调用函数进行动态代理,输出第二隐私信息;
违规判断模块,用于根据所述第一隐私信息和所述第二隐私信息,判断所述应用程序是否存在违规收集隐私信息的行为。
在一种可选的实施方式中,所述违规判断模块包括:
第一判断单元,用于如果所述第一隐私信息中存在所述第二隐私信息,则判断所述应用程序存在违规收集隐私信息的行为;
第二判断单元,用于如果所述第一隐私信息中不存在所述第二隐私信息,则判断所述应用程序不存在违规收集隐私信息的行为。
在一种可选的实施方式中,所述装置还包括:
调用栈信息输出模块,用于通过代码插桩方式对所述调用函数进行动态代理,输出调用栈信息;
整改模块,用于当判断所述应用程序存在违规收集隐私信息的行为时,利用所述调用栈信息以及隐私合规要求对所述调用函数进行整改。
第三方面,本发明提供了一种计算机设备,包括:存储器和处理器,存储器和处理器之间互相通信连接,存储器中存储有计算机指令,处理器通过执行计算机指令,从而执行上述第一方面或其对应的任一实施方式的应用程序隐私合规判断方法。
第四方面,本发明提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机指令,计算机指令用于使计算机执行上述第一方面或其对应的任一实施方式的应用程序隐私合规判断方法。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的应用程序隐私合规判断方法的流程示意图;
图2是根据本发明实施例的另一应用程序隐私合规判断方法的流程示意图;
图3是根据本发明实施例的应用程序隐私合规判断装置的结构框图;
图4是本发明实施例的计算机设备的硬件结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
随着针对个人信息的保护加强,Android各厂商虽然也对应用程序进行了隐私合规的检测,但是各厂商的执行判断标准并不一致,有可能出现一部分厂商通过,另一部分厂商未通过的情况,或厂商的审核也可能存在一定的误判,从而造成应用程序的隐私合规判断不准确的问题。
并且有些相关技术中虽然能够判断出应用程序是否存在违规收集隐私信息的行为,但由于其应用程序开发可能集成了很多第三方sdk,sdk内部实现一般混淆后是无法直接查看,其暴漏的接口也不一定是合规,而且基本是无法通过IDE检索能搜到的,这就给代码调整带来一定的麻烦,从而造成应用程序隐私合规整改困难的问题。
针对上述技术问题,本发明提供了一种应用程序隐私合规判断方法,该方法能够基于隐私合规厂商商店上架反馈的文字信息,处理为android本身的关键词,然后通过AOP编程思想(在应用程序的预编译阶段或运行阶段,动态代理函数实现的一种方案),在程序预编译阶段动态代理实现,进而获取函数调用栈(定位调用顺序及合规调整),进而实现隐私合规政策整改。
根据本发明实施例,提供了一种应用程序隐私合规判断方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
在本实施例中提供了一种应用程序隐私合规判断方法,可用于移动终端,如手机、平板电脑等,图1是根据本发明实施例的应用程序隐私合规判断方法的流程图,如图1所示,该流程包括如下步骤:
步骤S101,从应用程序的隐私文件中获取第一隐私信息。
具体地,隐私文件可以理解为应用平台提供的文档,该文档中包括调用的权限信息以及属性信息,其中,属性信息可以理解为设备的硬件信息,即ID信息、IP地址信息以及MAC地址信息;权限信息可以理解为权利请求项,即信息推送权限信息(例如是否允许信息推送)、位置获取权限信息(例如是否允许获取设备的位置信息)以及呼叫权限信息(例如是否允许拨打电话)。第一隐私信息可以为隐私文件中的属性信息和/或权限信息。
上述隐私文件是被应用平台拒审的隐私文档,通过对该隐私文档中非法访问的权限和设备属性进行归类分析和记录,从而得到第一隐私信息。
步骤S102,根据所述第一隐私信息,从开发工具包中获取对应的调用函数。
具体地,根据上述包含非法访问的权限信息和属性信息的第一隐私信息,通过开发工具包(android sdk)获取与其对应的调用函数(其中包含文件名和文件内的函数名)。考虑到各个android版本差异,需要确定其合适的调用函数,并建立属性或权限与调用函数之间的映射关系,将其映射关系进行记录。
步骤S103,通过代码插桩方式对所述调用函数进行动态代理,输出第二隐私信息。
具体地,针对与非法访问的属性信息对应的的调用函数,通过AOP动态代理函数的方式,对其调用函数进行代理;在应用程序启动后,代理函数会替换原有调用函数的功能,当触发调用时候代理函数体中输出第二隐私信息,即与当前调用函数对应的属性信息、权限信息以及当前函数的调用栈信息。
步骤S104,根据所述第一隐私信息和所述第二隐私信息,判断所述应用程序是否存在违规收集隐私信息的行为。
具体地,可以将第一隐私信息中的第一属性信息与第二隐私信息中的第二属性信息进行对比,或者将第一隐私信息中的第一权限信息与第二隐私信息中的第二权限信息进行对比,如果对比结果出现相同属性信息或者出现相同权限信息,则可以确定该应用程序存在违规收集隐私信息的行为,如果对比结果未出现相同属性信息,也未出现相同权限信息,则可以确定该应用程序不存在违规收集隐私信息的行为。
本发明提供的应用程序隐私合规判断方法,通过从应用程序的隐私文件中获取第一隐私信息,通过代码插桩方式对调用函数进行动态代理,输出第二隐私信息;根据第一隐私信息和第二隐私信息,判断应用程序是否存在违规收集隐私信息的行为,能够有效提高应用程序的隐私合规判断的准确性。
在本实施例中提供了一种应用程序隐私合规判断方法,可用于移动终端,如手机、平板电脑等,图2是根据本发明实施例的应用程序隐私合规判断方法的流程图,如图2所示,该方法包括如下步骤:
步骤S201,从应用程序的隐私文件中获取第一隐私信息。
详细请参见图1所示实施例的步骤S101,在此不再赘述。
步骤S202,根据所述第一隐私信息,从开发工具包中获取对应的调用函数。
详细请参见图1所示实施例的步骤S102,在此不再赘述。
步骤S203,通过代码插桩方式对所述调用函数进行动态代理,输出第二隐私信息以及调用栈信息。
具体地,通过切面sdk支持的注解方法,对上述函数进行动态代理,在代理函数体的实现可以获取该函数调用的参数值/返回值并日志输出,在函数代理前添加调用栈信息并日志输出。
步骤S204,根据所述第一隐私信息和所述第二隐私信息,判断所述应用程序是否存在违规收集隐私信息的行为。
具体地,上述步骤S204包括:
步骤S2041,如果所述第一隐私信息中存在所述第二隐私信息,则判断所述应用程序存在违规收集隐私信息的行为;
步骤S2042,如果所述第一隐私信息中不存在所述第二隐私信息,则判断所述应用程序不存在违规收集隐私信息的行为。
在上述步骤S2041-步骤S2042中,如果第二隐私信息中的第二属性信息存在于第一隐私信息中的第一属性信息中,或者第二隐私信息中的第二权限信息存在于第一隐私信息中的第一权限信息中,则可以确定应用程序存在违规收集隐私信息的行为。如果第二隐私信息中的第二属性信息不存在于第一隐私信息中的第一属性信息中,并且第二隐私信息中的第二权限信息不存在于第一隐私信息中的第一权限信息中,则可以确定该应用程序不存在违规收集隐私信息的行为。
本发明提供的应用程序隐私合规判断方法,通过判断第一隐私信息中是否存在第二隐私信息,能够判断应用程序是否存在违规收集隐私信息的行为,进而达到提高应用程序的隐私合规判断的准确性的目的。
步骤S205,当判断所述应用程序存在违规收集隐私信息的行为时,利用所述调用栈信息以及隐私合规要求对所述调用函数进行整改。
具体地,隐私合规要求为在用户同意隐私协议(即用户对隐私弹窗进行授权许可)之前应用程序不能获取隐私信息(即权限信息和设备敏感属性信息)。如果确定应用程序存在违规收集隐私信息的行为,则可以根据隐私政策要求,利用调用栈信息将调用函数的调用顺序置后,确保在隐私弹窗授权之后调用函数,进而可以实际功能需要获取属性信息,以及根据实际功能需要动态获取应用程序的权限信息。
本发明提供的应用程序隐私合规判断方法,通过调用栈信息将调用函数置于隐私弹窗请求之后调用,以满足隐私合规要求,能够在应用程序违规收集隐私信息的情况下,对隐私信息进行防护,从而提高了隐私信息的安全性。
更具体地,其中涉及已记录的设备属性及其对应系统函数的存储需求,亦可用在其它应用程序的隐私合规校验上。函数注解会导致应用打包时间延长,仅在测试版本对隐私合规进行整改,正式版无需包含。
在一个优选的具体实施方式中,本发明还给出了上述相关步骤的代码展示:
@Aspect
public class AspectJTest{
//此处是针对系统属性信息获取的方法进行动态替换
@Around("call(*android.provider.Settings.Secure.getString(..,java.lang.String))")
public Object getSecureString(ProceedingJoinPoint joinPoint)throwsThrowable{
//此处key,即为即将访问的属性值比如imei,mac,etc
String key=joinPoint.getSignature().toString();
//此处throwable为调用栈信息,便于确定api调用起始位置,便于合规整改;
Log.d("AspectJTest","getSystemString:key"+key+"throwable"+Log.getStackTraceString(new Throwable()));
Object[]objs=joinPoint.getArgs();
String[]argNames=((MethodSignature)
joinPoint.getSignature()).getParameterNames();
Log.d("AspectJTest","getSysString:args[1]"+(String)objs[1]);
//此处为属性信息对应的具体值,比如mac地址,imei信息等
Object object=joinPoint.proceed();
Log.d("AspectJTest","getSysString:result"+((String)object));
return object。
本发明具备的技术效果:
1.相比早期通过人工代码审查的方式效率提高了很多,即使第三方sdk混淆,也可以根据属性的原始调用接口判断其是否调用合规。
2.在应用程序运行期间,在用户同意隐私协议之前,即可清楚知道在系统属性调用接口到底获取了那些属性,可以根据函数调用栈来定位函数的调用时机,正确引导其调用程序以完成最终整改上线,也定位解决部分应用商店误判导致的应用拒审的情况。
在本实施例中还提供了一种应用程序隐私合规判断装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
本实施例提供一种应用程序隐私合规判断装置,如图3所示,包括:
信息获取模块,用于从应用程序的隐私文件中获取第一隐私信息;
函数获取模块,用于根据所述第一隐私信息,从开发工具包中获取对应的调用函数;
动态代理模块,用于通过代码插桩方式对所述调用函数进行动态代理,输出第二隐私信息;
违规判断模块,用于根据所述第一隐私信息和所述第二隐私信息,判断所述应用程序是否存在违规收集隐私信息的行为。
在一些可选的实施方式中,所述违规判断模块包括:
第一判断单元,用于如果所述第一隐私信息中存在所述第二隐私信息,则判断所述应用程序存在违规收集隐私信息的行为;
第二判断单元,用于如果所述第一隐私信息中不存在所述第二隐私信息,则判断所述应用程序不存在违规收集隐私信息的行为。
在一些可选的实施方式中,所述装置还包括:
调用栈信息输出模块,用于通过代码插桩方式对所述调用函数进行动态代理,输出调用栈信息;
整改模块,用于当判断所述应用程序存在违规收集隐私信息的行为时,利用所述调用栈信息以及隐私合规要求对所述调用函数进行整改
在一些可选的实施方式中,所述隐私合规要求为在用户同意隐私协议之前应用程序不能获取隐私信息;整改模块,包括:
函数调整单元,用于根据所述调用栈信息,将所述调用函数延迟至隐私弹窗请求之后启动,以满足所述隐私合规要求。
在一些可选的实施方式中,所述第一隐私信息包括属性信息和权限信息,其中,所述属性信息包括ID信息、IP地址信息以及MAC地址信息;所述权限信息包括信息推送权限信息、位置获取权限信息以及呼叫权限信息。
上述各个模块和单元的更进一步的功能描述与上述对应实施例相同,在此不再赘述。
本发明实施例还提供一种计算机设备,具有上述图3所示的应用程序隐私合规判断装置。
请参阅图4,图4是本发明可选实施例提供的一种计算机设备的结构示意图,如图4所示,该计算机设备包括:一个或多个处理器10、存储器20,以及用于连接各部件的接口,包括高速接口和低速接口。各个部件利用不同的总线互相通信连接,并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在计算机设备内执行的指令进行处理,包括存储在存储器中或者存储器上以在外部输入/输出装置(诸如,耦合至接口的显示设备)上显示GUI的图形信息的指令。在一些可选的实施方式中,若需要,可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。同样,可以连接多个计算机设备,各个设备提供部分必要的操作(例如,作为服务器阵列、一组刀片式服务器、或者多处理器系统)。图4中以一个处理器10为例。
处理器10可以是中央处理器,网络处理器或其组合。其中,处理器10还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路,可编程逻辑器件或其组合。上述可编程逻辑器件可以是复杂可编程逻辑器件,现场可编程逻辑门阵列,通用阵列逻辑或其任意组合。
其中,所述存储器20存储有可由至少一个处理器10执行的指令,以使所述至少一个处理器10执行实现上述实施例示出的方法。
存储器20可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据计算机设备的使用所创建的数据等。此外,存储器20可以包括高速随机存取存储器,还可以包括非瞬时存储器,例如至少一个磁盘存储器件、闪存器件、或其他非瞬时固态存储器件。在一些可选的实施方式中,存储器20可选包括相对于处理器10远程设置的存储器,这些远程存储器可以通过网络连接至该计算机设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
存储器20可以包括易失性存储器,例如,随机存取存储器;存储器也可以包括非易失性存储器,例如,快闪存储器,硬盘或固态硬盘;存储器20还可以包括上述种类的存储器的组合。
该计算机设备还包括通信接口30,用于该计算机设备与其他设备或通信网络通信。
本发明实施例还提供了一种计算机可读存储介质,上述根据本发明实施例的方法可在硬件、固件中实现,或者被实现为可记录在存储介质,或者被实现通过网络下载的原始存储在远程存储介质或非暂时机器可读存储介质中并将被存储在本地存储介质中的计算机代码,从而在此描述的方法可被存储在使用通用计算机、专用处理器或者可编程或专用硬件的存储介质上的这样的软件处理。其中,存储介质可为磁碟、光盘、只读存储记忆体、随机存储记忆体、快闪存储器、硬盘或固态硬盘等;进一步地,存储介质还可以包括上述种类的存储器的组合。可以理解,计算机、处理器、微处理器控制器或可编程硬件包括可存储或接收软件或计算机代码的存储组件,当软件或计算机代码被计算机、处理器或硬件访问且执行时,实现上述实施例示出的方法。
虽然结合附图描述了本发明的实施例,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。
Claims (10)
1.一种应用程序隐私合规判断方法,其特征在于,包括:
从应用程序的隐私文件中获取第一隐私信息;
根据所述第一隐私信息,从开发工具包中获取对应的调用函数;
通过代码插桩方式对所述调用函数进行动态代理,输出第二隐私信息;
根据所述第一隐私信息和所述第二隐私信息,判断所述应用程序是否存在违规收集隐私信息的行为。
2.根据权利要求1所述的方法,其特征在于,根据所述第一隐私信息和所述第二隐私信息,判断所述应用程序是否存在违规收集隐私信息的行为,包括:
如果所述第一隐私信息中存在所述第二隐私信息,则判断所述应用程序存在违规收集隐私信息的行为;
如果所述第一隐私信息中不存在所述第二隐私信息,则判断所述应用程序不存在违规收集隐私信息的行为。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
通过代码插桩方式对所述调用函数进行动态代理,输出调用栈信息;
当判断所述应用程序存在违规收集隐私信息的行为时,利用所述调用栈信息以及隐私合规要求对所述调用函数进行整改。
4.根据权利要求3所述的方法,其特征在于,所述隐私合规要求为在用户同意隐私协议之前应用程序不能获取隐私信息;
利用所述调用栈信息以及隐私合规要求对所述调用函数进行整改,包括:
根据所述调用栈信息,将所述调用函数延迟至隐私弹窗请求之后启动,以满足所述隐私合规要求。
5.根据权利要求1或2所述的方法,其特征在于,所述第一隐私信息包括属性信息和权限信息,其中,所述属性信息包括ID信息、IP地址信息以及MAC地址信息;所述权限信息包括信息推送权限信息、位置获取权限信息以及呼叫权限信息。
6.一种应用程序隐私合规判断装置,其特征在于,包括:
信息获取模块,用于从应用程序的隐私文件中获取第一隐私信息;
函数获取模块,用于根据所述第一隐私信息,从开发工具包中获取对应的调用函数;
动态代理模块,用于通过代码插桩方式对所述调用函数进行动态代理,输出第二隐私信息;
违规判断模块,用于根据所述第一隐私信息和所述第二隐私信息,判断所述应用程序是否存在违规收集隐私信息的行为。
7.根据权利要求6所述的装置,其特征在于,所述违规判断模块包括:
第一判断单元,用于如果所述第一隐私信息中存在所述第二隐私信息,则判断所述应用程序存在违规收集隐私信息的行为;
第二判断单元,用于如果所述第一隐私信息中不存在所述第二隐私信息,则判断所述应用程序不存在违规收集隐私信息的行为。
8.根据权利要求6或7所述的装置,其特征在于,所述装置还包括:
调用栈信息输出模块,用于通过代码插桩方式对所述调用函数进行动态代理,输出调用栈信息;
整改模块,用于当判断所述应用程序存在违规收集隐私信息的行为时,利用所述调用栈信息以及隐私合规要求对所述调用函数进行整改。
9.一种计算机设备,其特征在于,包括:
存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行权利要求1至5中任一项所述的应用程序隐私合规判断方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机指令,所述计算机指令用于使计算机执行权利要求1至5中任一项所述的应用程序隐私合规判断方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311020355.2A CN117056904A (zh) | 2023-08-14 | 2023-08-14 | 应用程序隐私合规判断方法、装置、计算机设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311020355.2A CN117056904A (zh) | 2023-08-14 | 2023-08-14 | 应用程序隐私合规判断方法、装置、计算机设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117056904A true CN117056904A (zh) | 2023-11-14 |
Family
ID=88658367
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311020355.2A Pending CN117056904A (zh) | 2023-08-14 | 2023-08-14 | 应用程序隐私合规判断方法、装置、计算机设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117056904A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117241276A (zh) * | 2023-11-16 | 2023-12-15 | 国家计算机网络与信息安全管理中心 | 一种面向移动应用的检测工具及检测方法、系统及设备 |
-
2023
- 2023-08-14 CN CN202311020355.2A patent/CN117056904A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117241276A (zh) * | 2023-11-16 | 2023-12-15 | 国家计算机网络与信息安全管理中心 | 一种面向移动应用的检测工具及检测方法、系统及设备 |
| CN117241276B (zh) * | 2023-11-16 | 2024-02-06 | 国家计算机网络与信息安全管理中心 | 一种面向移动应用的检测工具及检测方法、系统及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8402547B2 (en) | Apparatus and method for detecting, prioritizing and fixing security defects and compliance violations in SAP® ABAP™ code | |
| US10481964B2 (en) | Monitoring activity of software development kits using stack trace analysis | |
| US10223080B2 (en) | Method and system for automated, static instrumentation for applications designed for execution in environments with restricted resources | |
| CN111143087B (zh) | 一种接口调用方法、装置、存储介质和服务器 | |
| WO2015055074A1 (zh) | 动态加载和调用程序的方法及装置 | |
| US20160283357A1 (en) | Call stack relationship acquiring method and apparatus | |
| CN110096314B (zh) | 一种接口初始化方法、装置、设备及计算机可读存储介质 | |
| WO2015178896A1 (en) | Point-wise protection of application using runtime agent and dynamic security analysis | |
| CN111190603B (zh) | 一种隐私数据检测方法、装置和计算机可读存储介质 | |
| CN117056904A (zh) | 应用程序隐私合规判断方法、装置、计算机设备及介质 | |
| CN109831351B (zh) | 链路跟踪方法、装置、终端及存储介质 | |
| CN107450909B (zh) | 用于软件开发工具包集成有效性检查的处理方法和装置 | |
| CN112579461A (zh) | 断言处理方法、系统和存储介质 | |
| US20230315620A1 (en) | System and Method for Diagnosing a Computing Device in Safe Mode | |
| CN116956272A (zh) | 权限调用监控方法、装置及电子设备 | |
| US8631480B2 (en) | Systems and methods for implementing security services | |
| GB2471482A (en) | Secure method of tracing software | |
| CN113094086A (zh) | 组件集成方法、装置、计算机可读存储介质及电子设备 | |
| CN113204533A (zh) | 日志级别调节方法、装置、计算机设备和存储介质 | |
| CN112231699A (zh) | 读取函数的拦截方法、装置、电子设备和计算机可读介质 | |
| CN112788017A (zh) | 一种安全校验方法、装置、设备及介质 | |
| CN115242625B (zh) | 服务部署方法、装置、计算机设备及可读存储介质 | |
| EP3961445A1 (en) | Automatic identification of flaws in software systems | |
| CN111008375B (zh) | 一种数据保护方法及装置 | |
| CN111984343B (zh) | 插件资源查找方法、装置、设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |