5月6日， 工(gōng)信部通报了56款APP（SDK）侵害用(yòng)户权益行為(wèi)，主要涉及APP强制、频繁、过度索取权限；违规收集个人信息；强制用(yòng)户使用(yòng)定向推送功能(néng)；欺骗诱导强迫用(yòng)户；违规收集个人信息；超范围收集个人信息；强迫收集非必要个人信息等。其中(zhōng)有(yǒu)8款微信小(xiǎo)程序，存在违规收集个人信息和强制用(yòng)户使用(yòng)定向推送的功能(néng)。

近年来，个人信息安(ān)全问题备受关注。工(gōng)信部在APP管理(lǐ)、治理(lǐ)方面进行了重要举措，综合施策，不断完善治理(lǐ)體(tǐ)系。通过强化关键责任链监管，建立主體(tǐ)责任落实不到位的应用(yòng)商(shāng)店(diàn)排名(míng)通报机制，督促应用(yòng)商(shāng)店(diàn)加强自查清理(lǐ)、下架问题APP、开展新(xīn)增APP上架审核等用(yòng)户专项整治。315晚会也屡次曝光了部分(fēn)破解版APP成永不消失的追踪器、”免费WiFi“APP暗藏陷阱导致隐私大曝光等个人信息安(ān)全问题。

作(zuò)為(wèi)國(guó)内知名(míng)的移动信息安(ān)全综合服務(wù)提供商(shāng)，爱加密深耕于移动应用(yòng)个人信息安(ān)全领域多(duō)年，积累了丰富的行业实践经验和服務(wù)经验。可(kě)针对不同的个人信息安(ān)全业務(wù)场景，如应用(yòng)分(fēn)发渠道、大型开发企业、小(xiǎo)型开发企业、监管机构、测评机构等，提供专业的移动应用(yòng)个人信息安(ān)全检测、个人信息安(ān)全合规测评服務(wù)。强大的安(ān)全检测技(jì )术和合规能(néng)力，帮助监管机构准确、有(yǒu)效地提供行政执法依据；帮助测评机构出具(jù)专业的个人信息测评报告；帮助应用(yòng)开发企业在应用(yòng)发布前评估个人信息的安(ān)全性和合规性。

产(chǎn)品架构

核心功能(néng)

1、快速检测、深度检测

快速检测：a.支持批量进行；b.全流程自动化，无需人工(gōng)参与；c.授权前行為(wèi)、前台行為(wèi)、后台行為(wèi)；d.自动化法规检测

深度检测：a.支持多(duō)任務(wù)并发；b.通过人工(gōng)配合对APP进行全方位的检测，避免遗漏违规点；c.法规检测，满足当下主流法规、条文(wén)检测，对APP进行合规判断。

2、检测类型

覆盖移动端2大主流操作(zuò)系统——Android、iOS；可(kě)支持SDK集成到空白APP进行个人信息合规检测SDK行為(wèi)和支持微信小(xiǎo)程序个人信息合规检测。

3、自动化法规检测

通过自动化遍历、阶段行為(wèi)检测、隐私政策文(wén)本获取等技(jì )术，针对164号文(wén)、191号文(wén)、个人信息安(ān)全规范35273中(zhōng)可(kě)自动化执行检测的检测项进行快速检测。

4、深度&法规检测

深度检测：执行静态检测后手动启动动态检测，可(kě)视化界面实时查看APP运行及应用(yòng)行為(wèi)监控和网络传输监控，实时查看函数调用(yòng)。

法规检测：通过可(kě)视化界面，完成法规检测，包含APP违法违规手机使用(yòng)个人信息品评估指南、信息安(ān)全技(jì )术个人信息安(ān)全规范（ GB/T 35273 ）/工(gōng)信部APP侵害用(yòng)户权益专项整治8项要求（337号文(wén)）、APP违法违规收集使用(yòng)个人信息行為(wèi)认定方法（191号文(wén)）。

5、SDK检测能(néng)力

静态、动态相结合；

静态：通过唯一标识精(jīng)准识别SDK信息、版本；

动态：行為(wèi)调用(yòng)栈判别、區(qū)分(fēn)行為(wèi)应用(yòng)主體(tǐ)或SDK；

识别内容：收集使用(yòng)个人信息行為(wèi)、权限使用(yòng)情况、通信IP次数、收集使用(yòng)个人信息。

6、应用(yòng)行為(wèi)检测

提供硬件级“手机沙箱仿真系统”，实现代码应用(yòng)“真实”运行分(fēn)析。沙箱内核跟踪、识别、记录代码的行為(wèi)活动以及获取行為(wèi)结果数据。

通过脱壳、反编译分(fēn)析APK、IPA应用(yòng)包，解析个人信息关键行為(wèi)函数，定位代码位置，输出代码片段。

目前手机沙箱及静态行為(wèi)函数分(fēn)析可(kě)识别100+的应用(yòng)行為(wèi)。

7、通信传输行為(wèi)分(fēn)析

Android：对Android原生系统进行行為(wèi)识别，拦截网络数据，再将数据包发送到后端进行数据解析。

iOS：对iOS原生系统进行行為(wèi)识别，拦截网络数据，再将数据包发送到后端进行数据解析。

微信小(xiǎo)程序：对微信上的小(xiǎo)程序进行行為(wèi)识别，拦截网络数据，再将数据包发送到后端进行数据解析。

8、存储、传输个人信息

存储个人信息：分(fēn)析APP运行过程中(zhōng)新(xīn)建、修改的文(wén)件内容，是否将个人信息明文(wén)存储至本地；

传输个人信息：分(fēn)析APP运行过程中(zhōng)传输的数据，是否明文(wén)传输，是否对个人信息进行发送至第三方服務(wù)器；

通过分(fēn)析存储、传输个人信息判断个人信息的收集使用(yòng)是否符合个人信息保护政策内容；

a.可(kě)定位行為(wèi)触发主體(tǐ)；b.函数调用(yòng)栈分(fēn)析APP触发的功能(néng)位置；

9、云手机(Android)

全程Web端执行，无需安(ān)装(zhuāng)客户端、插件，无需配备实體(tǐ)沙箱手机，操作(zuò)更简便；

解决实體(tǐ)沙箱手机升级不及时、故障排查难等问题；

多(duō)線(xiàn)程并行，提高检测效率，减少等待过程；

兼容实體(tǐ)沙箱手机，解决云手机繁忙等待问题，适配不同需求。

10、iOS快速检测无需实體(tǐ)手机

全程Web端执行，无需安(ān)装(zhuāng)客户端、插件，无需配备实體(tǐ)沙箱手机，操作(zuò)更简便；

解决实體(tǐ)沙箱手机升级不及时、故障排查难等问题；

多(duō)線(xiàn)程并行，提高检测效率，减少等待过程；

爱加密線(xiàn)上云平台连接有(yǒu)MAC mini和iPhone手机，使用(yòng)云平台进行快速检测时全程Web端执行。

11、iOS支持扫码检测

iOS深度检测支持使用(yòng)沙箱手机进行扫码检测，无需配备MAC電(diàn)脑；

解决无法使用(yòng)或者采購(gòu)MAC電(diàn)脑等问题。

12、支持微信小(xiǎo)程序检测

与安(ān)卓自动化检测类似，支持微信小(xiǎo)程序在云手机上运行；

解决微信账号问题，客户可(kě)自行准备微信，在开启检测前手动登录微信，保持登录完成检测任務(wù)。

13、敏感信息库

敏感SDK库：涵盖了市场常见常用(yòng)的SDK，在自动化检测时能(néng)有(yǒu)效识别SDK主體(tǐ)；

敏感词汇库：个人信息规范35273中(zhōng)定义的个人信息及敏感个人信息；

敏感权限库：基本涵盖了所有(yǒu)的应用(yòng)行為(wèi)权限，准确识别应用(yòng)在运行过程中(zhōng)调用(yòng)行為(wèi)权限。

优势价值

1、SAAS

平台支持SAAS、本地部署、一體(tǐ)机、接口、报告等多(duō)种模式提供服務(wù)。

2、批量自动化检测能(néng)力

云手机结合自动化遍历技(jì )术，可(kě)完成大批量自动化合规风险检测，快速发现APP中(zhōng)存在的合规风险，目前可(kě)针对164号文(wén)中(zhōng)30个检测场景进行自动化检测，191号文(wén)中(zhōng)18个检测场景进行自动化检测，一天最多(duō)可(kě)完成5000个APP检测。

3、iOS、Android检测

覆盖移动端2大操作(zuò)系统。

4、小(xiǎo)程序检测

专家平台可(kě)实现微信小(xiǎo)程序人工(gōng)检测能(néng)力。