怎样检测android应用软件第三方插件SDK的安全问题?
发布网友
发布时间:2022-04-22 06:37
共2个回答
热心网友
时间:2023-09-24 01:49
1、爱内测平台的插件评估将为您引用第三方从安全、性能测试、功能、兼容性等方面进行评估,以及集成第三方插件对您的应用是否有影响,包括功能、安装包大小、性能等方面进行评估。
2、插件测试主要通过黑白名单方式收集近千款常用插件安全漏洞、性能、兼容性测试以及引用后对自身产品的影响,再采用主动检测方式将插件进行反编译再对插件从源码与程度应用安全2大类型进行安全检测。
热心网友
时间:2023-09-24 01:49
最近听说好多App都被下架处理了,隐私合规管理特别严格。隔壁王老板公司旗下的一款App就被通报了,说是嵌入的第三方SDK违规收集用户个人信息。
还记得,在2021年的315晚会,上海、北京有几家公司都被报道,其SDK均在未经用户授权,窃取用户个人信息。涉案App有 50多款,严重侵害了用户权益,播出之后,社会反响剧烈。
第三方SDK,也就是一些软件开发工具包,确实给App开发者提升了产品研发效率、也降低了研发成本。
但由于他“藏身”于App内,无法展示在前台页面,各种收集信息的行为需要借助“宿主APP”传达给用户。假若SDK研发者瞒着“宿主App” 私自收集用户信息,那App就是冤大头了呀,泄露用户隐私的锅就摔到App身上了。
且第三方SDK,作为一个代码的封装包,也会有自己的安全漏洞,比如:源文件安全、数据存储安全、HTTP误用等,存在被攻击,被篡改,被利用的系统风险,而该风险也间接影响了调用SDK的App。
所以说,对App嵌入的第三方SDK的检测也得抓紧做,不然对App的安全合规性威胁极大。
2019 年以来,各监管部门均将SDK违法违规收集个人信息,作为重点审查对象之一。
虽然随着法律法规的完善,第三方SDK开发者的责任也被明确了,但我们还是不能松懈,抛开法律法规的约束,我们也得为产品安全性、为用户负责!
