知物由學 | iOS應用的隱私合規技術介紹與技巧

一、隱私洩露問題

移動網際網路時代，智慧手機已經成為人們工作生活必不可少的工具。2021年8月27日，中國網際網路資訊中心釋出的第48次《中國網際網路絡發展狀況統計報告》顯示，截至2021年6月，中國手機網民的規模已達10.11億，同2020年底相比增加了近2175萬人。中國的智慧手機持有率提升至96.3%，近乎人均一部智慧手機。

智慧手機中有三種主流的作業系統，分別是Android、iOS和Windows Phone。而其中應用從基礎的社交娛樂、網路查詢，到手機支付、網際網路金融，再到教育、醫療、交通等公共服務，移動網際網路正潛移默化地影響著人們的生活和社會的形態，然而也暴露出越來越多的安全缺失與個人隱私洩露問題。

儘管得益於App Store嚴格的稽核機制，iOS平臺相比Android平臺有著更為安全的應用環境，但是由於開發者缺乏安全意識或未遵守開發規範，iOS應用仍存在大量安全問題，其中隱私問題尤為突出，且更容易被忽略。

根據AppSec-Labs的移動安全報告，在測試的應用樣例中，平均每個應用存在9.041個漏洞或缺陷。

如下圖所示，移動應用有41%的漏洞和缺陷由隱私資訊洩露所導致。同時，OWASP釋出的2016年十大移動安全威脅報告指出，十大威脅包括不恰當的平臺使用、不安全資料儲存、不安全網路通訊、不安全的身份驗證、不安全的加密策略、不安全的授權、客戶端程式碼質量問題、程式碼篡改風險、逆向工程威脅和其他功能的威脅。

圖 | 移動應用漏洞缺陷分佈情況

其中，不恰當的平臺使用、不安全的資料儲存、不安全的網路通訊及不安全的加密策略都可能導致隱私洩露的發生。個人隱私的洩露輕則影響個人生活，重則威脅個人及公司財產。因此，iOS應用隱私洩露問題受到高度重視，成為了研究的重點方向。

二、法律法規不斷完善

在隱私問題越發嚴重的同時，法律法規的要求也變得更加嚴格，例如：

#《資訊保安技術個人資訊保安規範》

#《中華人民共和國網路安全法》

#《網際網路資訊服務管理辦法》

#《App違法違規收集使用個人資訊行為認定方法》

因隱私違規問題被強制下架的應用屢見不鮮。但產品開發時經常由於忽視隱私問題，以及三方SDK引入，往往會造成不明資訊獲取，導致隱私資料上傳到其他三方服務。值得注意的是，開發者往往自身並無主動獲取，卻也被查出存在隱私問題。iOS應用隱私檢測的必要性越發顯著。

三、隱私檢測現狀

在隱私檢測中，除檢測標準需保持更新之外，檢測方案是另一大壁壘。隨著隱私規定不斷更新，隱私檢測從一開始的靜態掃描產物包，逐漸演變到如今的動態方案。以下幾個問題一直困擾著市場上的隱私檢測提供商。

1、時間成本

隱私問題由於其特殊性，往往自動化檢測並不能保證其準確性，例如：

# 檢測標準：是否明示收集使用個人資訊的目的、方式和範圍；

# 檢測標準：收集個人資訊時不應誘導、欺騙使用者；

使用自動化檢測會出現判斷不準，往往還需人工參與再次核驗，人工進行隱私檢測，需耗費較長時間，且需要技術參與，如HOOK系統API檢視呼叫情況，除錯應用獲取堆疊，等等。

2、檢測不準

隱私檢測技術主要分為靜態檢測和動態檢測兩種思路。

2.1 靜態掃描

靜態檢測技術無需執行待檢測的應用，透過掃描應用程式的產物，反編譯、反彙編程式碼、符號、檔案資訊以及字串等資訊，判斷是否存在隱私洩露發生的可能。

靜態掃描的實現方式較為簡單，但存在以下問題：
一是，當隱私政策有對應宣告時，使用者允許後可以進行獲取個人資訊，但靜態檢測只可以檢測應用有無獲取該資訊。
二是，靜態檢測可完成項較少，如有無隱私政策，有無個性化關閉選項，有無通知關閉選項等等，無法進行檢測。

2.2 動態檢測

針對執行中的應用開展除錯分析，可更準確地定位應用獲取資訊情況有無遵循隱私標準。相較於靜態掃描，動態檢測可實現更全面、更準確的檢測目的。但作為商業化產品，客戶提交IPA包無模擬器架構，使用真機除錯存在安裝簽名、hook方案、自動化完成度不高等問題。

四、易盾檢測方案

（一）檢測內容

易盾iOS隱私檢測內容包括如下：

01、應用基礎資訊概況

02、應用獲取許可權資訊、許可權說明

03、隱私政策內容說明

04、應用採集裝置資訊、個人資訊、敏感資料的時機、頻次等情況

05、應用隱私相關功能，如個性化推送、賬號登出、推送關閉等

06、三方SDK情況

基於以上基礎資訊， 結合隱私規定進行多項檢測，每個檢測項提供檢測標準、檢測目的、檢測結果、整改建議、截圖定位等相關資訊，生成完整檢測報告，例如：

（二）方案特點

易盾的iOS隱私檢測服務隨著檢測標準的不斷更新，經過大量內外部使用者使用反饋不斷迭代完善，從技術人工檢測到完整解決方案，由“靜態掃描+動態檢測+自動化測試”組成，完整流程如下：

靜態檢測主要掃描應用二進位制檔案資訊、二進位制符號、字串、配置檔案資訊、三方庫引入情況、資原始檔等資訊。

動態檢測採用真機越獄關閉簽名，自動化執行應用，自動點選相關功能模組，HOOK方案採用越獄外掛方式，功能檢測部分使用自動化測試方案、檢測應用功能、描述等相關的隱私問題。

（三）方案特性

#檢測成本大大降低，檢測時間從3~4小時降低到15~30分鐘。且無需技術人員參與。

#檢測資訊更加完善，基於越獄外掛HOOK方案可滿足不同應用及其包含動態庫獲取資訊的情況檢測。

#檢測結果更加準確，結合自動化測試能力，動態檢測的自動化程度大幅提升。

#使用者提供包無需考慮簽名問題，提交dev、ad-Hoc、企業簽名包、商店包均可。

基於檢測方案，運營人員在自動化輸出報告後，僅需要確認一些頁面的功能項，無需參與具體技術檢測內容，大大降低檢測工具使用門檻。使用者獲取到檢測報告後，可查閱具體的風險項以及詳細的整改建議。

五、總結

我們藉助於功能強大的手機或終端裝置處理日常事務，其中儲存了大量個人資訊、行為資料和隱私資料。在使用者無感知的情況下，iOS應用能夠訪問照片、通訊錄、地址定位等資訊。類似的行為是否符合使用者意向，是否超出使用者意志是隱私安全，影響著隱私合規的與否。

在《個人資訊保護法》出臺之後，APP侵害使用者權益專項整治行動定期開展。無論是監管部門的專項整治行動，還是日益嚴格的上架稽核要求，都意味著iOS應用應當具備隱私保護能力。