移動應用中的第三方SDK隱私合規檢測

工信部164號文[1]要求對SDK違規處理用戶個人信息進行整治，包括違規收集個人信息、超范圍收集個人信息、違規使用個人信息、強制用戶使用定向推送功能等違規內容。相關整治內容的檢測需要結合第三方SDK隱私聲明與SDK運行時行為進行判斷。本文簡要介紹如何提取與解析第三方SDK相關的隱私政策內容以及如何在運行時監控第三方SDK處理個人隱私數據。

工信部164號文中對于SDK違規處理個人信息的檢測內容：

第三方SDK隱私政策提取與解析

針對第三方SDK隱私聲明的提取，按照應用隱私政策呈現的方式，可以分為兩種主要形式：1、直接在應用隱私聲明中陳述（如圖1所示）。2、在隱私聲明中提供跳轉形式單獨表述（如圖2所示）。針對第2種情況，需要對第三方SDK隱私聲明的文本跳轉內容進行提取。

圖1正文中的第三方SDK隱私聲明

圖2第三方SDK隱私聲明鏈接

圖3表格形式呈現的第三方隱私政策

調研表明，當第三方SDK的隱私聲明以跳轉方式另行表述時，目標跳轉頁面通常通過webview進行呈現，并且當前應用的隱私聲明也由webview進行呈現。原因可能在于使用url借助webview進行跳轉，不需要另行開發跳轉過程，否則需要通過封裝intent進行不同應用頁面之間的跳轉。

對第三方SDK隱私聲明內容進行提取，存在兩種可行方案。一、獲取第三方SDK超鏈接，進而通過url解析文本。二、獲取第三方SDK超鏈接文字在頁面上的位置，通過模擬點擊跳轉，然后通過uiautomator獲取頁面文字。第二種方案可由《移動應用隱私合規檢測簡介及目標檢測技術的應用》中所述的方案進行文本定位。但是考慮到部分應用使用表格形式展示接入的第三方SDK的情形，如果通過uiautomator獲取頁面文字將丟失表格樣式信息，增加解析難度。因此優先采用第一種方案，具體步驟為：

1、利用hook技術添加代碼webView.setWebContentsDebuggingEnabled(true)；

2、獲取第三方SDK超鏈接，并跳轉；

3、基于Chrome DevTools Protocol [2]獲得帶樣式的文本。

按照第三方SDK內容展示的形式，可以分為三類：1、以表格形式（如圖3）；2、無樣式列表（如圖1）；3、無固定格式。對于第1種形式，根據前文所述可以使用基于Chrome DevTools Protocol的方案可以解決。對于第2種形式，我們開發了一個啟發式重復格式行查找算法，找出相鄰SDK隱私陳述的分界。而對于第3中形式，除在單行中陳述單個SDK隱私政策的情況外，其余情況目前難以關聯SDK主體與其對應的隱私陳述，這種情形在實際的應用中出現較少。

至此，我們完成了隱私政策中的第三方SDK隱私聲明的提取與解析，方案小結如下表：

小結：

在移動應用隱私合規檢測中，第三方SDK隱私聲明由于其展現位置展現形式的多樣性，自動化提取與解析是比較困難的任務。我們通過調研統計，對常見的第三方SDK隱私聲明展現方式進行總結，歸納出一套自動化的解析方案，以增強對第三方SDK隱私違規行為的檢測能力。