V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
haygor
V2EX  ›  Android

隐私合规真是门好生意

  •  
  •   haygor · 2022-11-01 14:35:14 +08:00 · 19405 次点击
    这是一个创建于 785 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近两年自从某部门风风火火整顿 APP 隐私以来各种所谓的检测机构分分出来向 APP 厂商下手,上上下下折腾数十次,作为 APP 厂商还要给第三方 sdk 的隐私政策擦屁股,最近收到一个什么粤通网安检测的所谓检测机构的整改通知,说隐私政策没有说明环信获取 androidid 的目的、方式、范围,我特么黑人问号,这不是应该问环信吗?相反 ios 就没这么多幺蛾子,不知道是他们的监控工具不能越过 iOS 的机制 hook 还是怎样的,作为国内安卓🐶,真的累

    第 1 条附言  ·  2022-11-01 16:17:31 +08:00
    报告检测到一个 eco.taobao.com/router/rest 和一个 sayhi.360.cn 的 post 请求未列在第三方 sdk 列表里,taobao 那个估计是阿里 sdk 的但因为显示了 taobao 域名导致“误伤”吧,至于 360 那估计是用了加固私自内嵌了代码?
    61 条回复    2024-12-18 09:09:47 +08:00
    GTim
        1
    GTim  
       2022-11-01 14:37:29 +08:00
    因为 iOS 是询问式的 ,Android 是一次性给的。如果要做 app 就要合规,我折腾了 2 个月了
    squall1989
        2
    squall1989  
       2022-11-01 14:44:31 +08:00
    都是打着隐私合规的旗号收保护费的
    cairnechen
        3
    cairnechen  
       2022-11-01 15:02:43 +08:00   ❤️ 2
    1 、提供第三方 SDK 的隐私请求是为了厘清责任,而且第三方 SDK 有义务给出合规说明,如果你不写,那出问题了就找你,你写了,出问题了就找 SDK 供应商
    2 、2 年前通信研究院来公司宣讲的时候特别强调过他们有 iOS 客户端的检测能力
    3 、公司负责这个同事传言是某个这届新话事人搞的合规这事,这个新话事人之前和互联网联系比较紧密,2011 年在浙江担任组织部长的时候被邀请为知乎最早的一批用户,据说合规这事是因为他自己对开屏广告、诱导跳转这些很不满,下面的人迎合上意就搞了这么一出。
    go522000
        4
    go522000  
       2022-11-01 15:07:23 +08:00
    最近搞隐私还有手册之类的,也一样搞得头痛,从头到尾都靠抄来抄去完成。
    haygor
        5
    haygor  
    OP
       2022-11-01 15:13:08 +08:00
    @GTim 问题是有些根本乱来,例如获取 AndroidID ,根本不需要权限,却需要开发者使用各种魔法做限制
    haygor
        6
    haygor  
    OP
       2022-11-01 15:15:27 +08:00
    @go522000 我是前段时间抄完了某宝某东的第三方 sdk 说明,几个月过去了各大 APP 商店都好好的,今天给我杀出这么个地头虫,我也是无语
    haygor
        7
    haygor  
    OP
       2022-11-01 15:18:39 +08:00
    @cairnechen 带小孩真的太头痛了
    gaybc
        8
    gaybc  
       2022-11-01 16:19:58 +08:00
    ios 也有办法 hook 的,没什么难度
    lambdaq
        9
    lambdaq  
       2022-11-01 16:20:06 +08:00   ❤️ 12
    这不是促使甲方认真对待隐私嘛。不能随便套 sdk 了。。我觉得是。。。好事?
    wangxiaoaer
        10
    wangxiaoaer  
       2022-11-01 16:27:17 +08:00   ❤️ 33
    没人管的说不作为,管了又嫌给自己添麻烦,真实屁股决定脑袋。

    我觉得这个挺好的,吃这碗饭就要搞清楚细节,麻烦是在所难免的,即使目前还没有完全根治乱象。 就好比工程上的安全要求,肯定是影响效率,但是不得不做。
    NadirEcho
        11
    NadirEcho  
       2022-11-01 16:27:44 +08:00   ❤️ 1
    @lambdaq 我听着也感觉好像?
    paradoxs
        12
    paradoxs  
       2022-11-01 16:30:48 +08:00
    现在这么严格了,市面上还是充斥着无数的赌博应用,色情应用。

    事实上还完全不够,差得远呢。
    cxh116
        13
    cxh116  
       2022-11-01 16:31:53 +08:00   ❤️ 1
    这个一直是一门生意,在国外也是. 比如 GDPR,信息无障碍
    james504
        14
    james504  
       2022-11-01 16:33:58 +08:00
    这是好事吧,只不过当下这个过程麻烦点。
    mlhorizon
        15
    mlhorizon  
       2022-11-01 16:34:28 +08:00   ❤️ 1
    隐私,安全,人人都想要,但轮到自己付出代价,就开始不爽了。
    人之常情。
    KevinChan
        16
    KevinChan  
       2022-11-01 16:38:03 +08:00
    @wangxiaoaer 李彦宏当初说的一点没错
    palxie
        17
    palxie  
       2022-11-01 18:23:31 +08:00
    要上有 google play, 估计就没这些幺蛾子事了. 去年做国内项目. 真是被搞到吐. 不同部门都来检测一次. 大半年都在搞隐私合规.
    billlee
        18
    billlee  
       2022-11-01 18:33:48 +08:00   ❤️ 2
    第三方 SDK 那也是你的供应商,用户用的是你的产品,不是 SDK.
    brust
        19
    brust  
       2022-11-01 18:40:32 +08:00
    看完帖子,是你的 app 所用的 sdk 有问题吗?那找你没问题啊
    optional
        20
    optional  
       2022-11-01 19:09:49 +08:00 via iPhone
    还是国内这些年太野蛮增长了呗,看看其它行业,医疗,金融,一堆合规性要求
    zhaohua
        21
    zhaohua  
       2022-11-01 21:09:35 +08:00
    我们的 app 也遇到,郑州网安委托爱加密进行监测,我们最初对接了网易易盾,他们不认,最终接的爱加密,比网易贵一倍。
    NXzCH8fP20468ML5
        22
    NXzCH8fP20468ML5  
       2022-11-01 22:01:43 +08:00 via Android
    @cairnechen 蔡奇?
    人家现在是常.委吧,多少尊重一下。
    Exdui
        23
    Exdui  
       2022-11-01 22:12:35 +08:00
    @xxfye 没有直呼他名字已经够尊重了。
    denghongcai
        24
    denghongcai  
       2022-11-01 22:28:38 +08:00
    好事。
    zpxshl
        25
    zpxshl  
       2022-11-01 22:28:45 +08:00 via Android
    用户用的是你的产品还是用 sdk 。
    sdk 如果真有问题你可以选择不用。
    jiangzhizhou
        26
    jiangzhizhou  
       2022-11-02 00:28:11 +08:00
    GDPR 直接创造很多工作岗位
    ericgui
        27
    ericgui  
       2022-11-02 01:07:16 +08:00   ❤️ 1
    @paradoxs 这说明警察不作为,执法力度不够大,不能说明开发者有原罪,你这是有罪推定,假设开发者都是骗子和罪犯
    dingwen07
        28
    dingwen07  
       2022-11-02 03:43:54 +08:00
    所以为什么要获取 Android ID 呢?
    dayeye2006199
        29
    dayeye2006199  
       2022-11-02 05:44:51 +08:00
    我曾经想过专门做一个帮中国企业合规欧洲和美国的各种隐私政策的咨询公司。

    美国这边其实有很多做自动审计工具的初创企业,例如 vanta 等等,帮着做 SOCII ,HIPAA 。
    celisee
        30
    celisee  
       2022-11-02 08:12:26 +08:00 via iPhone
    @wangxiaoaer 你法我笑.jpg
    digimoon
        31
    digimoon  
       2022-11-02 09:14:31 +08:00
    用户也没要求你用这些 SDK 啊
    lakehylia
        32
    lakehylia  
       2022-11-02 09:42:27 +08:00
    还不是 app 自己作的。。。看看前几天吐槽开屏广告摇一摇就进入广告的帖子,还把摇一摇的阈值定的特别细。
    ScotGu
        33
    ScotGu  
       2022-11-02 09:50:13 +08:00
    用户:双手欢迎
    码农:骂骂咧咧
    unco020511
        34
    unco020511  
       2022-11-02 10:15:16 +08:00
    环信这种商业性 sdk 有业务配合来处理隐私合规的问题
    lxxself
        35
    lxxself  
       2022-11-02 10:36:38 +08:00
    之前公司 app 被 zf 下,一顿沟通明里暗里的表示要购买指定公司的合规检测服务就能重新上。。。
    coosir
        36
    coosir  
       2022-11-02 10:39:42 +08:00
    1. 获取用户设备权限本来就应该进行说明,这是你对用户的义务
    2. 现在很多 SDK 都给出了隐私合规指引
    3. 给第三方 SDK 擦屁股?当你是做第三方 SDK 的时候你又有别的说法了

    Android 的乱在于没有一个统一的口径,不同的管理部门和不同的应用市场; iOS 也有自己的隐私要求,好在只有唯一的上架审核。
    matzoh
        37
    matzoh  
       2022-11-02 11:05:50 +08:00
    好像问题不在于审查,而在于谁去审查,大家信任不信任,哈哈
    datafeng
        38
    datafeng  
       2022-11-02 11:55:19 +08:00
    @lxxself 又是利益链,估计以后国内安卓想上商城麻烦大了~~
    tf141
        39
    tf141  
       2022-11-02 12:01:23 +08:00
    @cairnechen 不满也没见整改,现在的垃圾开屏广告直接摇一摇就跳转了,比之前的误触还恶心
    abc8678
        40
    abc8678  
       2022-11-02 12:02:19 +08:00 via Android
    毒瘤系统流氓起来,原流氓 APP 才勉强老实一点点
    txy3000
        41
    txy3000  
       2022-11-02 13:13:07 +08:00
    混乱->有序
    站在一个用户的角度,你也不想用流氓 app 是不?
    cheng6563
        42
    cheng6563  
       2022-11-02 15:07:17 +08:00
    又没禁热加载,随便热加载点代码就能直接无视这些监管检测手册,这些鸡毛东西唯一意义就是提高门槛创造收入。

    不申请网络权限的 app 因为泄漏隐私下架,所有权限全都要随便一摇就跳走的 app 随便上架。
    XXWHCA
        43
    XXWHCA  
       2022-11-02 16:43:11 +08:00
    隐私合规国内现在就是光明正大的乱搞,养活了一大堆检测机构,而且检测规则一点不透明,一个机构一个说法,甚至网安和检测机构沆瀣一气,我们就是被迫买了个推的合规检测服务。这两年有三分之一时间都在弄这破合规的问题,业务的代码反而没什么问题,都是第三方 SDK 的问题,那些国内第三方 SDK 简直就是毒瘤。什么推送,异常上报,广告个顶个的流氓。有时候应用商店中间还掺和一脚,说啥合规问题
    dukaiapp
        44
    dukaiapp  
       2022-11-02 17:20:40 +08:00
    摇一摇 这个 你得找字节 都尼玛鬼才 优量汇是跟进的
    cairnechen
        45
    cairnechen  
       2022-11-02 17:21:27 +08:00
    @tf141

    现在的情况我不清楚,两年之前某亿级用户社交媒体平台,本来撤了开屏广告(你应该记得有一阵子各种 App 都把开屏广告下了),看到有友商产品把开屏广告加回去了,就也悄悄加回去,结果被定性为 [故意对抗] ,差点所有应用市场(包括 AppStore )下架 60 个工作日,后面多方斡旋才花钱免了灾,从这个事应该能感受到当时力度有多大吧,至于后来政策变化受很多因素影响,不是一两句能说清楚的
    Damn
        46
    Damn  
       2022-11-02 17:53:26 +08:00
    @XXWHCA 谁叫你们做决策的人要用那些 sdk 呢。。
    WOLFRAZOR
        47
    WOLFRAZOR  
       2022-11-02 18:18:02 +08:00
    那些 SDK 本身就难搞。每个 SDK 厂商的要求就不一样。而且这些公司和当地网信部门有关系的(爱加密、网易、360 等)
    360 加固是最多人诟病的加固,没有之一。 [利益链非常复杂,而且不透明]

    还是那句话:没有 play 的约束,就不会有好结果。

    iOS 也有办法。
    psyche08
        48
    psyche08  
       2022-11-02 19:03:51 +08:00   ❤️ 1
    这两年做了不少隐私合规的事情,这两年才开始亡羊补牢,我觉得时间上还是太晚了。
    我们公司找过工信部的人进行合规的演讲,基本上工信部的工作人员把什么能做不能做说的很明白了。
    我了解的大厂 SDK 也都基本上按要求整改了。但是现实是架不住商业化利益,大家都会私底下搞些小动作,比如 csj sdk 。
    监测机构有不定时的事后巡检,所以不建议继续搞对抗(也许搞事情的是 SDK )
    better
        49
    better  
       2022-11-02 19:07:40 +08:00
    是的,就是要交保护费
    akira
        50
    akira  
       2022-11-02 19:10:28 +08:00
    当年 pc 端 数字厂 做这个 那是赚的不要不要的
    janus77
        51
    janus77  
       2022-11-02 19:25:31 +08:00
    隐私合规对用户肯定是只有好处的
    如果你只是打工人而不是公司领导层,那你担心什么呢?就因为这些工作繁琐难做?
    在哪不是一样啊,拿钱干活罢了。没了隐私合规的活你也不会更加轻松,有的是活派给你。
    kwh
        52
    kwh  
       2022-11-02 20:56:05 +08:00
    @cairnechen 这让我怀疑 zf 的能力了,,,某个领导脑袋一拍,就勒令所有开屏广告关闭,领导脑袋一忘,所有开屏广告重新出现,我吐了,为什么随便一个领导就可以乱发政策啊???

    现在的开屏广告更是绝了,只要手机轻微摇晃就能打开,感觉像是在疯狂表示不满,但是苦了用户啊。
    zhchyu999
        53
    zhchyu999  
       2022-11-02 21:05:52 +08:00
    那到底要不要搞合规和隐私,原来不是极力说国内环境差么
    如果 gov 自己没有人力来做这件事情,委托给第三方机构,难道不是大家推崇的市场化的做法么
    怎么现在又有人开始冷嘲热讽了
    到底要怎么样啊
    开屏广告是开屏广告的事情和本话题下边的隐私合规有什么关系么
    大家讨论难道都没个方向么
    zhchyu999
        54
    zhchyu999  
       2022-11-02 21:06:45 +08:00
    到自己身上就不行了,这不典型的双标么
    systemcall
        55
    systemcall  
       2022-11-02 22:18:42 +08:00   ❤️ 1
    国内这方面的力度是太低了,而不是太过了
    欧盟的 GDPR 才叫严格
    还有,iOS 上面,你要是用了一些作恶多端的 SDK ,直接给你下架
    国内的问题是,一些大厂和体制内的那些公司,做的东西,可以不遵守什么隐私保护
    之前学习通直接被 Play 商店删了,因为是“恶意应用”
    interim
        56
    interim  
       2022-11-03 03:10:10 +08:00
    @paradoxs 这种应用就不需要通过应用商店分发,跟这个也扯不上关系啊。
    XXWHCA
        57
    XXWHCA  
       2022-11-03 09:56:56 +08:00
    @Damn 你可能没明白国内的 sdk 合规之前都有多离谱,推送,广告,支付,地图,定位这些服务类的 sdk 最初都是毒瘤,现在隐私合规限制着还稍微好一点
    XXWHCA
        58
    XXWHCA  
       2022-11-03 10:02:35 +08:00
    @psyche08 不只穿山甲,现在这些广告 sdk 都有小动作,如果为了追求高收益什么黑产灰产广告都来了。而且还有把穿山甲、广电通、快手、字节、百度等一系列广告聚合在一起的广告 sdk ,更难管控。这些 sdk 都是插件化,都可以动态下发代码和功能,根本无法想象用户可能收到什么样的广告,从广告质量和隐私合规都是毒瘤。
    psyche08
        59
    psyche08  
       2022-11-03 19:10:36 +08:00
    @kwh 开屏广告的消失是大家不知道尺度在哪里,都选择了一刀切。知道 zf 的底线后,自然一窝蜂的加回来,摇一摇就是属于之前没考虑到的部分,规则总是会滞后的。
    Maiiiiii
        60
    Maiiiiii  
       2022-11-07 16:20:24 +08:00
    报告发过来一看,没有防内存 dump 、没有防止重打包、没有做签名校验。。。明摆着指向企业版应用加固
    snowflake007
        61
    snowflake007  
       7 天前
    这个东西搞了我一周,而且用了检测方提供的方案以前能通过,今年通不过,神奇



    1 、通过 ptrace 方式判断 。如果进程被附加处于调试状态,则/etc/$(procID)/status 中进行 procid 的判断,如果进程 id 不为零则直接杀死本进程退出。如果进程被附加处于调试状态,则/etc/self/status 中对 TracerPid 后面的进程 ID 进行判断,如果进程 id 不为零则直接杀死本进程退出。
    2 、建议被测系统采用的客户端、通信链路、服务器端多层级联动的纵深防御解决方案。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5275 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 08:03 · PVG 16:03 · LAX 00:03 · JFK 03:03
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.