说说软件测试那些事儿|App用户隐私测试初探
背景:
随着Android版本的不断更新 , 对APP的要求越发严格 , 主要体现在用户隐私的获取上;
目前工信部对各种应用上线要求严格 , 用户未同意隐私调用时 , 严禁APP获取用户隐私信息 。
测试手段迭代:
输入法测试在隐私验证共迭代了三种测试方法 , 分别是:
① 监控接口的信息(加/解密后信息)中是否包含隐私信息;
② 监控Logcat的所有信息中是否包含隐私信息;
③ 监控系统隐私接口函数;
前两种方法主要验证APP是否将用户隐私信息进行外传 , 第三种方法验证APP是否获取了用户的隐私信息 。
下面介绍一下三种测试方法:
一、接口监控(适用于用户同意APP获取隐私后的安全测试)
测试手段:Fiddler-Script修改抓包
方法:
改写Fiddler-Script , 监听每一条请求的Header、Body内容 , 判断是否包含用户隐私信息 , 打印log的同时将结论输出到文档中 , 便于查看 。
在OnBeforeRequest中添加如下代码:
【说说软件测试那些事儿|App用户隐私测试初探】
本文插图
二、logcat日志监控(适用于用户同意APP获取隐私后的安全测试)
测试手段:监控Logcat是否有应用写入包含隐私信息的日志;
方法:此处方法比较多 , 可以通过Studio监控过滤 , 也可以通过Adb直接过滤等 , 该方法较简单 , 在此不详细介绍 。
三、监控系统隐私接口函数(适用于用户未同意APP获取隐私前的安全测试)
测试手段:在Root+Xposed设备上 , 通过Hook系统隐私接口函数 , 来监控是否有应用调用该接口;
方法:(举例获取Mac地址)
编写Hook工具 , 关键代码如下:
本文插图
在用户未同意隐私权限获取时 , 使用APP , 调节时间等 , 检查Log中是否有接口调用信息 。
以上为本次隐私获取问题测试中的一点心得 , 希望能给大家带来帮助 。
推荐阅读
- 李勇年|全国爱肝日 西安大兴医院李勇年详解护肝那些事儿
- 速冻饺子、酸奶……警惕那些让你变胖变丑的“隐形”油、盐、糖
- 低血糖|关于低血糖的那些事儿
- 苹果_植物|盘点那些从国外传进来的水果,苹果传入我国才200多年!
- 斯蒂芬·赛克斯|盘点那些令人瞠目结舌的造假事件
- 恒星|宇宙中那些怪异的星球!
- 全麦面包|那些所谓的“全麦面包” ,只有1%可能是真的!
- 腰疼|腰疼就是肾不好?又信那些“违背祖训神医”的鬼话了吧
- 爱迪生|看看那些曾经“轰动一时” 后来却被证明,并没什么用的“发明”
- 电子体温计|儿科医生妈妈:水银体温计和汞中毒——你所不知道的那些事儿