欢迎您使用智齿科技SDK!我们深知个人信息对您的重要性,您的信赖对我们非常重要,我们将严格遵守法律法规要求采取相应的安全保护措施,致力于保护您的个人信息安全可控。
本文档旨在向您说明在移动互联网应用程序(App)接入智齿科技SDK服务时,智齿科技收集使用的个人信息及智齿科技SDK安全风险评估。
一、合规使用智齿科技SDK声明
为保障您的App合法合规,您须确保按照当前法律法规或监管要求使用智齿科技SDK服务,请务必做好以下三步:
1)确保您已经将智齿科技SDK升级到满足监管新规的最新版本。
2)做延迟初始化配置,确保用户授权《隐私政策》后再初始化智齿科技SDK。
2)在《隐私政策》中向用户告知使用智齿科技SDK的具体情况。
请您务必按照如上提示合规使用智齿科技SDK服务,因您未合规使用智齿科技SDK服务所导致的风险由您自行承担。
二、智齿SDK收集使用个人信息及权限
1、收集使用个人信息
为识别网络状态及账号异常状态、了解产品及服务的适配性,我们会收集如下信息:设备及系统信息(包括操作系统类型、系统版本、App包名、App版本、设备类型、设备厂商、设备型号)、传感器(包括加速度传感器和距离传感器)、网络身份标识信息(IP地址)等。
2、获取系统权限
为向您提供更便捷、更优质、个性化的服务,努力提升您的体验,我们在向您提供的特定附加服务中可能会通过开启系统权限以收集和使用您的个人信息。如您不同意开启相关权限,不会影响您使用智齿科技的基本服务,但您可能无法获得这些附加服务给您带来的用户体验。您可自行决定这些权限随时的开启或关闭。
申请获取权限类型及用途情况如下:
(1)相机权限
您可在开启相机权限后使用该功能发送图片和视频。
(2)麦克风权限
您可在开启麦克风权限后使用该功能发送语音消息。
(3)电话权限
当您使用智齿科技呼叫中心、语音机器人等呼叫产品功能时,需主动提供特定电话号码、开启电话权限后,拨打或接听电话。您使用上述功能后我们会存储通话主被叫号码、通话时间、通话记录等。
(4)存储权限
您可在开启允许APP读取/写入外置存储器权限后使用该功能发送/保存图片、文件以及视频。
三、智齿科技SDK安全评估
为防范SDK风险,保障用户个人信息安全,参考全国信息安全标准化技术委员会秘书处发布的《网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》,我们对智齿科技SDK进行了主要风险项安全评估,评估结果见下表:
| 类型 | 名称 | 状态 | 自我评估(是否安全) |
|---|---|---|---|
| 源文件安全 | Java代码未混淆风险 | 无 | 是 |
| 私有函数调用风险 | 无 | 是 | |
| AES 弱加密漏洞 | 无 | 是 | |
| RSA 算法不安全使用漏洞 | 无 | 是 | |
| 随机数不安全使用 | 无 | 是 | |
| 敏感函数调用风险 | 无 | 是 | |
| 内部数据交互安全 | 低保护级别的自定义权限 | 无 | 是 |
| PengdingIntent 不安全使用 | 安全使用 | 是 | |
| 携带敏感信息的隐式 Intent 调用 | 无 | 是 | |
| 动态注册广播 | 无 | 是 | |
| FFmpeg 文件读取 | 无 | 是 | |
| Intent Scheme URLs 攻击 | 无 | 是 | |
| Provider 文件目录遍历 | 无 | 是 | |
| Fragment 注入 | 无 | 是 | |
| Webview 未移除隐藏接口 | 无 | 是 | |
| Webview 明文保存密码 | 无 | 是 | |
| Activity 绑定 browserable 与自定义协议 | 无 | 否 | |
| 存在剪切板读或写操作漏洞检测 | 有(消息复制) | 是 | |
| 通信数据传输安全 | SSL 通信服务端/客户端检测信任任意证书 | 无 | 否 |
| HTTPS 关闭主机名验证 | 有 | 是 | |
| Webview 存在本地 Java 接口 | 无 | 是 | |
| Webview 忽略 SSL 证书错误 | 无 | 是 | |
| 开放 socket 端口 | 无 | 是 | |
| Webview 启用访问文件数据 | 无 | 是 | |
| 本地数据存储安全 | getdir 读写权限配置错误 | 有 | 是 |
| 全局文件读写权限配置错误 | 有 | 是 | |
| 配置文件读写权限配置错误 | 有 | 是 | |
| AES/DES 硬编码密钥 | 无 | 是 | |
| 打开或创建数据库文件权限配置错误 | 无 | 是 |
行为名称 | 注释 | 有无此行为 |
|---|---|---|
| 流量劫持 | SDK信息拉取、上报和展示目标与App提供者设定的目标不 同,恶意劫持App流量,可能对App造成损害。 | 无 |
| 资费消耗 | SDK可通过消耗用户网络套餐资费、恶意发送收费短信, 订阅收费服务等行为,造成用户的资金损失。 | 无 |
| 隐私窃取 | SDK在用户不知情或误导用户的情况下,隐蔽窃取用户的 通讯录、短信息等个人敏感信息,隐蔽进行拍照、录音等 敏感行为,并发送给恶意开发者。 | 无 |
| 静默下载 | 安装 SDK在后台静默下载、安装其它恶意软件或病毒木马。 | 无 |
| 广告刷量 | SDK在用户不知情的情况下,在后台模拟人工点击广告链 接进行牟利。 | 无 |
| 恶意广告 | SDK向用户推送包含欺诈内容、病毒木马的广告链接。推 送过量广告,进而长期占用系统通知栏、屏幕界面,干扰 用户正常使用App。 | 无 |
| 勒索 | SDK恶意加密用户手机中的文件,干扰用户对手机的正常 使用,并以恢复正常使用为由向用户勒索钱财。 | 无 |
| 挖矿 | SDK在用户不知情的情况下利用其手机的计算能力来为攻 击者获取电子加密货币,对用户设备硬件造成性能损耗。 | 无 |
| 远程控制 | SDK在手机端启动本地后台服务器,接收远程控制端发来 的控制指令,隐蔽进行上述其他恶意行为。 | 无 |
| 剪切板劫持 | SDK对系统剪切板进行监听,获取剪切板中的敏感信息, 或者根据剪贴板内容的变化触发悬浮窗,干扰系统功能, 欺骗用户,或者影响其他应用正常使用。 | 无 |