当前位置：首页 > news >正文

APP 有漏洞被测要下架，怎么处理？

news 2025/7/8 15:14:48

事情的经过是这样的：

1：学员公司测试的 APP 发现有漏洞，被要求下架

2：他被公司要求去查询 APP 哪里有漏洞

3：他来寻求帮助，推荐几款安全测试扫描漏洞的问题。

事情的梳理：

1:我们看了他的 APP 审查过程，并非是安全漏洞，发现都是第三方 SDK 的调用，而且都是违规收集用户信息的 SDK；

2：SDK 如下所示：

这些 SDK 包括：

l 极光推送 SDK
使用目的：为用户推送平台的最新活动
收集个人信息类型：设备识别信息
采集端：iOS/Android

l 支付宝支付 AlipaySDK-iOS-No-UTDID
使用目的：帮助用户在应用内使用支付宝。
收集个人信息类型：网络信息、地理位置信息、手机号码、唯一设备标识符（IMEI/IMSI/MAC 地址、android_id），订单信息（交易金额、订单号、时间）。
采集端：iOS/Android

l 微信分享、支付 MobSDK
使用目的：帮助用户完成微信登录/分享/微信支付功能。
收集个人信息类型：订单信息（交易金额、订单号、时间），手机号码，地理位置，联网信息，设备型号，设备类型，唯一设备标识符，系统版本。
采集端：iOS/Android

l 高德地图 SDK
使用目的：收集您的位置信息，访问网络用于获取地图服务，使用存储权限用于保存地图缓存，应用于与位置相关的业务场景，如：向您展示所在位置周边的库存商品信息，便于您选择收货地址，向您展示配送信息。
收集个人信息类型：收集个人信息类型：设备所在位置相关信息（GPS 位置、WLAN 接入点、蓝牙、WI-FI 信息、GNSS、基站以及其他传感器信息），设备信息（IMEI、IDFA、Android ID、MEID、MAC 地址、OAID、IMSI、硬件序列号、操作系统版本信息），IP 地址。
采集端：iOS/Android

l 百度地图 SDK
使用目的：收集您的位置信息，访问网络用于获取地图服务，使用存储权限用于保存地图缓存，应用于与位置相关的业务场景，如：向您展示所在位置周边的库存商品信息，便于您选择收货地址，向您展示配送信息。
收集个人信息类型：收集个人信息类型：设备所在位置相关信息（GPS 位置、WLAN 接入点、蓝牙、WI-FI 信息、GNSS、基站以及其他传感器信息），设备信息（IMEI、IDFA、Android ID、MEID、MAC 地址、OAID、IMSI、硬件序列号、操作系统版本信息），IP 地址。
采集端：iOS/Android

l 商汤 ocr SDK
使用目的：帮助用户完成身份认证。
收集个人信息类型：设备识别信息
采集端：iOS/Android

l 友盟 umeng SDK
使用目的：识别设备的异常状态。
收集个人信息类型：设备类型，系统版本，用户使用时长，首页地址
采集端：iOS/Android
**l OKHttp3 **SDK
使用目的：用于快速定位故障和性能瓶颈，优化代码和服务效率，保障业务稳定性，提升用户体验。
收集个人信息类型：设备识别信息
采集端：iOS/Android

l 连连收款 SDK
使用目的：向用户提供银联支付功能。
收集个人信息类型：设备识别信息
采集端：iOS/Android

事件的解决建议方案：

1：上报情况给研发经理和老板，告知是因为调用第三方 SDK 违规收集用户信息，而非安全漏洞

2：目前这个情况只能优先下掉第三方 SDK 的调用，先保住 APP 不下架

3：APP 下架会带来更多的损失

这个事件的借鉴意义：

1：作为测试人一定要分清楚什么是漏洞什么是违规使用？

2：遇到这类违规使用而被要求下架 APP，作为测试负责人应该如何反应并处理。

3：违规使用第三方 SDK 的信息，是否可以在测试中避免？或者是测试到是否有用户授权的步骤？

4：收集用户信息的第三方 SDK，值得大家看看？

5：这也可以算是测试中的一个紧急事件或突发 bug。

如果是你遇到这样的问题，你会怎么处理，如何去快速求助？

作为一个软件测试的过来人，我想尽自己最大的努力，帮助每一个伙伴都能顺利找到工作。所以我整理了下面这份资源，现在免费分享给大家，有需要的小伙伴可以关注【公众号：开心螺蛳粉】自提！

软件测试面试文档

我们学习必然是为了找到高薪的工作，下面这些面试题是来自阿里、腾讯、字节等一线互联网大厂最新的面试资料，并且有字节大佬给出了权威的解答，刷完这一套面试资料相信大家都能找到满意的工作。在这里插入图片描述

在这里插入图片描述

行动吧，在路上总比一直观望的要好，未来的你肯定会感谢现在拼搏的自己！如果想学习提升找不到资料，没人答疑解惑时，请及时加入群：1150305204，里面有各种测试开发资料和技术可以一起交流哦。

APP 有漏洞被测要下架，怎么处理？

软件测试面试文档

相关文章：

APP 有漏洞被测要下架，怎么处理？

2024年2月19日-2月25日（全面进行+收集免费虚幻商城资源）

Flutter学习4 - Dart数据类型

leetcode hot100单词拆分

大数据构建知识图谱：从技术到实战的完整指南

WebServer -- 定时器处理非活动连接（上）

微服务部署：金丝雀发布、蓝绿发布和滚动发布的对比

轻松入门MySQL：优化复杂查询，使用临时表简化数据库查询流程（13）

vmware的ubuntu虚拟机因空间满无法启动

Unity数据持久化之PlayerPrefs

uniapp微信公众号H5分享

深入理解指针（c语言）

高级语言期末2015级唐班B卷

开发一款招聘小程序需要具备哪些功能？

嵌入式学习-qt-Day3

零基础到高级：Android音视频开发技能路径规划

阿里云香港轻量应用服务器网络线路cn2？

python中websockets与主线程传递参数

js谐音梗创意小游戏《望子成龙》

第十篇：node处理404和服务器错误

现代密码学 | 椭圆曲线密码学—附py代码

Spring Boot+Neo4j知识图谱实战：3步搭建智能关系网络！

【服务器压力测试】本地PC电脑作为服务器运行时出现卡顿和资源紧张（Windows/Linux）

EtherNet/IP转DeviceNet协议网关详解

微信小程序云开发平台MySQL的连接方式

DeepSeek 技术赋能无人农场协同作业：用 AI 重构农田管理 “神经网”

html-＜abbr＞缩写或首字母缩略词

零基础在实践中学习网络安全-皮卡丘靶场（第九期-Unsafe Fileupload模块）（yakit方式）

RSS 2025｜从说明书学习复杂机器人操作任务：NUS邵林团队提出全新机器人装配技能学习框架Manual2Skill

站群服务器的应用场景都有哪些？