小天才开放平台 | 文档

# 小天才第三方应用安全标准

# 1. 应用安全基本要求

  1. 应用禁止包含病毒、木马、 后门程序等恶意代码。
  2. 应用禁止诱导、欺骗用户,在用户主观不知操作后果情况下,执行有损系统和应用安全的操作,包括但不限于下载或安装系统 root 工具、激活设备管理器选项、开启辅助功能等。
  3. 应用禁止劫持系统操作,避免导致系统功能异常。
  4. 应用禁止包含故意破坏用户使用体验、阻碍用户正常使用手表或其他应用的任何行为。
  5. 应用禁止包含仿冒、恶意、欺骗性行为或任何侵犯用户知情权、选择权的行为。
  6. 应用禁止将广告伪装成应用功能误导消费者。
  7. 应用禁止诱导或欺骗用户修改、关闭、卸载其他经营者合法提供的产品或者服务。
  8. 应用禁止引导用户开启开发者选项,禁止引导用户开启 USB 调试模式。
  9. 应用需提供用户账号注销等能力。
  10. 禁止应用使用第三方webview内核。
  11. 禁止含有可执行代码的其他第三方应用或SDK。
  12. 禁止在任何界面提供输入网址访问网页的功能。

# 2. 应用数据安全要求

# 2.1 基本要求

  1. 应用程序关键数据需存放在私有目录下,并设置合理的访问权限。
  2. 应用程序中的敏感个人数据需加密存储,密钥禁止硬编码,需要由服务器配置或者动态生成。
  3. 应用程序在业务设计上需设定合理的限定规则,如限制每日积分、点赞、徽章、评论、抽卡等行为次数,以防止通过非正常途径获取资源,损害正常用户的潜在利益。
  4. 避免将敏感数据存放到剪贴板中。
  5. 禁止将敏感数据未经加密写入公共数据库或公共存储区域。
  6. 应用对用户个人信息的收集、存储、转移的机密性负责,避免外泄,禁止未经用户同意与其他应用共享、使用用户个人信息。
  7. 应用须提供隐私政策说明,并按照现行法律向用户说明所收集或传输的用户数据内容以及数据的用途、分享对象和其他相关信息。
  8. 应用应提供用户数据的安全销毁机制,确保在用户注销或删除账户后,其数据被安全删除。
  9. 开发者需根据GBT 35273-2020《信息安全技术个人信息安全规范》进行信息安全保护。

# 2.2 收集用户数据

  1. 当服务需要间接或者直接收集到用户数据的,必须事先获得用户的明确同意,同时应当告知用户相关数据收集的目的、范围及使用方式等,必须始终坚持用户知情权为前提。
  2. 应用软件不应有未向用户明示且未经用户同意,擅自收集用户数据的行为,包括在用户无确认的情况下开启通话录音、本地录音、后台截屏/录屏、拍照/摄像、定位和接收短信,读取用户本机号码、电话本数据、通话记录、短信数据、上网记录、日程表数据、定位信息,读取媒体影音数据(如照片、视频和音频),采集和读取生物特征识别信息(如指纹识别、人脸识别等),读取设备唯一可识别信息(如不可重置的设备识别符,例如 IMEI 和 WLAN-MAC 地址)、应用软件列表的行为。
  3. 禁止应用超范围或频次收集用户信息,包括窃取用户密码或其他用户个人数据。
  4. 应用在采集和处理生物特征识别信息时,应使用符合国家和行业标准的安全措施。

# 2.3 修改用户数据

  1. 应用软件不应未向用户明示且未经用户同意,擅自修改用户数据的行为,包括在用户无确认情况下修改(包含写和删除)用户电话本数据、通话记录、短信数据、日程表数据的行为。

# 2.4 数据录入保护

  1. 支付类应用软件输入认证/支付密码等敏感信息时,需采取技术措施防止密码被截获,并不得在移动智能终端界面上默认以明文显示。

# 2.5 数据加密传输

应用通过网络传输终端上的个人信息时,应满足以下安全能力要求:

  1. 应用软件应用采用密文方式传输金融支付类,信息通信类,账户设置类,传感采集类和设备信息类信息。
  2. 应用软件应采用密文方式传输用户个人摄录的媒体影音类信息。

# 3. 通信安全要求

# 3.1 本地进程通信安全要求

  1. 对跨信任边界传入的 Intent 需进行合法性判断,防止应用异常崩溃。
  2. 涉及用户敏感数据的应用作为服务提供方需校验服务使用方的身份和访问权限,防止非授权服务使用方进行身份仿冒或者权限绕过。
  3. 通过隐式方式发送广播或公共事件,禁止携带的敏感数据明文传输。

# 3.2 远程通信安全要求

  1. 禁止使用http进行通信,并对 https 证书进行严格校验。
  2. 应用加载云端服务时,需确保加载网站服务的来源可靠。
  3. 使用远程端口通信时,需对端口连接对象进行身份认证和鉴权。
  4. 应用进行跨设备通信时,需校验被访问设备和应用的身份信息,并作为服务提供方时校验服务使用方的身份和权限,防止身份仿冒或权限绕过。

# 4.应用发布阶段安全要求

# 4.1 应用签名要求

  1. 应用运行调试和发布前应用必须签名,应用上架发布前必须经过开发者证书签名。
  2. 应用开发者,公司和部门每一项需保证真实有效,不能为网址、乱码等无效信息,签名证书 DN 主体项中宜正确标识开发者身份主体信息,如企业名称、组织、省市和国家等信息,不得含有跟主体无关的信息。
  3. 签名证书应包含有效的时间戳,并确保证书在有效期内。
  4. 应用开发者需管理好签名文件,禁止将签名文件用于非法的商业或者破解用途。

# 4.2 应用上架安全要求

  1. 应用上架必须通过对应用的安全检测(权限、隐私合规、是否存在恶意行为、仿冒等)、开发者身份确认、应用完整性验证及应用行为审核。
  2. 禁止开发者申请上架可调试版本应用。

# 5. 应用运行阶段安全要求

# 5.1 应用安装安全

  1. 应用未明确告知用户安装意图或用户未授权情况下,禁止进行程序下载、安装或升级操作。
  2. 禁止应用内胁迫、恐吓、强迫、提供虚假功能等方式,诱导用户下载和安装其他应用。
  3. 禁止为安装恶意软件提供链接或引导。
  4. 禁止应用安装后自动在桌面添加多个快捷方式。

# 5.2 自启动和关联启动

  1. 非经小天才官方允许,应用禁用自启动和关联启动。
  2. 禁止应用要求用户完成特定任务(如积分任务)才能正常启动或使用核心功能。
  3. 应用程序启动弹窗信息页面,要求提供显著、有效的关闭或跳过功能,禁止利用文字、图片、视频等方式欺骗误导用户跳转至其他页面应用。
  4. 用户无感知的情况下,禁止应用直接访问其他应用的服务或接口。
  5. 禁止应用后台拉起其他应用的界面,应用前台拉起其他应用时需要经过用户确认或显式告知。

# 5.3 应用权限要求

应用权限需要满足以下要求:

  1. 应用申请的权限,必须有明确、合理的使用场景和功能说明,确保用户能够清晰明了地知道申请权限的目的、场景、用途;禁止诱导、误导用户授权;应用使用权限必须与申请所述一致。
  2. 应用权限申请必须遵循最小化原则,只申请业务功能所必要的权限,禁止申请不必要的权限。
  3. 应用在安装后首次启动时,避免频繁弹窗申请多个敏感权限;敏感权限需要在用户使用对应业务功能时动态申请。
  4. 用户拒绝授予某个权限时,与此权限无关的其他业务功能必须保证能正常使用,包括应用可以正常注册或登录。
  5. 业务功能所需要的权限被用户拒绝且禁止后不再提示,当用户主动触发使用此业务功能或为实现业务功能所必须时,应用程序可使用界面内文字引导,让用户到设置中授权。
  6. 禁止应用申请电话、短信、通话记录权限,应用可通过调用系统服务来实现拨打电话、发送短信功能。
  7. 应用使用通讯录应优先调用无需授权的系统服务来访问通讯录。
  8. 严格控制应用申请位置权限,除导航、运动、网络约车类应用可申请后台持续获取位置,其他类型应用如无合理使用场景不应申请位置权限。
  9. 对于媒体权限,应用存在读取设备媒体库中媒体文件的功能场景,才允许申请媒体权限,其他场景禁止申请媒体权限。
  10. 应用获得相机权限后,禁止在用户不知情的情况下进行摄像或者拍照。
  11. 应用获得麦克风权限后,禁止在用户不知情的情况下进行录音。
  12. 禁止利用漏洞等方式获取系统控制权限,进行非授权操作。
  13. 应用通过敏感权限获得的数据和能力,禁止以自定义接口直接向外提供给其他应用访问。
  14. 应用(包括SDK)所需权限必须在权限说明中逐个声明。
  15. 禁止以系统权限名前缀作为自定义权限名前缀,建议以应用包名或公司反域名为前缀,防止与系统或其他应用定义的权限重名。

# 5.4 高安全或敏感业务要求

  1. 对于涉及支付及敏感个人数据的应用,必须使用系统提供的安全运行环境(TEE)或其他等效的安全机制。
  2. 在登录、注册及密码输入界面需启用屏幕保护机制,禁用截屏和录屏功能。

# 5.5 应用更新要求

  1. 应用软件只能通过小天才官方应用中心更新,禁止应用自升级。
  2. 应用功能和内容更新时,不得提供任何形式的付费诱导和广告,不得提供可能导致儿童沉迷或损害视力的产品和服务。
  3. 禁止未经用户明确授权和安全审核的热更新、热修复或插件化技术,确保在应用运行时不会动态加载恶意代码。

# 6. 恶意行为

  1. 禁止应用发送无法删除的常驻通知,例外场景包括播放音乐、开启导航、运动健身场景。
  2. 禁止应用使用悬浮窗或者弹框、通知等覆盖其他应用用户界面。
  3. 禁止远程控制 :允许远程攻击者控制手机,接收攻击者下发的远程控制指令,在用户未授权、未知情的情况下,侵害用户隐私、窃取用户资产或者执行其他恶意行为。
  4. 禁止剪切板劫持:除了正常使用剪贴板功能外,对系统剪切板进行监听,获取、修改剪切板中的敏感信息,包括但不限于根据剪贴板内容的变化触发悬浮窗干扰系统功能,欺骗用户,影响其他应用正常使用。
  5. 禁止拒绝服务攻击:在用户不知情的情况下对其他系统和资源进行拒绝服务攻击,或做为分布式拒绝服务攻击的一环使用户无法得到服务。
  6. 禁止应用内跳转至非法或未经验证的外部网页链接。
  7. 应用在用户强制关闭或退出后,禁止继续占用系统资源。
  8. 禁止应用在用户未主动操作的情况下,在后台进行录音、定位、拍照、读取媒体影音数据、截屏或录屏等行为。
  9. 禁止阻碍用户设备正常通信等基础功能。
  10. 禁止在用户不知情的情况下,超出业务正常需要,频繁联网消耗用户流量。
  11. 禁止通过黑灰产行为窃取用户资金或资产,破坏应用生态,从中牟取利益。黑灰产行为包括但不限于偷窃、刷量刷榜、挖矿、勒索。
  12. 禁止应用有欺骗用户的行为,不得通过伪装来自可信来源或者其他应用,欺骗用户点击、安装、输入或跳转,进而获取用户的身份认证凭据,或者更改系统配置等。欺骗行为包括但不限于伪装系统应用、伪装1. 界面、钓鱼、隐蔽扣费、空白名称、透明图标、后台隐藏等。
  13. 禁止应用软件未向用户明示且未经用户同意,擅自调用终端通信功能,造成用户费用损失,包括在用户无确认情况下拨打电话、发送短信、发送彩信、开启移动通信网络或WLAN连接并收发数据。
Last Updated: 2024/12/3 下午3:46:38