为了确保进入鸿蒙生态中的应用是安全可靠的,在应用上架发布阶段,我们首先对应用 进行检测与审核,确保应用程序满足权限最小化,数据使用公开透明,无不良内容,无恶意 行为等基本要求,同时我们也提供了应用加密、应用签名等功能,保护开发者应用程序完整 性和机密性,保护开发者知识产权。
1)应用检测与审核 为了确保生态中的应用是纯净、安全、合规的,在应用上架前,会基于行业监管要求、 应用市场安全隐私要求、应用提供的安全隐私声明,通过静态检测、动态检测、人工检测的 多重检测手段,对应用进行全面检测,包括不限于权限检测、应用行为检测、病毒检测、隐 私检测等,对于不合规的应用,开发者需要完成合规整改,具体要求详见应用市场审核指南。 权限检测 应用权限检测是指通过技术手段分析应用所申请权限列表的合理性和必要性,同时权限 检测会评估应用程序是否存在过度请求权限、滥用权限、频繁申请权限而影响用户正常使用 的行为,通过权限检测可以让开发者发现权限问题,保护用户的个人信息。 应用行为检测 应用行为检测主要是一种用于发现恶意行为的安全技术,通过监测应用程序的接口调用、 文件访问等行为来识别不良软件或应用程序。为了给用户提供安全可靠的使用环境,应用不 得含有试图滥用或不当使用任何网络、系统机制、系统功能、系统漏洞、以及干扰其他应用或影响终端设备功能的恶意行为,影响用户的正常操作和体验。包含但不限于借助系统机制 进行恶意保活拉活、恶意弹窗霸屏、异常后台行为、恶意隐匿等行为。
隐私政策托管 隐私政策托管是指在开发者提交应用上架时,按照官方隐私政策模版填写应用或 SDK 申请的系统权限及其申请理由,应用或 SDK 收集个人信息、收集目的及其使用范围等,通 过规范应用隐私政策内容、简化隐私政策撰写门槛来保护用户合法权益。隐私政策模版包含 个人信息收集与使用、权限申请与访问、未成年人保护、第三方共享信息、三方插件与 SDK 信息、个人信息管理、个人信息存储地点与期限、开发者联系信息八个章节,此外还提供了 自定义章节满足开发者的差异化需求。 结合法律法规与应用托管的隐私政策,系统会在应用安装首次启动时提供统一隐私政策 弹窗能力,并在用户同意隐私政策之前禁止应用申请系统权限和收集个人信息,保障用户的 合法权益。 隐私检测 隐私检测是依据相关法律法规和国家标准等解读分析的用户隐私保护技术,通过静态代 码分析和动态行为检测等多种技术手段结合,对比开发者托管的应用隐私政策内容,全面、 精准识别应用的违规行为和隐私风险。应用不得出现违规或超范围收集个人信息,违规使用 个人信息,强制、频繁、过度索取权限等隐私合规问题。
恶意应用检测 应用及其内置组件不得含有病毒、木马,包括但不限于通过可疑代码、文件及程序等形 式对系统造成危害影响或侵害用户权益。鸿蒙生态将与业界安全厂商进行合作,对应用中的 可疑代码片段、文件或者三方库,与业界安全厂商的病毒库进行对比,检查应用程序是否包 含病毒风险。 生态规则检测 为向用户提供安全、一致、延续的体验,要求开发者提交的应用在满足安全、隐私合规 的基础上,应当遵守相应的生态规则,包含账号、广告、输入法、Web 内核、元服务 API 和 webview 组件等规范。具体的规范以元服务和应用的相应规范为准,生态规则的检测在 应用提交后由系统自动化完成,开发者可以通过开发者网站的消息查看到相应的检测结果。
检测能力开放 应用开发阶段提供了内容安全(隐私)、应用质量(兼容性、稳定性、性能等)检测能 力,需要上架应用市场的应用,在开发阶段可选择对 APP 进行内容安全(隐私)、应用质量 (兼容性、稳定性、性能等)检测,帮助开发者在开发阶段发现潜在的内容安全、应用质量 等问题并及时修复,不仅可以降低开发者上架驳回概率,提升开发者上架效率,还可以提升 应用的用户体验,减少因安全和质量问题导致的用户投诉或损害。因此为了确保应用能够通 过应用市场的审核并获得更多的下载量,在应用开发阶段,开发者需要考虑到内容安全和应 用质量的问题,以确保应用能够通过应用市场的审核,并获得用户的信任和好评。
2)应用加密 为了保护应用代码安全,保护开发者的核心资产,HarmonyOS 提供了端到端的应用代 码保护机制,该机制以系统安全为基础,构建内核级应用生命周期内的代码安全保护能力。
开发者向应用市场提交上架申请,再经过应用市场审核后,应用市场会对上架应用做代 码加密,应用在设备上安装时,安装文件落盘后仍是处于加密状态,有效的保护应用程序; 当应用程序启动时,通过内核加载的应用文件是加密状态,因此这些文件会在内核中按页解 密,然后提取文件明文在内存中执行。应用加密采用标准 AES 加密算法,解密后的明文只存 在于内存中,不会存储到设备,形成端到端的加密方案,有效的保障应用程序的安全性。
3)应用签名 应用包签名 开发者使用发布证书和发布 Profile 对应用安装包签名后,上架应用市场。应用市场会 对上架应用进行上架检测和质量审核,对于满足上架要求的应用,应用市场会对应用安装包 进行重签名;只有经过重签名的上架应用,才允许在设备上安装。
HarmonyOS 对所有安装的应用都需要进行签名校验,确保应用来源可信和应用完整性; 应用安装包签名校验发生在应用安装时,如果签名校验失败,则禁止应用安装。 HarmonyOS 使用根 CA 对应用安装包进行签名校验,应用安装包的签名证书都需要从 根 CA 开始采用证书链的方式签署。 对于调试应用的安装,HarmonyOS 在校验安装包签名基础上,还需要严格匹配应用调 试 Profile 中的设备 ID 与当前设备 ID 的匹配,如果不匹配的话禁止安装。 对于发布应用的安装,HarmonyOS 仅允许经过应用市场审核通过后,由应用市场重签 名过的安装包进行安装。 应用代码签名 应用包签名可以为应用提供分发和安装时的合法性校验和完整性保护,但是恶意软件常 在应用安装后,滥用私有的热更新机制,在运行时下载恶意代码,从而绕过应用市场的安全 审查。为维护鸿蒙应用生态的纯净与用户体验,HarmonyOS 引入强制代码签名机制,提供 加载时和运行时的代码合法性检查以及完整性保护,确保端侧执行的代码来源可靠,未经审 核的代码无法执行。
开发者上架的鸿蒙应用在通过应用市场的安全合规审核后,由应用市场签名,企业应用 和开发者的调试应用则使用华为颁发的证书做代码签名。HarmonyOS 系统实施强制代码签 名检测,在应用代码加载前,强制检查其签名合法性,防止应用执行未经审核、包含恶意行 为的代码;在应用代码执行前,按页做哈希校验,验证其内容的完整性,确保代码在存储时 未被篡改;在代码运行过程中,提供基于污点的页标记机制,防止代码在运行时被篡改。
为尽量避免恶意代码的安全威胁,实现鸿蒙生态的安全与纯净,达到提高用户体验的目 的,针对鸿蒙应用的方舟字节码和二进制机器码提出以下安全原则: 1)禁止应用执行未包含合法签名的代码,包括但不仅限于应用本身、补丁、插件 以及共享库的代码; 2)禁止应用修改已签名的代码内容,实现与提交给应用市场宣传不一致的功能特 性; 3)禁止应用绕过代码签名的管控。 在维持上述安全原则的情况下,为满足应用对动态代码更新的诉求,HarmonyOS 提供 安全的受限运行环境,允许应用在其中执行未签名代码。受限执行环境通过隔离未签名代码 并限制其系统能力,确保未签名代码在安全管控之内,不会对系统造成威胁。对于应用解释 执行的代码,禁止用于绕过应用市场审核,实现与宣传不一致的功能特性,改变应用的主要 用途。
