◆亓澤瑜 張敏 趙首花 張賞雪 孫蕊剛

移動APP應(yīng)用的信息安全問題及優(yōu)化建議

◆亓澤瑜 張敏 趙首花 張賞雪 孫蕊剛

（陜西省網(wǎng)絡(luò)與信息安全測評中心 陜西 710065）

移動互聯(lián)網(wǎng)應(yīng)用程序（APPlication，簡稱APP），是指通過下載安裝的方式并在移動智能設(shè)備上向用戶提供各類服務(wù)的應(yīng)用軟件。隨著智能手機的普及，APP的快速發(fā)展成了豐富用戶生活的主要手段。但是，APP在為用戶提供網(wǎng)絡(luò)服務(wù)的同時，違法違規(guī)收集使用個人信息的問題也十分突出，如強制授權(quán)、過度竊取、超范圍收集個人信息等，不僅讓用戶的個人信息和利益受到危害，也給國家安全產(chǎn)生了嚴重威脅，移動APP應(yīng)用存在的信息安全問題不容輕視。

信息安全；移動APP；隱私保護

1 移動APP應(yīng)用現(xiàn)狀

據(jù)CNCERT統(tǒng)計，我國境內(nèi)應(yīng)用商店數(shù)量已超過200家，上架APP近500萬款，下載總量超過萬億次，還在以指數(shù)形式遞增[1]。在龐大的用戶群體和移動設(shè)備背景下，移動手機用戶平均使用的APP已經(jīng)超過10款，例如微信、淘寶、瀏覽器、安全衛(wèi)士、應(yīng)用商店、音樂等，利用APP進行購物支付、消遣娛樂，可見，移動APP的發(fā)展及普及將逐步代替?zhèn)鹘y(tǒng)的網(wǎng)站、系統(tǒng)，面向社會提供服務(wù)。因此，對智能設(shè)備的依賴性越來越強，留下的個人操作足跡和信息數(shù)據(jù)越來越豐富，形成的個人信息數(shù)據(jù)越來越全面。大面積安裝、使用APP，悄無聲息地對個人安全造成了不利影響。

2 移動APP應(yīng)用的信息安全問題

2.1 技術(shù)方面的問題

正因APP的市場前景良好，開發(fā)門檻低，導(dǎo)致APP市場魚龍混雜，良莠不齊。在設(shè)計與制作APP時，運維開發(fā)者并沒有將信息安全作為軟件生命周期中的環(huán)節(jié)，所以APP應(yīng)用業(yè)務(wù)邏輯處理效果不符合實際要求[2]。另外，應(yīng)用中的集成功能模塊也存在缺陷，使得應(yīng)用技術(shù)中對于信息安全的處理不能達到要求。除此之外，APP在上線前并沒有進行安全測試，APP運營商往往因技術(shù)專利等原因，拒絕提供源代碼，這就使得應(yīng)用中可能存在后門或隱蔽通道。

目前，用戶在安裝APP時，大部分都需要獲取用戶權(quán)限，如果授權(quán)深度淺或禁止授權(quán)，APP將無法正常使用。例如，各類APP具備獲取實時物理位置的定位功能，其智能推薦服務(wù)通過大數(shù)據(jù)分析，在用戶以往消費偏好、地理區(qū)域等方面的數(shù)據(jù)基礎(chǔ)上作出判斷，可以使用戶獲得更良好的體驗。但是展現(xiàn)個人的位置信息，會使個人信息資料泄露，有可能會為個人的人身安全留下極大隱患。有些APP不需要獲取權(quán)限就應(yīng)當(dāng)正常使用，然而，APP往往未告知用戶獲取權(quán)限和收集信息的用途，“越界”“過度”甚至強制索要用戶權(quán)限，其中涉及敏感隱私信息，如身份證號、銀行卡號、手機號碼等，而APP自身存在的安全缺陷，會導(dǎo)致個人信息泄露的風(fēng)險。個別無良APP運營商甚至將注冊用戶的信息作為資源進行售賣獲取灰色收入，其隱藏的危害可能會對用戶造成更大的傷害。

2.2 管理方面的問題

移動APP應(yīng)用行業(yè)未形成完善的管理法規(guī)體系，相關(guān)管理部門職責(zé)不清，未明確移動APP的審核和監(jiān)督執(zhí)法權(quán)，該行業(yè)更重視技術(shù)的先進性和前瞻性，因而傳統(tǒng)的信息安全問題并不一定適用于移動APP的管理，從而造成惡性APP應(yīng)用數(shù)量增多，嚴重制約安全管理工作。同時，缺乏對APP運營商的法律意識的教育，導(dǎo)致APP運營商的法律概念淡薄，沒有意識到隱私泄露造成的嚴重后果。

此外，APP審核不嚴格，導(dǎo)致用戶下載盜版APP。應(yīng)用商店作為用戶下載APP的主要渠道，理應(yīng)保障用戶的合法權(quán)益，對準入的APP進行惡意代碼檢測、隱私泄露檢查，并進行漏洞掃描、人工核查等操作，確保APP的安全使用。但部分應(yīng)用商店未履行相關(guān)法律法規(guī)對APP的審核上線要求，使得個別明顯違法違規(guī)的APP能夠長期存在并可下載使用。越來越多的用戶開始關(guān)注手機應(yīng)用是否會泄露隱私信息。而大部分安全檢測軟件只能簡單地給出應(yīng)用是否為惡意、惡意程度如何，無法進一步提供給用戶更深層次的信息。

3 移動APP應(yīng)用的信息安全優(yōu)化建議

3.1 建立機制，規(guī)范監(jiān)管

制定APP行業(yè)標(biāo)準，規(guī)范體系，統(tǒng)一管理[3]。APP運營商應(yīng)主動提交設(shè)計方案，告知APP的主要功能及獲取權(quán)限的用途。國家有關(guān)部門對APP開發(fā)階段的信息技術(shù)進行嚴格監(jiān)理，APP上線前需進行安全測試，其測試內(nèi)容中要包含惡意代碼檢測和源代碼審計等。同時采用人工核查的方式，對應(yīng)用程序的具體功能進行分辨。通過核實，即無安全問題以及其他標(biāo)準問題方可進入應(yīng)用商店。對安全審查不合格的APP不可發(fā)布上線，且定期抽查，對發(fā)現(xiàn)存在安全隱患的APP要及時下架處理并發(fā)布權(quán)威公告，構(gòu)建良好的安全生態(tài)。

3.2 安全開發(fā)，完善加固

移動APP本身的完善也是十分重要的，通過研究解決終端安全問題，進而提升終端安全性，在研發(fā)APP的過程中，融入信息安全技術(shù)，提高應(yīng)用的安全性，把隱患拒之網(wǎng)外。通過采用數(shù)字簽名技術(shù)，保證數(shù)據(jù)在網(wǎng)絡(luò)中傳輸過程中的完整性和保密性，避免網(wǎng)絡(luò)不法分子利用攻擊手段竊取信息。同時，基于權(quán)限最小化和權(quán)限分離原則，采用有效技術(shù)手段，對收集的用戶信息集中加密存儲于后臺中，使用高安全級別密碼策略，定期更換密碼，且設(shè)置專人管理，防止個人信息泄露。

3.3 增強意識，安全使用

網(wǎng)絡(luò)用戶群體較大，需要進行信息安全的知識宣傳，使移動用戶群體充分認識到信息安全的作用。加強安全防范意識，主動接受網(wǎng)絡(luò)安全、信息安全、數(shù)據(jù)安全等方面的知識，掌握基本的安全常識，提高警惕，培養(yǎng)良好的使用習(xí)慣，深刻認識到APP存在安全隱患，從正規(guī)渠道下載APP，防止下載高仿、不安全應(yīng)用，安裝APP時仔細閱讀協(xié)議，對于應(yīng)用獲取的權(quán)限，選擇性地進行設(shè)置，堅守“最小權(quán)限化”。

4 結(jié)語

總而言之，要想從根本上解決移動APP應(yīng)用的信息安全問題，事關(guān)個人、國家和社會各界，必須要高度重視、共同參與，從法律法規(guī)體系制定、應(yīng)用安全技術(shù)開發(fā)、個人正確操作使用等多方向、多層次建立安全體系，保護個人電子資產(chǎn)，規(guī)范移動APP應(yīng)用市場，實現(xiàn)健康發(fā)展。

[1]周凱.移動智能終端APP用戶隱私數(shù)據(jù)的防范探討[J].科學(xué)咨詢（科技·管理），2016（02）：54-55.

[2]陶志強.移動APP的信息安全與防護方式[J].電子技術(shù)與軟件工程，2019（08）：203.

[3]周凱.移動智能終端APP用戶隱私數(shù)據(jù)的防范探討[J].科學(xué)咨詢（科技·管理），2016（02）：54-55.