国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

淺議移動(dòng)應(yīng)用APP 的風(fēng)險(xiǎn)漏洞及防控對(duì)策

2022-04-28 02:00
廣東公安科技 2022年1期
關(guān)鍵詞:個(gè)人信息用戶檢測(cè)

劉 烽

(廣州市公安局網(wǎng)絡(luò)警察支隊(duì),廣東 廣州510030)

1 移動(dòng)APP現(xiàn)狀

據(jù)愛(ài)加密移動(dòng)應(yīng)用安全大數(shù)據(jù)平臺(tái)提供的數(shù)據(jù),截至2020 年3 月底大數(shù)據(jù)中心已收錄Android APP 應(yīng)用 315 萬(wàn)+款,iOS 應(yīng)用 300 萬(wàn)+款。大部分APP 存在高危漏洞,5.46%的APP存在惡意程序,37%以上的APP 存在不同程度的越權(quán)和超范圍采集等違規(guī)行為。

目前,監(jiān)測(cè)的APP 應(yīng)用市場(chǎng)有596 個(gè)。應(yīng)用市場(chǎng)公司所屬地在北京市,占總量的29.92%,其次是廣東省和湖北省的應(yīng)用市場(chǎng)公司數(shù)量較多,分別占總量的22.80%和16.74%。其中游戲類APP 數(shù)量占總量的32.89%;生活服務(wù)類APP位居第二,占總量14.73%;教育類APP 排名第三,占總量的13.59%。從APP 分布區(qū)域來(lái)看,廣東省APP 數(shù)量位居第一,約占APP 總量的49.45%;其次是北京市,約占總量的17.98%;排名第三的是湖北省,約占總量的4.86%。

2 移動(dòng)APP風(fēng)險(xiǎn)漏洞

據(jù)愛(ài)加密移動(dòng)應(yīng)用安全大數(shù)據(jù)平臺(tái)的檢測(cè)發(fā)現(xiàn)。目前,在已完成檢測(cè)的移動(dòng)APP應(yīng)用中,存在Janus高危漏洞的APP數(shù)量最多,占檢測(cè)總數(shù)的75.57%。其主要威脅是可以繞過(guò)安卓系統(tǒng)的整個(gè)安全機(jī)制,可以盜取用戶的賬戶、密碼等敏感信息,甚至可以植入木馬病毒;[1]其次是SO 文件加固風(fēng)險(xiǎn),占檢測(cè)總數(shù)的68.84%。SO 文件被破解可能導(dǎo)致應(yīng)用的核心功能代碼和算法泄露。攻擊者利用核心功能與算法可輕易抓取到客戶端的敏感數(shù)據(jù),并對(duì)其解密,導(dǎo)致用戶的隱私泄露或直接財(cái)產(chǎn)損失;第三是Java代碼加殼檢測(cè),占檢測(cè)總數(shù)的62.70%。Java 主要威脅是可能被反編譯,易導(dǎo)致代碼邏輯泄露、重要數(shù)據(jù)加密代碼邏輯泄露等;第四是動(dòng)態(tài)注冊(cè)Receiver 風(fēng)險(xiǎn),占檢測(cè)總數(shù)的60.06%。Re?ceiver主要威脅是惡意程序可以不斷地發(fā)送你所接收的廣播,這樣會(huì)造成應(yīng)用被攻擊,導(dǎo)致應(yīng)用直接退出、處理邏輯出錯(cuò)等風(fēng)險(xiǎn);第五是WebView 明文存儲(chǔ)密碼漏洞,占檢測(cè)總數(shù)的58.27%。主要威脅是用戶保存在WebView 中的密碼,會(huì)被明文保存到應(yīng)用數(shù)據(jù)目錄中,可能會(huì)被攻擊者竊取本地明文存儲(chǔ)的用戶名和密碼等(見(jiàn)圖1)。

圖1

從存在漏洞應(yīng)用數(shù)量的區(qū)域分布看,排名第一的是廣東省,占總量的43.13%;排名第二的是北京市,占總量的20.13%;排名第三的是上海市,占總量的7.62%。

3 移動(dòng)APP監(jiān)管難點(diǎn)

當(dāng)前,移動(dòng)互聯(lián)網(wǎng)生態(tài)主體多、鏈條復(fù)雜,移動(dòng)應(yīng)用軟件市場(chǎng)存在應(yīng)用市場(chǎng)個(gè)數(shù)繁多隱晦,市場(chǎng)及渠道沒(méi)有有效性驗(yàn)證,應(yīng)用上線標(biāo)準(zhǔn)不統(tǒng)一等問(wèn)題,導(dǎo)致移動(dòng)應(yīng)用質(zhì)量參差不齊、來(lái)源難以追溯等監(jiān)管難題。主要監(jiān)管難點(diǎn)表現(xiàn):

(1)各地監(jiān)管機(jī)構(gòu)無(wú)法分辨非法應(yīng)用是否屬于自己所監(jiān)管的范疇。

(2)無(wú)統(tǒng)一化的備案平臺(tái)、無(wú)法對(duì)監(jiān)管APP的準(zhǔn)確性及安全性進(jìn)行審核。

(3)批量應(yīng)用的監(jiān)管、檢查、審核較為困難。

(4)應(yīng)用市場(chǎng)繁雜,上線標(biāo)準(zhǔn)各不相同,無(wú)法統(tǒng)一化的管理。

(5)第三方SDK(Software Development Kit)“軟件開發(fā)工具包”的使用監(jiān)管尚存空白,應(yīng)用中存在的安全漏洞未能及時(shí)發(fā)現(xiàn)和處理等。

4 防范APP平臺(tái)風(fēng)險(xiǎn)漏洞的對(duì)策

4.1 加大宣傳力度,及時(shí)曝光違法違規(guī)APP 案事件

政府部門充分利用各種媒體、網(wǎng)絡(luò)瀏覽入口、搜索入口、應(yīng)用通道、終端主頁(yè)開展廣泛宣傳。如“廣州公安”雙微平臺(tái)(微博、微信)、廣州金盾網(wǎng)、“互聯(lián)網(wǎng)+智慧新警務(wù)”小程序(APP)等,通過(guò)定期曝光、新聞發(fā)布會(huì)和剖析典型案(事)件等方法提升宣傳頻度,不斷提高公民的防范意識(shí)。如:2019 年工信部先后曝光三批問(wèn)題APP 整改名單;2020 年5 月14日、7 月5 日、7 月24 日,工信部分別曝光和要求整改的 APP 名單共有 89 個(gè);2019、2020 年央視315 晚會(huì)分別曝光熱門APP 泄露用戶個(gè)人信息問(wèn)題、第三方插件(SDK)擅自獲取用戶的隱私亂象等。

4.2 暢通多方式投訴、舉報(bào)渠道

中央網(wǎng)信辦、工業(yè)和信息化部、公安部、國(guó)家市場(chǎng)監(jiān)管總局等部門應(yīng)暢通用戶投訴、舉報(bào)渠道,建立和完善常態(tài)化的投訴處理服務(wù)機(jī)制和流程。如發(fā)現(xiàn)泄漏用戶隱私或者其他違法違規(guī)行為的APP,及時(shí)的通過(guò)中國(guó)互聯(lián)網(wǎng)違法和不良信息舉報(bào)中心(www.12377.cn)、中國(guó)互聯(lián)網(wǎng)信息服務(wù)投訴平臺(tái)(https://ts.isc.org.cn/)、“APP 個(gè)人信息舉報(bào)”微信公眾號(hào)、“pip@tc260.org.cn”專用郵箱、12321 或110 舉報(bào)中心投訴和報(bào)警,及時(shí)匯總處理用戶反映的相關(guān)問(wèn)題。

4.3 開展檢測(cè)檢查,嚴(yán)把源頭關(guān),抓好執(zhí)行落實(shí)

工信部通信管理局組織第三方檢測(cè)機(jī)構(gòu)對(duì)APP、SDK 進(jìn)行技術(shù)檢測(cè),對(duì)應(yīng)用分發(fā)平臺(tái)的主體責(zé)任落實(shí)情況進(jìn)行監(jiān)督檢查。對(duì)第一次檢查發(fā)現(xiàn)存在問(wèn)題的企業(yè),責(zé)令規(guī)定工作日內(nèi)完成整改,對(duì)整改不徹底仍然存在問(wèn)題的,將采取向社會(huì)公告、組織下架、行政處罰以及將受到行政處罰的違規(guī)主體納入電信業(yè)務(wù)經(jīng)營(yíng)不良名單或失信名單等措施;對(duì)在APP 不同版本中反復(fù)出現(xiàn)問(wèn)題的企業(yè),將向社會(huì)公告,并依法依規(guī)開展后續(xù)處置工作。

大力推進(jìn)全國(guó)APP 技術(shù)檢測(cè)平臺(tái)管理系統(tǒng)建設(shè),提升自動(dòng)化檢測(cè)水平和能力。盡快接入,用好相關(guān)技術(shù)手段,做到關(guān)口前移,及時(shí)發(fā)現(xiàn)解決問(wèn)題,不斷提升行業(yè)治理能力和水平。通信管理局要結(jié)合實(shí)際開展檢查工作,每月定期將違規(guī)線索錄入全國(guó)APP 技術(shù)檢測(cè)平臺(tái)管理系統(tǒng),并按照工信部工作要求開展相關(guān)問(wèn)題處置。

4.4 推動(dòng)行業(yè)自律,落實(shí)等級(jí)保護(hù)備案和安全測(cè)評(píng)

一是鼓勵(lì)行業(yè)協(xié)會(huì)組織APP 開發(fā)運(yùn)營(yíng)者、應(yīng)用分發(fā)平臺(tái)、第三方服務(wù)提供者、電信設(shè)備生產(chǎn)企業(yè)、安全廠商等相關(guān)單位,制定行業(yè)自律公約和技術(shù)檢測(cè)標(biāo)準(zhǔn),健全第三方評(píng)議機(jī)制,強(qiáng)化行業(yè)規(guī)范。相關(guān)企業(yè)要及時(shí)開展自查自糾,對(duì)發(fā)現(xiàn)的問(wèn)題立行立改,舉一反三,切實(shí)有效保護(hù)個(gè)人信息。APP 企業(yè)要完善用戶權(quán)益保障制度,加強(qiáng)對(duì)所集成SDK 的管理。應(yīng)用分發(fā)平臺(tái)要強(qiáng)化平臺(tái)管理責(zé)任,積極配合電信主管部門開展相關(guān)監(jiān)管工作。

二是落實(shí)等級(jí)保護(hù)備案和安全測(cè)評(píng)。針對(duì)移動(dòng)應(yīng)用APP,要落實(shí)“一案雙查”制度,推動(dòng)建立健全網(wǎng)絡(luò)安全責(zé)任制、問(wèn)責(zé)制及網(wǎng)絡(luò)運(yùn)營(yíng)主體責(zé)任,增強(qiáng)全社會(huì)維護(hù)網(wǎng)絡(luò)安全的防護(hù)意識(shí)和主體責(zé)任意識(shí),落實(shí)政企事業(yè)單位的重要領(lǐng)域信息系統(tǒng)安全體系“同步規(guī)劃、同步建設(shè),同步使用”,努力實(shí)現(xiàn)社會(huì)共治。

4.5 強(qiáng)化個(gè)人隱私保護(hù)意識(shí),切實(shí)保護(hù)用戶合法權(quán)益

據(jù)艾媒咨詢(iiMediaResearch)發(fā)布的《2018年中國(guó)手機(jī)APP隱私權(quán)限測(cè)評(píng)報(bào)告》稱,63.3%的受訪者表示在安裝手機(jī)APP 時(shí)沒(méi)有仔細(xì)閱讀隱私條款,24.3%的受訪者從來(lái)不閱讀隱私條款。這反映了大部分手機(jī)用戶都或多或少存在個(gè)人隱私保護(hù)意識(shí)淡薄的問(wèn)題,有的用戶受限于網(wǎng)絡(luò)技術(shù)知識(shí)欠缺和APP 隱私條款文字篇幅長(zhǎng)等原因,或者明知道可能會(huì)有泄露個(gè)人信息的危險(xiǎn)還抱有僥幸心理,甚至認(rèn)為是小問(wèn)題無(wú)所謂,遇到隱私泄露惡果的時(shí)候主動(dòng)維權(quán)意識(shí)不強(qiáng),多數(shù)人選擇自認(rèn)倒霉,客觀上縱容了手機(jī)APP 信息泄露愈演愈烈,形成惡性循環(huán)。為此,用戶在選擇使用移動(dòng)APP時(shí)要做到:

一是要提高個(gè)人隱私保護(hù)意識(shí)。高度重視個(gè)人隱私信息的無(wú)形價(jià)值,從主觀上提高隱私保護(hù)意識(shí),加大力度開展個(gè)人信息保護(hù)宣傳教育,擴(kuò)大個(gè)人信息保護(hù)知識(shí)、技能傳播的普及面;加強(qiáng)個(gè)人信息安全評(píng)估培訓(xùn),推動(dòng)個(gè)人信息安全評(píng)估工作的規(guī)范化。二是要注意選用安全合規(guī)的APP 產(chǎn)品和服務(wù),并選擇正規(guī)渠道進(jìn)行下載安裝,謹(jǐn)慎點(diǎn)擊來(lái)源不明的APP 下載鏈接,從源頭上杜絕木馬病毒,并安裝手機(jī)殺毒APP,定期對(duì)手機(jī)進(jìn)行安全檢測(cè)。三是要注意認(rèn)真閱讀APP 的應(yīng)用權(quán)限和用戶協(xié)議或隱私政策說(shuō)明,了解操作注意事項(xiàng)。四是要注意培育良好使用習(xí)慣,不隨意開放和同意不必要的隱私權(quán)限,不隨意輸入個(gè)人隱私信息,定期維護(hù)和清理相關(guān)數(shù)據(jù)。五是要注意認(rèn)真應(yīng)對(duì)個(gè)人隱私信息被泄露的問(wèn)題,發(fā)現(xiàn)個(gè)人信息被泄露問(wèn)題時(shí),要通過(guò)有效手段及時(shí)主動(dòng)維權(quán),必要時(shí)向有關(guān)部門反映,用法律武器維護(hù)自己的權(quán)利和利益。

4.6 加強(qiáng)對(duì)黑客侵入滲透的打擊,有效遏制網(wǎng)絡(luò)黑灰產(chǎn)業(yè)成為犯罪的“幫兇”

智能手機(jī)主要操作系統(tǒng)包括Android和iOS。iOS 系統(tǒng)相對(duì)安全,Android 系統(tǒng)則更為開放,除官方應(yīng)用商城外,部分APP 開發(fā)商會(huì)通過(guò)彈窗、廣告等形式,為用戶推送含有木馬病毒的APP 下載鏈接,用戶點(diǎn)擊下載并安裝后,木馬病毒就會(huì)自動(dòng)掃描手機(jī)中通信、短信、賬號(hào)密碼等個(gè)人隱私信息,并將相關(guān)數(shù)據(jù)回傳服務(wù)器,造成用戶信息泄露。2019年3月,360公司發(fā)布的《2018 年中國(guó)手機(jī)安全狀況報(bào)告》稱,2018年共截獲移動(dòng)端新增惡意程序樣本434.2 萬(wàn)個(gè),平均每天新增1.2 萬(wàn)個(gè),其中隱私竊取類占比33.7%,嚴(yán)重威脅用戶個(gè)人信息安全。

黑客滲透、侵入政府等權(quán)威APP,獲取了服務(wù)器權(quán)限后增、刪、改私人信息,成為偽造資質(zhì)文憑的源頭,從中獲取了大量詳實(shí)公民個(gè)人信息,威脅更大,成為“精準(zhǔn)詐騙”的核心彈藥,頭號(hào)威脅源。其違法犯罪活動(dòng)給公眾人身財(cái)產(chǎn)安全、計(jì)算機(jī)信息系統(tǒng)安全和網(wǎng)絡(luò)空間管理秩序,甚至國(guó)家安全、社會(huì)穩(wěn)定帶來(lái)直接或間接威脅。

另外,還有APP 廠商(內(nèi)部人員)相互分享、買賣用戶數(shù)據(jù)等途徑,事實(shí)上售賣用戶隱私信息已形成灰色產(chǎn)業(yè)鏈。當(dāng)前,移動(dòng)互聯(lián)網(wǎng)黑色利益鏈錯(cuò)綜復(fù)雜,形成了以開發(fā)、傳播、運(yùn)營(yíng)到最后利益整合分配的流水作業(yè)模式,甚至完成了從作坊式個(gè)人生產(chǎn)到集團(tuán)化運(yùn)作的規(guī)模性轉(zhuǎn)變。

以打擊網(wǎng)絡(luò)黑產(chǎn)威脅源為抓手,由政府職能部門牽頭,構(gòu)建長(zhǎng)效治理機(jī)制,需要社會(huì)各方聯(lián)合起來(lái)共同努力,發(fā)揮產(chǎn)業(yè)鏈合作的優(yōu)勢(shì),利用大數(shù)據(jù)分析、云計(jì)算和云存儲(chǔ)能力,對(duì)網(wǎng)絡(luò)詐騙等犯罪進(jìn)行全面反擊,最大程度擠壓黑灰產(chǎn)生存空間,有效遏制下游犯罪滋生。

4.7 加強(qiáng)多方聯(lián)合行動(dòng),對(duì)惡意SDK重拳出擊

惡意SDK 悄悄藏匿在APP 軟件中,擁有很強(qiáng)的隱蔽性和對(duì)抗殺毒軟件的能力,不僅讓用戶在使用過(guò)程中防不勝防,很多應(yīng)用軟件的開發(fā)者甚至都未曾了解軟件導(dǎo)致的這些安全漏洞。而其無(wú)度索取個(gè)人信息、違規(guī)使用手機(jī)權(quán)限,甚至幫助網(wǎng)絡(luò)黑產(chǎn)“鋪路”,嚴(yán)重影響移動(dòng)互聯(lián)網(wǎng)用戶的信息安全和財(cái)產(chǎn)安全,危害合法應(yīng)用市場(chǎng)聲譽(yù),造成惡劣的社會(huì)影響,亟需整改和打擊。

2019 年1 月25 日,網(wǎng)信辦、工信部、公安部、國(guó)家市場(chǎng)監(jiān)管總局等四部門聯(lián)合發(fā)布《關(guān)于開展APP 違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的公告》,決定自2019 年1 月至12 月,在全國(guó)范圍內(nèi)組織開展APP 違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理行動(dòng)。期間共受理網(wǎng)民有效舉報(bào)信息12000 余條,針對(duì)2300 余款A(yù)PP 開展深度評(píng)估、問(wèn)題核查,對(duì)用戶規(guī)模大、問(wèn)題突出的260 款A(yù)PP,有關(guān)部門采取了公開曝光、約談、下架等處罰措施。

4.8 由公安部牽頭,發(fā)起集群戰(zhàn)役,以“打”促“管”,建立健全長(zhǎng)效監(jiān)管機(jī)制

一是強(qiáng)化情報(bào)信息搜集分析、研判預(yù)警,著力提升預(yù)知預(yù)警預(yù)防能力。一方面公安機(jī)關(guān)強(qiáng)化智慧偵查,充分運(yùn)用“智慧新警務(wù)”建設(shè)成果,大力推進(jìn)大數(shù)據(jù)智能化建設(shè)應(yīng)用,高效匯聚各相關(guān)部門行業(yè)數(shù)據(jù),借助大數(shù)據(jù)分析模型工具,從中發(fā)現(xiàn)、提煉涉APP 犯罪的線索,著力培育打擊犯罪新的增長(zhǎng)點(diǎn)。另一方面公安機(jī)關(guān)依托云計(jì)算技術(shù),網(wǎng)綜系統(tǒng)平臺(tái)等加大對(duì)本地網(wǎng)站、兩群、交互式論壇、博客等巡查搜索,針對(duì)某些可疑的信息進(jìn)行監(jiān)控追蹤,深度經(jīng)營(yíng),綜合研判,建立完善的預(yù)警系統(tǒng)。主動(dòng)發(fā)現(xiàn)、挖掘此類案件線索,將有效聚焦違法犯罪問(wèn)題熱點(diǎn)區(qū)域和成因,把數(shù)據(jù)變成線索、把線索變成指令,起到主動(dòng)預(yù)測(cè)犯罪、防范犯罪的作用。

二是發(fā)起集群戰(zhàn)役,嚴(yán)打新型網(wǎng)絡(luò)犯罪。強(qiáng)化專案打擊,始終將“打源頭、端窩點(diǎn)、摧網(wǎng)絡(luò)、追財(cái)富、斷鏈條”作為重點(diǎn),以“省廳統(tǒng)籌、地市發(fā)起、情報(bào)先導(dǎo)、統(tǒng)一收網(wǎng)”的打擊模式,適時(shí)發(fā)起集群戰(zhàn)役,著力打擊跨區(qū)域、系列性、團(tuán)伙性突出犯罪。優(yōu)化合成作戰(zhàn),公安機(jī)關(guān)各部門、各警種要充分發(fā)揮職能作用,加強(qiáng)與綜治、檢法、電信、銀行、市場(chǎng)監(jiān)管等職能部門的協(xié)調(diào)聯(lián)動(dòng),形成強(qiáng)大打擊合力。

三是創(chuàng)新打防管控措施,以“打”促“管”,建立健全長(zhǎng)效監(jiān)管機(jī)制。由公安部牽頭各地網(wǎng)安部門開展專項(xiàng)檢查,嚴(yán)格按照《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》《公安機(jī)關(guān)互聯(lián)網(wǎng)安全監(jiān)督檢查規(guī)定》《APP 違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》《APP 違法違規(guī)收集使用個(gè)人信息自評(píng)估指南》等相關(guān)法規(guī),深入推進(jìn)技管結(jié)合,加強(qiáng)監(jiān)督檢查,督促相關(guān)企業(yè)強(qiáng)化APP 個(gè)人信息保護(hù),及時(shí)整改消除違規(guī)收集、使用用戶個(gè)人信息和騷擾用戶、欺騙誤導(dǎo)用戶、應(yīng)用分發(fā)平臺(tái)管理責(zé)任落實(shí)不到位等突出問(wèn)題。通報(bào)作案手法,保持對(duì)違法犯罪嚴(yán)打高壓態(tài)勢(shì),加強(qiáng)行業(yè)自查自糾,全面凈化APP應(yīng)用空間。

4.9 健全法律法規(guī),出臺(tái)更具前瞻性和可操作性的執(zhí)法指引

目前,我國(guó)在關(guān)于移動(dòng)APP 個(gè)人信息保護(hù)方面的法律法規(guī)主要有《網(wǎng)絡(luò)安全法》《電子商務(wù)法》《信息安全技術(shù)個(gè)人信息安全規(guī)范》《中華人民共和國(guó)數(shù)據(jù)安全法(草案)》等,但仍存在很多亟待完善之處。例如對(duì)“個(gè)人信息隱私”的界定標(biāo)準(zhǔn)不明確,手機(jī)APP 收集用戶信息“正當(dāng)、合法、必要”3 個(gè)原則的界定存在爭(zhēng)議,發(fā)生信息泄露后的處罰力度不足等。無(wú)法在法律高度形成強(qiáng)約束力和震懾力。因此,要健全完善法律法規(guī)體系,盡快出臺(tái)更具前瞻性和可操作性的執(zhí)法指引。

猜你喜歡
個(gè)人信息用戶檢測(cè)
個(gè)人信息保護(hù)進(jìn)入“法時(shí)代”
“不等式”檢測(cè)題
“一元一次不等式”檢測(cè)題
“一元一次不等式組”檢測(cè)題
主題語(yǔ)境九:個(gè)人信息(1)
警惕個(gè)人信息泄露
關(guān)注用戶
關(guān)注用戶
小波變換在PCB缺陷檢測(cè)中的應(yīng)用
關(guān)注用戶