聚焦315晚會 | 暗藏APP中的“竊賊”怎么抓？

時間：2023-06-10 03:39:01 | 來源：網(wǎng)站運營

時間：2023-06-10 03:39:01 來源：網(wǎng)站運營

聚焦315晚會 | 暗藏APP中的“竊賊”怎么抓？：7月16日，姍姍來遲的2020年315晚會，再次提到手機超限違規(guī)收集個人信息情況。據(jù)央視報道，杭州市消費者權益保護委員會委托第三方對市場上的APP進行檢測，發(fā)現(xiàn)某些第三方開發(fā)的SDK包存在“在用戶不知情的情況下竊取用戶隱私”的嫌疑，甚至連用戶的短信內(nèi)容都可以獲取，這種現(xiàn)象的存在使用戶隱私及財產(chǎn)處于極度危險的狀態(tài)。7月17日，工信部網(wǎng)站發(fā)布，要求嚴厲查處“3·15”晚會曝光的信息通信領域違規(guī)行為。




SDK是Software Development Kit的縮寫，即“軟件開發(fā)工具包”。簡單來說，它是輔助開發(fā)某一類應用軟件的相關文檔、范例和工具的集合。對APP來說，可以將某項功能交給第三方來開發(fā)以縮短周期。很多軟件開發(fā)企業(yè)引入第三方SDK，不僅可以降低開發(fā)難度，還可以減少開發(fā)成本。對于用戶方面，可以使用到軟件中的各種便捷服務，所以APP嵌入SDK的做法十分普遍。

在本次315晚會曝光中顯示，杭州市消費者協(xié)會權益保護委員會調(diào)查的50多款APP中包含大量的金融類APP，這些APP中的第三方SDK除了收集用戶手機號碼、設備信息之外，還會收集用戶手機通訊錄、短信信息、傳感器信息等用戶隱私信息，在采集之后還會發(fā)送至指定服務器進行存儲。這些行為不僅嚴重損害了用戶權益，同時對宿主APP造成不良影響，所屬機構或迎來重罰。







近年來，為了保障個人信息安全，治理APP侵犯用戶個人信息等亂象。國家在法律法規(guī)方面不斷重拳出擊，頒布多項法律法規(guī)，打擊違法違規(guī)收取個人信息的行為。種種行動的開展和法規(guī)條例的密集出臺，表明了國家規(guī)范治理APP違法違規(guī)收集使用個人信息等行業(yè)亂象的決心。







因此，移動 APP 的建設/運營單位在考慮網(wǎng)絡安全管理體系時，必然要考慮到合規(guī)風險，不然將會導致聲譽、甚至業(yè)務營收方面的損失。對于網(wǎng)絡安全管理成熟度水平較高的行業(yè)用戶，例如互聯(lián)網(wǎng)、金融、運營商等，其網(wǎng)絡安全管理的出發(fā)點已經(jīng)不僅僅滿足于監(jiān)管合規(guī)，而是站在業(yè)務相關的安全風險管理層面全面考慮控制。行業(yè)用戶必須保證自己發(fā)布的移動 APP（含 SDK 組件），在對業(yè)務所需的個人信息提供足夠的安全保障同時，確保不發(fā)生侵犯非業(yè)務必需個人信息的情況。




而當前現(xiàn)狀，行業(yè)用戶往往對來自供應鏈的第三方 SDK 組件是否會侵犯個人信息缺乏有效的控制能力，導致第三方SDK 組件導致的風險可能危及到移動端上的用戶個人信息，并將合規(guī)風險最終轉嫁到了行業(yè)用戶身上，這是行業(yè)用戶所不能接受、且必須考慮進行控制的。所以實現(xiàn)APP風險管理（含SDK組件檢測），企業(yè)應做到及時審查，深度檢測，風險處理。這既是企業(yè)APP合規(guī)和內(nèi)審的要求，也是業(yè)務可持續(xù)發(fā)展的需求。




APP的風險問題要如何解決

指掌易基于多年移動安全的積累，針對各行各業(yè)面臨的APP非法采集、分享、泄露等問題，推出指掌易靈鑒·移動應用風險檢測整體解決方案。通過智能自動化與人工相結合的檢測方式，實現(xiàn)APP的全方位風險檢測。




01 檢測內(nèi)容：APP隱私政策合理性檢測與分析

·通過對比行業(yè)基準應用的隱私政策框架模板及191號文中定義的關鍵詞信息，通過自動化方式快速確認隱私政策的標準化程度
·解讀通過191號文對應的32項檢測項

·對隱私政策內(nèi)容的合理性、必要性等方面進行解讀，確保隱私政策的合規(guī)

·針對隱私政策檢測項中需要特定行為觸發(fā)彈出的相關說明等進行人工檢測，保障對隱私政策檢測的完整性

02 檢測內(nèi)容：APP隱私權限使用合理性檢測與分析

·比對行業(yè)必要權限及權限申請使用情況，實行靜態(tài)+動態(tài)綜合對比分析

·應用代碼權限申請及使用過程檢測，檢測過度申請、使用未申明權限等問題·業(yè)務流程模擬使用，檢測業(yè)務邏輯隱含權限問題




03 檢測內(nèi)容：APP風險行為檢測與分析

·檢測未經(jīng)用戶授權的各類應用行為，包括功能調(diào)用、數(shù)據(jù)訪問、數(shù)據(jù)采集、未知網(wǎng)絡訪問等




04 金融科技應用風險專項摸排檢測

·對涉及個人金融信息的收集、傳輸、存儲、使用、監(jiān)測評估等14項摸排要點進行風險檢測

·對金融客戶端仿冒、安全加固防護、安全漏洞檢測相關的8項摸排要點，進行APP的安全加固、漏洞檢測服務·對涉及交易過程中的電子技術相關安裝保障的4項主要要點，提供深度的人工檢測服務




方案優(yōu)勢