聚焦315晚会 | 暗藏APP中的“窃贼”怎么抓？

时间：2023-06-10 03:39:01 | 来源：网站运营

时间：2023-06-10 03:39:01 来源：网站运营

聚焦315晚会 | 暗藏APP中的“窃贼”怎么抓？：7月16日，姗姗来迟的2020年315晚会，再次提到手机超限违规收集个人信息情况。据央视报道，杭州市消费者权益保护委员会委托第三方对市场上的APP进行检测，发现某些第三方开发的SDK包存在“在用户不知情的情况下窃取用户隐私”的嫌疑，甚至连用户的短信内容都可以获取，这种现象的存在使用户隐私及财产处于极度危险的状态。7月17日，工信部网站发布，要求严厉查处“3·15”晚会曝光的信息通信领域违规行为。




SDK是Software Development Kit的缩写，即“软件开发工具包”。简单来说，它是辅助开发某一类应用软件的相关文档、范例和工具的集合。对APP来说，可以将某项功能交给第三方来开发以缩短周期。很多软件开发企业引入第三方SDK，不仅可以降低开发难度，还可以减少开发成本。对于用户方面，可以使用到软件中的各种便捷服务，所以APP嵌入SDK的做法十分普遍。

在本次315晚会曝光中显示，杭州市消费者协会权益保护委员会调查的50多款APP中包含大量的金融类APP，这些APP中的第三方SDK除了收集用户手机号码、设备信息之外，还会收集用户手机通讯录、短信信息、传感器信息等用户隐私信息，在采集之后还会发送至指定服务器进行存储。这些行为不仅严重损害了用户权益，同时对宿主APP造成不良影响，所属机构或迎来重罚。







近年来，为了保障个人信息安全，治理APP侵犯用户个人信息等乱象。国家在法律法规方面不断重拳出击，颁布多项法律法规，打击违法违规收取个人信息的行为。种种行动的开展和法规条例的密集出台，表明了国家规范治理APP违法违规收集使用个人信息等行业乱象的决心。







因此，移动 APP 的建设/运营单位在考虑网络安全管理体系时，必然要考虑到合规风险，不然将会导致声誉、甚至业务营收方面的损失。对于网络安全管理成熟度水平较高的行业用户，例如互联网、金融、运营商等，其网络安全管理的出发点已经不仅仅满足于监管合规，而是站在业务相关的安全风险管理层面全面考虑控制。行业用户必须保证自己发布的移动 APP（含 SDK 组件），在对业务所需的个人信息提供足够的安全保障同时，确保不发生侵犯非业务必需个人信息的情况。




而当前现状，行业用户往往对来自供应链的第三方 SDK 组件是否会侵犯个人信息缺乏有效的控制能力，导致第三方SDK 组件导致的风险可能危及到移动端上的用户个人信息，并将合规风险最终转嫁到了行业用户身上，这是行业用户所不能接受、且必须考虑进行控制的。所以实现APP风险管理（含SDK组件检测），企业应做到及时审查，深度检测，风险处理。这既是企业APP合规和内审的要求，也是业务可持续发展的需求。




APP的风险问题要如何解决

指掌易基于多年移动安全的积累，针对各行各业面临的APP非法采集、分享、泄露等问题，推出指掌易灵鉴·移动应用风险检测整体解决方案。通过智能自动化与人工相结合的检测方式，实现APP的全方位风险检测。




01 检测内容：APP隐私政策合理性检测与分析

·通过对比行业基准应用的隐私政策框架模板及191号文中定义的关键词信息，通过自动化方式快速确认隐私政策的标准化程度
·解读通过191号文对应的32项检测项

·对隐私政策内容的合理性、必要性等方面进行解读，确保隐私政策的合规

·针对隐私政策检测项中需要特定行为触发弹出的相关说明等进行人工检测，保障对隐私政策检测的完整性

02 检测内容：APP隐私权限使用合理性检测与分析

·比对行业必要权限及权限申请使用情况，实行静态+动态综合对比分析

·应用代码权限申请及使用过程检测，检测过度申请、使用未申明权限等问题·业务流程模拟使用，检测业务逻辑隐含权限问题




03 检测内容：APP风险行为检测与分析

·检测未经用户授权的各类应用行为，包括功能调用、数据访问、数据采集、未知网络访问等




04 金融科技应用风险专项摸排检测

·对涉及个人金融信息的收集、传输、存储、使用、监测评估等14项摸排要点进行风险检测

·对金融客户端仿冒、安全加固防护、安全漏洞检测相关的8项摸排要点，进行APP的安全加固、漏洞检测服务·对涉及交易过程中的电子技术相关安装保障的4项主要要点，提供深度的人工检测服务




方案优势