近日,工业和信息化部信息通信管理局网站发布了《关于侵害用户权益行为的App通报(2020年第一批)》(以下简称《通报》),当当、大街、WiFi管家、e代驾、知乎日报等16款App被点名。此前,工业和信息化部曾于2019年12月和2020年1月分别公开了两批存在侵害用户权益的App(共56款),并下架3款逾期未整改App。
《通报》显示,侵权行为包括违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限和为用户账号注销设置障碍等。其中,不合理索取用户权限是主要形式,包括过度索取权限、不给权限不让用和频繁申请权限。
手机APP越界索取权限问题屡禁不止
截至2019年12月末,国内市场上监测到的App数量为367万款,我国第三方应用商店在架应用分发总量达到9502亿次。在使用安卓系统的手机中,有以下几个权限最常被调取:
- 其一是“读取已安装应用列表”,借此可以了解和分析用户的使用习惯;
- 其二是“读取本机识别码”,主要用来确定用户的身份;
- 其三是“读取位置信息”,通过获取位置,搜集用户的活动范围,例如导航类软件就必须调取这一权限。
应用权限作为收集手机用户个人信息的最直接方式,一旦同意特定用户权限的使用,那么个人信息将随时可能被获取,不利于个人隐私的保护。
数条法规发布直指APP应用合规问题为了加强个人信息保护,2019年至今,《移动互联网应用程序(App)收集个人信息基本规范(草案)》《数据安全管理办法(征求意见稿)》《个人信息告知同意指南(征求意见稿)》《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》《网络安全标准实践指南—移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》等也相继发布。
从往年有关专项整治情况看,不少APP在自查自纠、监督检查阶段整改并不主动。甚至一些APP运营商非但没有珍惜羽毛,反而自恃强势地位“店大欺客”,超范围收集个人信息、过度索取权限等违规行为屡见不鲜。这些行为不仅侵害了用户合法权益,还扰乱了行业秩序,恶化了行业生态。
网络安全法明确规定,要加强对个人信息保护,规定网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。不能收集与其提供的服务无关的个人信息,也不能违反法律规定或与用户的约定收集、使用个人信息。
能信安移动互联安全解决方案
能信安在移动互联安全领域耕耘多年,不仅为广大的移动互联业务运营单位提供专业的移动互联安全产品和服务,同时也为公安、网信、政府主管部门等信息安全监管机构提供广泛的移动互联技术和产品支撑。
基于多年的专业技术能力和经验,以国家及各行各业的网络安全战略、法规、政策和方针为指导,借鉴目前被国内外广泛认可和推广执行的成熟信息安全保障理论研究成果,结合各行各业当前的信息安全现状及特点,能信安建立了满足等级保护2.0移动互联安全要求的完整解决方案,全面覆盖移动应用安全、移动终端安全和无线网络安全。
移动应用安全
以能信安移动应用安全漏洞扫描与风险评估系统(MSCAN)、无壳机器码加固技术和国内首创的移动安全防火墙(SMAF)等先进技术和产品为基础,结合能信安强大的安全服务团队,为用户提供覆盖移动应用全生命周期、从客户端到服务器端的全链路安全解决方案。
移动应用安全漏洞扫描与风险评估系统(MSCAN)
MSCAN的检测范围涵盖移动应用客户端、通信链路和服务器端,检测对象包括APP、微信公众号/小程序等不同类型应用,采用高强度加固对抗、动态模糊检测、真机检测等先进技术,实现对移动应用的全面安全检测,目前已广泛应用于企事业单位和公安等监管机构的技术支撑服务。
无壳机器码加固技术
能信安自有的无壳机器码加固采用了业界领先的加固技术,为移动应用提供防反编译保护、客户端防篡改保护、客户端防调试保护、客户端完整性保护、SO 库文件加壳保护等安全防护能力。
移动安全防火墙系统(SMAF)
SMAF是能信安研发的业内首款移动应用专用防火墙(SMAF),采用“三维一体联动防御”技术,为移动应用提供客户端防护、数据安全通信、应用服务端防火墙的完整安全防御能力。
移动终端安全
能信安移动终端安全检测系统(MDSCAN)是面对新的移动互联威胁形势研发出来的终端安全检测工具,采用先进的移动终端智能安全检测技术,结合独立的漏洞库实现对移动终端操作系统、系统应用、用户应用、恶意代码的深度全面检测。
无线网络安全
能信安无线网络安全检测系统(WNSCAN)是针对WLAN网络边界模糊、信号交错、环境发生变化、建筑格局更改、信道产生干扰、攻击面大等特点,以WLAN运行状态实时监测能力、WLAN攻击行为实时检测能力、WLAN运行和安全状态的数据采集、统计、分析、告警、汇总、展示、报告、预案建议能力为核心能力的无线安全检测工具。