指掌易科技 王凤周 丁俊一
近年来,移动互联网应用程序(App)应用广泛,但App强制授权、过度索权、超范围收集个人信息的现象大量存在,违法违规使用个人信息的问题十分突出,广大网民对此反应强烈。
哪些权限是违规的?
人们的生活已经离不开各种各样的App,这些App采集的个人信息主要有两类。
第一类是直接由手机采集到的个人信息。某些App申请权限毫无节操已经成为业界的常态。例如某个读书App,就能申请几十近百个权限,包括通讯录短信这类敏感信息的读取权限。同时,对于部分App,如果用户不同意获取所有要求的权限的要求,就会停止服务,强迫用户接受。
这些权限到底是做什么的呢?第一种是App核心功能必需的权限:比如地图导航App,获取地理位置是合理的。又比如语音记事本App,需要录音机权限也是正常的。
第二种情况是属于App高级功能需要的权限:仍以导航App为例,会邀请用户上传实时导航数据,通过大数据分析可以实时分析出道路拥堵状况;还有目前语音控制技术逐渐成熟,地图导航App中还会附加语音控制能力,就需要录音机权限。
第三种情况则属于超出App常规所需的权限:比如某些天气App安装时索要通信录、照片、存储、手机唯一标识等权限,这就超出了其业务范围。这些权限的获取,更多是App运营方自身的考虑,收集用户信息来进行大数据分析、营销以及其他数据运营业务。
第二类个人信息不仅是App权限的问题,而是属于App正常使用过程中涉及的个人信息。很多时候,提供个人信息是这些App能够服务于用户的前提。购物需要提供个人身高体重地址等信息,用餐需要留下电话、地址信息,外出会留下移动轨迹信息,住宿订票需要身份证和人员信息??App在不断提高人们生活质量和便利性的同时,也成为吞噬个人信息的黑洞,随时都有可能拿走用户的私人信息。
上述两类个人信息的安全,实际上有相关性。前段时间某著名电商公司金融App收集隐私事件,就是该App在后台运行期间,对其他App比如手机中银行应用的页面截图进行盗取。这就同时涉及金融App的权限滥用问题以及手机银行应用的信息保护问题。
App权限的过度滥用影响移动办公安全
不仅是生活,当前越来越多的政企单位都开始使用个人手机进行移动办公,比如政府的移动审批、企业的移动邮件、银行的移动信贷、能源交通企业的移动巡检等等,这些业务应用中会涉及大量政府企业内部的业务信息。
当在个人手机上使用业务App时,员工的移动办公完全不需要通过企业的网络,安全变得没有边界,数据都开始存在于员工的个人手机上,但很多App都可以轻易获得大量权限,风险不言而喻。所以指掌易从移动应用的安全入手,既要去防止App滥用权限、又要做好敏感信息的保护。
作为App运营者收集使用个人信息时要严格履行法律规定的责任义务,对获取的个人信息安全负责,采取有效措施加强个人信息保护。遵循合法、正当、必要的原则,不收集与所提供服务无关的个人信息。指掌易可以提供隐私检测工具(静态App检测和动态行为分析)帮助App运营者判断获取权限是否合理,并且提供App安全检测和加固,帮助App提升App自身安全、源代码安全、数据传输及存储安全、恶意攻击防范能力、加密安全等。
同时,政府和监管机构还应通过运营隐私检测工具,定期生成App安全报告,识别出高风险App以方便监管。
(本文刊登于《中国信息安全》杂志2019年第4期)