随着大量的APP违规收集用户隐私信息事件被曝光,国家相关部门加强了对APP违规行为的检查和监管。APP违规收集用户个人隐私信息始终是广大消费者关注的重点,为此,爱加密愿为移动应用安全贡献一份绵薄之力。根据爱加密移动应用大数据中心的统计分析得出,移动应用主要存在以下这些问题。
01
超范围采集用户信息是普遍现象
众所周知,APP收集用户的信息,有部分是通过申请的权限来获取的,而权限是通过AndroidManifest.xml文件来向系统进行申请的。爱加密移动应用大数据平台产品负责人谢仰认为,AndroidManifest.xml文件只是向Android系统进行安装申请,并非真正向用户进行申请。这些申请,用户只能选择同意,否则就无法安装使用。而真正意义的用户声明,则是隐私条款中所列出的内容。
大多数APP,在AndroidManifest.xml文件中申请的权限,实际上都会超出它的核心功能以及业务所需权限。很多开发者,希望尽可能的申请更多权限,或者促使用户填写更多信息。而这些行为都存在涉嫌超范围收集用户信息,甚至构成违法贩卖用户信息的黑色产业。
2019年6月1日全国信息安全标准化技术委员会秘书处发布了《网络安全实践指南—移动互联网应用基本业务功能必要信息规范(V1.0)》,给出了地图导航、网络约车、即时通讯社交、社区社交、网络支付、新闻资讯、网上购物、短视频、快递配送、餐饮外卖、交通票务、婚恋相亲、求职招聘、金融借贷、房产交易、汽车交易16类基本业务功能正常运行所需的个人信息。爱加密技术团队快速响应,及时推出了隐私检测系统升级版V2.0。目前已具备对这16类基本业务功能APP权限进行检测的能力,能快速判断应用是否符合基本业务功能必要的信息规范要求,是否存在超范围采集用户信息的行为。
02
SDK的权限和行为监管存在难点
从爱加密移动应用大数据中心数据来看,仍然有许多SDK在隐秘获取用户信息。这种问题大量存在,主要原因是APP开发者在引入SDK时,对其权限分析、潜在功能了解不够彻底,而盲目使用非官方或不正规的SDK,至此严重危害用户隐私安全。
据统计,超范围采集用户信息的APP中,绝大多数都嵌入了5种以上不同类型的SDK,让监管难以辨别出真正的元凶,增加查处难度。借助爱加密移动应用大数据平台的数据分析,能主动发现APP中存在的疑似SDK代码,对这些疑似SDK代码进行梳理、分析、判断,并识别出真正的SDK。这些功能是区别于其它平台的独特之处。爱加密认为,针对这些SDK的现象,需要给予更多关注,除此之外还有SO文件,都是需要加强核查的目标点。
03
大量应用的隐私政策缺失或不规范
Android应用从开发到上架,从用户下载安装到使用,一直没有隐私政策的规范强制措施,以致大量应用都没有隐私政策或者随意编写一些内容。爱加密移动应用大数据中心对部分应用进行抽样调查发现,即便是大厂商的隐私政策,也存在含糊其辞、放大内容,逃避责任等相关的问题。当然,很多企业责任意识逐渐加强,对隐私政策的内容进行了重新调整,把隐私政策做成弹窗的形式,意在告知和提醒用户,同时共同维护移动应用安全生态圈的健康发展。
作为用户的我们,应养成良好的使用习惯,不要安装来路不明的应用程序,在正规的应用商店进行下载。对开发者而言,从APP开发阶段就应按照合规要求来进行,保障开发、测试、上线、运行全生命周期的应用安全。对应用商店来说,应该加强移动应用的审核,从渠道源头降低非法应用的安装。