通付盾北斗团队
通付盾北斗团队(负责安全合规产品)于2013年成立,10年来专注于移动应用全生命周期的安全研究,积累了丰富的移动应用安全实战经验,不断保持技术研发与创新,致力于为企业提供移动应用全生命周期安全工程解决方案。自研了符号执行、动态沙箱、大数据分析、VMP虚拟机保护、iPA动态壳保护等多个核心技术。团队所研发产品已服务于上千家各行业客户,深入到政府、军工、能源、金融、运营商、教育、医疗、传媒、交通、互联网等行业,为数十亿级移动终端提供了移动应用安全保障。其中移动应用安全合规检测成功服务国测、军测、公安和工信部,实现国家级测评机构全覆盖。
通付盾北斗团队的理念:“技术、安全、创新”。
前言
党的二十大报告提出,要“加快建设网络强国、数字中国”。当前,以数字经济为代表的新经济成为经济增长新引擎。作为数字经济时代最核心生产要素的数据呈爆炸式增长,体现其基础战略资源的地位,数据安全的基础保障作用日益凸显。而APP作为移动网络中数据的载体,其承载的数据对维护国家安全、企业安全及个人隐私,乃至数据合规都提出了更高要求。
在2023年1月11日的全国工业和信息化工作会议上提及, 2023年的工作重点上,将完善电信业务市场发展政策,强化APP全流程、全链条治理,加强个人信息保护、用户权益保护。增强网络和数据安全保障能力,加快安全产业创新发展。
本白皮书(或本报告)以《数据安全法》、《个人信息保护法》、《网络安全法》等法律陆续施行背景下编制,从个人隐私信息安全和APP安全为切入点,梳理了当下APP安全发展面临的挑战与机遇,综合分析APP安全的当前态势及后期发展趋势,结合区块链分布式数字身份技术,寻找APP治理方向与策略,探索移动安全可持续发展道路。
本白皮书旨在帮助打造集开发测试、发布、运行、运营全链路保障APP安全的移动合规应用发布平台,对存在中高风险漏洞和隐私违规问题的应用在上架前及时阻断,结合区块链分布式数字身份技术为平台上架APP颁发在链上的数字身份凭证,对盗版、仿冒等应用进行定期安全监测和风险识别。
正文:
一、APP安全现状概述
党的二十大报告提出,要“加快建设网络强国、数字中国”。当前,以数字经济为代表的新经济成为经济增长新引擎。数据作为数字经济时代最核心生产要素呈爆炸式增长,体现其基础战略资源的地位,数据安全的基础保障作用日益凸显。而APP作为移动网络中数据的载体,其承载的数据对维护国家安全、企业安全及个人隐私,乃至数据合规都提出了更高要求。
1.1APP安全现状
在手机APP的日常使用中,可以最直观地感受到个人信息保护的水平。在日常网络社区浏览、游戏以及购物时,是否频繁弹窗提醒,在申请获取位置、设备信息等权限前是否告知使用目的,隐私政策更新是否有提醒……
2022年以来,工业和信息化部持续开展APP侵害用户权益“回头看”专项整治行动,先后6批次对存在违规推送弹窗信息、APP过度索取权限、移动互联网应用程序(APP)及第三方软件开发工具包(SDK)信息收集不规范等问题进行重点抽测,共累计发现约791款APP存在问题,并对202款逾期不整改或整改不到位的予以通报。
近年来,在国家相关部门的APP治理强监管下,头部APP的隐私信息安全不断提高,但是尾部APP因为合规成本等问题,在个人信息保护方面的动力不足,依然与头部 APP存在较大差距。尾部APP的个人信息安全保护工作,仍需加大治理力度,从而提升APP整体的个人信息保护水平。
1.2年度相关政策法规
自2021年11月1日《个人信息保护法》正式施行以来,关于网络安全的相关政策法规相继出台。
2022年1月,国务院《“十四五”数字经济发展规划》,部署了八项重点任务,在数字经济安全体系方面,提出了三个方向的要求,一是增强网络安全防护能力、二是提升数据安全保障水平、三是切实有效防范各类风险,系统阐述了网络安全对于数字经济的独特作用及重要性。
2022年4月26日,工业和信息化部发布《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》。《征求意见稿》对APP开发运营者、APP分发平台、APP第三方服务提供者、移动智能终端生产企业、网络接入服务提供者提出了一系列在个人信息的收集、存储、使用、加工、传输过程中的相应要求,同时也明确了相应的整改期限和责任。
2022年5月26日,全国信息安全标准化技术委员会发布了《信息安全技术 互联网平台及产品服务隐私协议要求》的征求意见稿。该要求规定了互联网平台及产品服务隐私协议编制程序、具体内容、发布形式,增加隐私协议的可读性、透明性,以及处理隐私协议相关的争议纠纷等方面的要求。
2022年9月14日,国家互联网信息办公室发布关于公开征求《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》意见的通知。拟调整违反网络运行安全保护义务等行为的行政处罚种类和幅度,完善相关法律责任制度。数据安全法、个人信息保护法与网络安全法构成我国网络法律体系的“三驾马车”,共同保障公民的个人信息安全。
在2023年1月11日的全国工业和信息化工作会议上提及, 2023年的工作重点为完善电信业务市场发展政策,强化APP全流程、全链条治理,加强个人信息保护、用户权益保护。增强网络和数据安全保障能力,加快安全产业创新发展。
APP安全合规检测概述
依据《数据安全法》、《个人信息保护法》、《网络安全法》等相关相关法律法规,通过检测目的、检测对象、检测方法以及检测内容四个层面对APP安全检测的具体实施方案进行阐述。
2.1 检测目的
以用户信息安全和APP安全为切入点,从隐私政策、权限申请、权限收集、权限使用、APP漏洞安全等方面进行检测,检测APP中存在的违规问题及安全漏洞。
法律依据如下:
《中华人民共和国个人信息保护法》
《中华人民共和国网络安全法》
《中华人民共和国数据安全法》
其他参考的国家标准、指南、团体标准包括:
《常见类型移动互联网应用程序必要个人信息范围规定》
GB/T 35273-2020《信息安全技术 个人信息安全规范》
《APP违法违规收集使用个人信息自评估指南》
《APP违法违规收集使用个人信息治理评估要点》
GB/T 41391-2022《信息安全技术 移动互联网应用程序(APP)个人信息安全测评规范》
《网络安全标准实践指南—移动互联网应用程序(APP)中的第三方软件开发工具包(SDK)安全指引》
《APP违法违规收集使用个人信息行为认定方法》
《移动APP安全检测基准》等
2.2 检测对象
抽调了各大移动应用市场各类型活跃度前200的安卓应用共计约8607款进行安全合规检测。类别囊括了地图导航、网络约车、即时通讯、新闻资讯、网络支付、在线购物等共计39个类别。
2.3 检测流程
APP安全合规检测基于动静双引擎检测技术,利用静态代码分析引擎和动态沙箱监测引擎,对移动应用潜在安全合规问题进行全面、深度的检测。通过插桩技术进行动态行为捕获,将行为内容传递到后台进行处理分析,有效应对不同APP、不同场景的用户个人信息最小化采集风险监测需求。通过代码分析引擎对应用中集成的第三方SDK进行检测分析,解析SDK列表,并将各SDK的权限申请及动态调用状况、风险漏洞情况、敏感数据存储情况等信息进行归类,明确问题源头。通过网络捕获技术,进行网络流量捕获记录,并根据流量数据识别并提取相应的资产信息,分析数据流,监测违规数据的收集和共享。
2.4 检测内容
1、APP隐私违规检测内容:
(1)检测是否存在未公开收集使用规则问题;
(2)检测是否存在未明示收集使用个人信息的目的、方式和范围问题;
(3)检测是否存在未经用户同意收集使用个人信息问题;
(4)检测是否存在违反必要原则,收集与其提供的服务无关的个人信息问题;
(5)检测是否存在未经同意向他人提供个人信息问题;
(6)检测是否存在未按法律规定提供删除或更正个人信息功能或未公布投诉、举报方式等信息问题;
2、APP漏洞风险检测内容:
(1)检测是否存在编码规范安全问题;
(2)检测是否存在代码安全问题;
(3)检测是否存在数据安全问题;
(4)检测是否存在常见安全漏洞;
(5)检测是否存在发布规范安全问题;
APP安全合规检测结果及分析
3.1 APP隐私违规检测
3.1.1 个人信息收集合规情况
依据《APP违法违规收集使用个人信息行为认定方法》、《个人信息保护法》及其他相关政策法规,从“未公开收集使用规则”、“未明示收集使用个人信息的目的、方式和范围”、“未经用户同意收集使用个人信息”、“违反必要原则,收集与其提供的服务无关的个人信息”、“未经同意向他人提供个人信息”、“未按法律规定提供删除或更正个人信息功能或未公布投诉、举报方式等信息”这6个层面过对这8607款应用进行抽调检测。
经检测发现,其中存在“未明示收集使用个人信息的目的、方式和范围”占比最高,达62.7%;其次是“未经用户同意收集使用个人信息”占52%。
3.1.2 常见违规收集个人信息分析
1. 未经用户同意收集使用个人信息
在存在未经用户同意收集使用个人信息方面问题的APP中,主要存在的问题包括:
APP隐私政策等收集使用规则是否难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。如下图所示APP中的阅读政策即存在文字过小,难以阅读的问题。
APP隐私政策需要对APP运营者基本情况进行描述,至少包括组织或公司名称、注册地址或常用办公地址、个人信息保护工作机构或相关负责人联系方式。如下图所示APP中即存在未对APP运营者组织或公司名称、注册地址或常用办公地址等进行描述的问题。
2. 未明示收集使用个人信息的目的、方式和范围
在未明示收集使用个人信息的目的、方式和范围方面问题的APP中,主要存在的问题包括:
APP未逐一列出APP(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等等。如下图所示APP中,极光SDK在描述其所采集的个人信息(左图)时与实际收集情况(右图)有缺失,少了收集获取位置信息等的相关说明。
APP在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,是否同步告知用户其目的,或者目的不明确、难以理解。如下图所示APP中,在申请获取位置、设备等信息前未告知用户其目的。
3. 未经用户同意收集使用个人信息
在未经用户同意收集使用个人信息方面问题的APP中,主要存在的问题包括:
APP以默认选择同意隐私政策等非明示方式征求用户同意。如下图所示APP中,在登录时以默认选择同意隐私政策的方式征求用户同意。
APP未向用户提供撤回同意收集个人信息的途径、方式。如下图所示APP中,在隐私政策及APP中均未提供撤回同意收集个人信息的途径、方式。
4. 违反必要原则,收集与其提供的服务无关的个人信息
在违反必要原则,收集与其提供的服务无关的个人信息方面问题的APP中,主要存在的问题包括:
APP收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关。如下图所示APP中,在登录操作时要求获取与当前登录服务无关的位置权限。
因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能。如下图所示APP中,在用户不同意打开摄像头权限后,拒绝提供如上传本地图片作为头像业务。
5. 未按法律规定提供删除或更正个人信息功能或未公布投诉、举报方式等信息
在未按法律规定提供删除或更正个人信息功能或未公布投诉、举报方式等信息息方面问题的APP中,主要存在的问题包括:
更正、删除个人信息或注销用户账号等用户操作已执行完毕,但APP后台并未完成的。如下图所示APP中,注销账户完毕后用户手机号等信息未立即同步删除。
虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内完成核查和处理。如下图所示APP中,承诺期限超过了规定要求的最高15个工作日。
3.2 APP风险漏洞检测
使用代码反编译技术,进行代码层的应用安全检测,从编码规范、发布规范、代码安全、环境安全、组件安全、数据安全和安全漏洞7各层面,分析应用存在的漏洞风险,共采集应用安全风险80余项。
3.2.1 编码规范检测情况
3.2.2 代码安全检测情况
3.2.3 数据安全检测情况
3.2.4 常见安全漏洞检测情况
3.2.5 发布规范检测情况
治理展望
针对目前的APP安全现状,我们发现基于片面的APP安全防护甚至忽视安全防护无法达到有效的APP治理效果,有必要从APP全生命周期的角度出发,打造一套集开发测试、发布、运行、运营环节于一体的APP合规应用发布平台。
APP合规应用发布平台的实现总体可以分为两个子平台,将面向终端用户的业务平台和开发者平台分开。业务平台包括:合规应用展示下载、实时行业资讯和业务管理等;开发者平台包括:业务模块和引擎组件两部分。业务模块包括:安全服务、数字身份凭证管理、监测服务和定期发布尽职调查报告等功能。APP尽职调查报告深入全面透视APP市场数据及安全状况,监测300+APP分发渠道,向开发者和用户提供便利的APP市场数据分析服务,包括APP在各渠道版本、下载量、评论及评分、是否存在盗版仿冒等情况,帮助开发者和用户全面掌握APP信息。引擎组件包括:安全加固引擎、隐私检测引擎、漏洞检测引擎、爬虫引擎等。
全流程解决方案具体如下:
(1)开发测试阶段:提供APP安全合规检测,包括:APP风险漏洞检测、SDK检测、APP权限检测、APP隐私合规检测等;针对存在的安全问题提供完善的解决方案,包括:APP加固、SDK加固、SO加固、H5加固、小程序加固等。
(2)发布阶段:APP上报;APP认证备案;一键式应用发布;对待发布APP进行风险漏洞检测,及时阻断存在中高风险的应用;对检测通过的APP颁发在链上的数字身份凭证。
(3)运行阶段:提供对上架到平台的APP的渠道管理;方便开发者对APP进行版本管理、发布管理操作。
(4)运营阶段:定期发布APP尽职调查报告;对盗版、仿冒等应用的定期安全监测和风险识别,助力APP开发商后期运营维护。
在整个全链路的APP治理流程中,包含了对APP的安全检测、安全加固、隐私合规检测、应用发布、APP上链、渠道监测等众多服务。这种APP全流程落地的治理模式,可以实现对APP全生命周期一站式的安全解决方案,对上架到平台的APP做到全方位治理,营造清朗的网络环境,进一步为各行各业进行安全赋能。区别于传统的APP发布平台,除了将APP安全技术运用到各个流程阶段外,还规划了APP安全合规知识专区、尽职调查报告和APP数字身份凭证三大功能。APP安全合规知识专区,定期更新行业最新安全合规相关资讯和文件,方便开发者学习提升APP安全开发能力与素养。APP尽职调查报告实时追踪APP市场动态,提供数据分析服务,助力开发者和用户全面掌握APP信息和相关行业线索。APP数字身份凭证,结合区块链的分布式数字身份技术,为每个通过漏洞检测、隐私检测等满足合规要求的可信APP在链上生成一个不可篡改的,用来标识与管理的标识信息,构建统一的应用身份体系,为切实推动APP全链路治理提供安全保障。
未来,在 Web3.0 时代,区块链技术的日益成熟,为数字化转型升级带来全新机遇,新旧技术的交替将拓宽APP安全合规的道路。APP合规应用发布平台也将不断推陈出新,平台的发展不仅要尽量满足当前状况下的移动安全问题,对于正在演进以及未来可能会对移动安全产生影响甚至是变革的理念和技术,也要充分研究并在管理平台接下来的发展中得以体现。
免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。