受疫情影響,今年的315晚會(huì)挪到了7月16日晚上,瞬間朋友圈就被315刷屏了,被315點(diǎn)名的多種現(xiàn)象中,有幾個(gè)大家討論比較多的,其中一個(gè)就是關(guān)于APP違規(guī)收集信息的情況,今天我們來詳細(xì)說一下~
多款A(yù)PP違規(guī)收集個(gè)人信息
此次晚會(huì)中提到了手機(jī)App違規(guī)收集個(gè)人信息問題,某些APP在后臺(tái)讀取電話號(hào)碼、通訊錄、短信記錄、應(yīng)用列表等信息的同時(shí),上傳聯(lián)系人、交易驗(yàn)證碼等數(shù)據(jù)到第三方服務(wù)器。
并且,第三方SDK除了收集用戶手機(jī)號(hào)碼、設(shè)備信息之外,還會(huì)收集用戶手機(jī)通訊錄、短信信息、傳感器信息等用戶隱私信息,在采集之后還會(huì)發(fā)送至指定服務(wù)器進(jìn)行存儲(chǔ)。
對(duì)此,工信部發(fā)布公告,立即組織北京、上海通信管理局對(duì)涉事兩家SDK企業(yè),北京招彩旺旺信息技術(shù)有限公司和上海氪信信息技術(shù)有限公司進(jìn)行核查處理,對(duì)存在問題的APP第一時(shí)間啟動(dòng)下架程序。并且責(zé)成阿里、騰訊、百度、華為、小米、OPPO、vivo、360等國內(nèi)主要應(yīng)用商店,第一時(shí)間對(duì)類似問題進(jìn)行“地毯式”排查,及時(shí)發(fā)現(xiàn)、處理違規(guī)收集用戶個(gè)人信息的SDK。
而此次提到的50多個(gè)違規(guī)收集信息的App中,金融類就超過40個(gè)。
如何判定金融APP信息收集合法性?
網(wǎng)絡(luò)安全法第41條規(guī)定,網(wǎng)絡(luò)運(yùn)營者收集、使用個(gè)人信息,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則,公開收集、使用規(guī)則,明示收集、使用信息的目的、方式和范圍,并經(jīng)被收集者同意。
因此判定金融APP信息收集是否合法有幾個(gè)關(guān)鍵點(diǎn)。
1、是否明確了信息的使用用途。比如金融機(jī)構(gòu)獲取用戶信息時(shí),明示收集手機(jī)通訊錄信息將被用于貸款審批及債務(wù)催收,那么就不算非法獲取。沒有明示的情況下用于這些用途則違反了相關(guān)規(guī)定。
2、隱私協(xié)議是否合規(guī)。有些隱私協(xié)議條款暗含免除一方責(zé)任,加重對(duì)方責(zé)任,排除對(duì)方主要權(quán)利的內(nèi)容,這樣的條款是無效的。
3、是否獲取本人授權(quán)。如果機(jī)構(gòu)要提取或使用用戶信息,必須獲取信息主體本人的明確授權(quán)。
2019年,中國信通院發(fā)布了一份《2019金融行業(yè)移動(dòng)App安全觀測(cè)報(bào)告》,從金融行業(yè) App 細(xì)分領(lǐng)域來看,借貸類 App 包攬前三名中的兩個(gè)席位。其中,面向個(gè)人用戶的消費(fèi)金融類 App 數(shù)量最多,占觀測(cè)總數(shù)的 36.74%;面向企業(yè)的 P2P 金融類 App 排名第三,占觀測(cè)總數(shù)的 11.38%;彩票類App 排名第二,占觀測(cè)總數(shù)的 27.19%。
這十幾萬金融行業(yè)APP中,除了信息違規(guī)收集,還存在其他的一些風(fēng)險(xiǎn),下面小金就為大家介紹一下存在比較多的風(fēng)險(xiǎn)有哪些?
金融APP中的普遍風(fēng)險(xiǎn)
1、高危漏洞。其中最典型的就是數(shù)據(jù)泄露風(fēng)險(xiǎn),攻擊者可以利用其中的漏洞竊取用戶數(shù)據(jù),進(jìn)行 App 仿冒、植入惡意程序、攻擊服務(wù)等,對(duì) App 安全具有嚴(yán)重威脅。
金融行業(yè) App 中,73.23%存在不同程度的安全漏洞,70.22%存在高危漏洞。平均每款金融行業(yè) App 存在 20.3 個(gè)安全漏洞,其中 6.7 個(gè)為高危漏洞。
互聯(lián)網(wǎng)第三方支付和信托類 App 的高危漏洞問題較為突出,存在高危漏洞 App 的比例 93.87%和 93.44%。保險(xiǎn)、投資理財(cái)、外匯等分類的 App 高危漏洞問題也相對(duì)嚴(yán)重,存在高危漏洞的 App 比例超過 85%。(數(shù)據(jù)來自中國信息通信研究院)
2、惡意程序感染風(fēng)險(xiǎn)。
主要涉及的惡意行為包括流氓行為、信息竊取、惡意傳播、資費(fèi)消耗、遠(yuǎn)程控制等多種惡意行為,受到流氓行為惡意程序感染的 App 占比最多,約為 82.02%。所謂流氓行為指的就是在用戶未授權(quán)的情況下,彈出廣告窗口等,不僅影響用戶使用體驗(yàn),而且如用戶誤觸點(diǎn)擊可能帶來進(jìn)一步隱私風(fēng)險(xiǎn)和安全問題。
3、使用 SDK 引入風(fēng)險(xiǎn)
在金融行業(yè)APP中,大概有超過五分之一的APP被嵌入了第三方SDK,第三方 SDK 存在隱蔽收集用戶信息、自身安全漏洞易被不法分子利用等安全風(fēng)險(xiǎn),而消費(fèi)金融類、彩票類、P2P 金融類受到惡意程序感染的比例相對(duì)較高。
4、違規(guī)索權(quán)風(fēng)險(xiǎn)。
我們上面也有提到過,有些APP的協(xié)議中隱含了超范圍索取用戶權(quán)限的情況,App 索取用戶設(shè)備的敏感權(quán)限和用戶的隱私信息,可能導(dǎo)致用戶設(shè)備被植入惡意程序、用戶賬戶和隱私信息泄露等一系列安全風(fēng)險(xiǎn)。而個(gè)人隱私信息一旦泄露,就會(huì)隨之帶來騷擾電話、信息詐騙、惡意推銷、網(wǎng)絡(luò)情感詐騙等一系列風(fēng)險(xiǎn)。
全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)于 2019 年 6 月發(fā)布的《網(wǎng)絡(luò)安全實(shí)踐指南——移動(dòng)互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》明確規(guī)定,金融行業(yè) App 基本業(yè)務(wù)功能收集的必要信息包括:“手機(jī)號(hào)碼”、“賬號(hào)信息”、“身份信息”、“銀行賬戶信息”、“個(gè)人征信信息”、“緊急聯(lián)系人信息”以及“借貸交易記錄”7 項(xiàng)內(nèi)容。應(yīng)用程序訪問設(shè)備的手機(jī)功能及修改或刪除存儲(chǔ)卡中的內(nèi)容涉嫌超范圍獲取權(quán)限。此外,App 慣常獲取的高敏感權(quán)限還包括:發(fā)起電話呼叫、錄制音頻、拍攝照片和錄制視頻、讀取系統(tǒng)日志等。
5、安全加固不足。
在去年的觀測(cè)報(bào)告中,超過80%的金融行業(yè)APP沒有進(jìn)行任何的安全加固,而基于 Java 語言編寫的安卓應(yīng)用程序如不進(jìn)行加固,則其打包的 APK 文件很容易被反編譯工具進(jìn)行逆向分析,進(jìn)而暴露風(fēng)險(xiǎn)。
用戶如何規(guī)避風(fēng)險(xiǎn)?
1、在正規(guī)應(yīng)用市場(chǎng)下載APP。手機(jī)都有自帶的應(yīng)用市場(chǎng),這種安全性比較高,不要隨意點(diǎn)擊不明鏈接或掃描不明二維碼通過瀏覽器進(jìn)行下載。如果必須通過鏈接或二維碼下載,可以跟相關(guān)的開發(fā)商確認(rèn)一下是否為官方APP。
2、下載前查看軟件詳情。要確定軟件有相關(guān)的安全審核認(rèn)證,并且可以關(guān)注下相關(guān)評(píng)價(jià),如果評(píng)分比較低就要多考慮一下。當(dāng)然,評(píng)分只是一個(gè)參考,畢竟市場(chǎng)上惡意評(píng)分也很常見。
3、警惕“山寨”APP。如果下載使用軟件的過程中經(jīng)常出現(xiàn)bug,漏洞較多,那就要檢查一下是否不小心下載了“山寨”APP,及時(shí)卸載。
4、謹(jǐn)慎授權(quán)。很多APP在下載注冊(cè)時(shí)要求授權(quán)多項(xiàng)個(gè)人信息,使用者應(yīng)當(dāng)辨別要求授權(quán)的信息是否為必要信息,遇到非必要信息要謹(jǐn)慎授權(quán)。
軟件的信息安全問題對(duì)于每個(gè)人來說都至關(guān)重要,尤其是現(xiàn)在網(wǎng)絡(luò)技術(shù)越來越發(fā)達(dá),我們對(duì)于網(wǎng)絡(luò)的依賴越來越高,如果信息安全不能保證,那么會(huì)對(duì)我們的財(cái)產(chǎn)安全造成極大的威脅。尤其是金融類的APP,更加需要保證信息安全性。
有關(guān)部門加強(qiáng)常態(tài)化監(jiān)管的同時(shí),用戶也應(yīng)該提高自身警惕,有意識(shí)的保護(hù)自己的信息安全。另外,中國互聯(lián)網(wǎng)金融協(xié)會(huì)組織了金融APP備案,大家可以自行查看,了解已經(jīng)備案的APP有哪些,查看網(wǎng)址:http://www.nifa.org.cn/nifa/2986584/2986585/2988981/index.html
有關(guān)部門加強(qiáng)常態(tài)化監(jiān)管的同時(shí),用戶也應(yīng)該提高自身警惕,有意識(shí)的保護(hù)自己的信息安全。