APP下载

APP个人信息安全威胁及防范对策分析

2020-12-01李俊磊邹同浩

无线互联科技 2020年11期
关键词:个人信息信息安全用户

李俊磊,邹同浩

(广东司法警官职业学院,广东 广州 510520)

客户端应用程序(Application program,APP)主要指运行在移动终端设备平台上的第三方应用程序,其种类覆盖人民生活的每一个角落,小到社交通信、新闻阅读、影音娱乐、美食购物、出行导航等,大到教育商务、金融理财、运动健康等,个人的一天活动基本可依赖APP完成,人们的生活走向了数字化。

1 APP带来的个人信息安全威胁

据CNCERT统计,我国境内应用商店数量已超过200家,上架APP近500万款,下载总量超过万亿次,还在以指数形式递增[1]。在庞大的用户群体和移动设备背景下,用户每天都在利用APP进行购物支付、消遣娱乐,对智能设备的依赖性越来越强,留下的个人操作足迹和信息数据越来越丰富,形成的个人信息数据越来越全面。

智能设备上几乎保存着个人全部隐私数据,涉及以下几个方面:(1)个人信息隐私,如身份证号、银行卡号、家庭住址、网络活动的综合信息(IP地址、浏览踪迹、活动内容)。(2)通信隐私,包括电话、短信、聊天通信平台中的信息等。(3)空间隐私,个人在智能设备上出入特定空间或区域。(4)身体隐私,即身体健康状况信息等。甚至,还有很多信息并不一定涉及个人隐私,但是在大数据时代,通过数据挖掘分析技术对信息进行重组,就包含了涉及用户个人隐私的信息。

琳琅满目的APP在为用户生活带来前所未有的指尖快乐时,也给用户的个人信息安全带来了新威胁和新风险。安全问题值得重视,APP正悄无声息地对个人安全造成不利影响,如强制授权、过度窃取、超范围收集个人信息等现象大量存在,使用户的个人信息在网络中处于“透明状态”,违法违规使用个人信息的问题十分突出,不仅让用户的个人信息和利益受到危害,也给国家安全产生了严重威胁。在当前的移动互联网时代下,APP的大面积安装、使用,对个人造成的安全威胁不容轻视,常见的个人信息安全威胁包括以下方面。

1.1 用户群体素质不一,安全意识薄弱

工业和信息化部发布的数据显示,我国三大运营商移动电话用户总数接近16亿户,4G用户规模为12.3亿户,可见,我国的用户群体庞大,现在全国上下出现大到老人、小至婴儿,都基本上人均一部智能设备,完全达到APP应用普及化。然而,用户群体的素质不一,有些用户连什么是网络安全、个人信息安全的概念和意识都不清楚,特别年长的和年幼的两大用户群,在使用智能设备安装应用时,直接盲目点击下载,对于应用存在的风险、要获取的权限、相关协议内容等全然不知。

对于有安全意识的绝大数用户而言,由于生活节奏快,有些APP虽然在安装的过程中会提醒用户查看《用户协议》,但是协议条款过长,用户为了省事,抱着相信的心态,手指一点同意该协议,使用过程中APP需要提供个人隐私数据和权限毫不犹豫地操作,加剧了风险和威胁。

1.2 APP市场鱼龙混杂,缺乏统一平台约束

正因APP市场的空前利好,很多开发商都关注到了这一市场,各种各样的APP如雨后春笋般被开发出来,APP商城作为用户下载APP的主要渠道,理应保障用户的利益,对上线的APP进行恶意软件检测、隐私泄露检查、安装漏洞扫描、人工审核等安全管理,确保APP的安全性能,但由于缺乏统一平台约束,导致APP市场鱼龙混杂。市场上有大量的恶意APP存在,随时可能被用户下载安装,给用户的生命财产造成安全隐患。CNCERT统计数据显示,我国2016年7月1日—2019年10月31日,累计发现违法有害恶意APP高达19 538款[2]。

1.3 APP强制、越界滥用权限

目前,用户在安装时,大多数APP都需要获取用户的权限,如果获取的权限过低,会导致APP运行异常,甚至无法使用;如果权限过高,则会导致APP权限滥用,无法保障用户的合法权益。有些APP没有必要获取用户权限和收集用户个人信息,然而,开发者或者开发商盲目跟风,“越界”“过度”甚至强制、超范围索要用户权限。

APP没有明显告知用户获取权限的信息及用途,甚至通过“越界”方式收集用户设备上的照片、通信信息、生物识别信息(人脸、指纹)、交易账号信息、各购物APP上的账号密码及收件地址、行程等个人隐私和敏感信息,让个人信息时刻处于危险状态。比如,APP对用户的操作记录和行为习惯进行“画像”,提供个性化服务[3],进行定向推送和营销,而用户却无法拒绝。另外,有些APP存在“用户进来了就别出去”的怪象,用户注册和使用后,想注销和清空个人信息时却困难重重,甚至连操作入口都没有。

1.4 泄露用户隐私信息,导致用户利益受损

在使用APP的过程中,个人用户隐私信息数据库容易被泄露出去,包括APP平台本身的安全性不强、管理人员非法处理用户信息利益链;黑客入侵和平台漏洞等导致信息泄露。同时,当前病毒泛滥,有网络的地方就有可能存在病毒的风险,近年来,病毒对智能移动设备的侵害行为越来越多,病毒感染导致用户信息处于不可控状态,危害不断。

2 APP个人信息安全防范对策

2.1 建立体系,规范管理

APP的安全问题事关个人和国家,必须要高度重视,社会各界要共同参与,从国家、行业层面建立法律保护体系,保护用户的个人信息安全,构建良好的安全生态;制定APP行业标准,规范管理,对APP的上线实行统一管理,加强安全性检测,规范审核流程;在相关标准、指南中进一步细化APP运营者收集用户个人信息规范,持续优化用户隐私政策,并将个人信息保护贯彻APP的规划、开发、运营等各个环节,做到“最小化”授权。

相关政府部门将建立 APP个人信息安全认证制度,对APP的上线、版本升级前均开展安全评估工作,同时,鼓励搜索引擎和应用商店优先推荐认证APP,切实、有效地维护好用户的合法权益。

2.2 安全开发,加固防护

从技术上解决APP的安全性问题,在研发APP的过程中,融入信息安全技术,提高应用的安全性,把隐患拒之网外。通过运用数字签名技术,保证数据在网络中传输过程中数据的完整性、防篡改和不可伪造,避免网络不法分子利用攻击手段窃取信息。同时,要加强对APP缓存进行加密处理,对用户账号密码进行加密,区分不同角色的操作权限。

开发者应将安全编码原则贯穿整个软件开发周期,采用高级API和安全SDK,并采用身份认证、电子签章、区块链等技术措施对应用进行必要的安全加固,采用安全存储和传输技术保障用户敏感信息安全,通过完善的身份认证机制保障通信过程安全。

在研发前期,重视安全需求调研,对数据存储、数据传输都采用加密算法编码,对APP接口进行加密隐藏,以防止第三方应用程序进行反编译操作,充分做好上线前的测试工作,特别是针对APP的安全性能进行测试。引入区块链技术对APP生命周期中的各过程管理,加强随机抽查,对达不到安全标准的APP,下架处理。对于下线的APP应要求及时删除销毁所有用户数据。利用大数据、人工智能技术、态势感知技术对个人信息泄露等安全事件进行预警。

2.3 增强意识,安全使用APP

广大的市民用户应该加强安全防范意识,主动接受网络安全、信息安全、数据安全等方面的学习,掌握基本的安全常识,提高警惕,培养良好的使用习惯,深刻认识到APP存在安全隐患,对APP获取的权限做到心中有数,从正规渠道下载APP,防止下载高仿、不安全应用,安装APP时仔细阅读协议,对于应用获取的权限,选择性的进行设置,在不影响正常使用的情况下,没有特殊要求不将设备进行ROOT处理,禁用不必要的高权限如手机号码联系人、短信等,坚守“最小权限化”。在设备上安装杀毒软件,定期对软件应用进行清查。

3 结语

在APP“满天飞”的数字化生活时代,每一个市民用户都应加强安全防范意识,从制定法律法规、应用安全开发技术、安装杀毒软件和个人正确操作使用等多层次建立安全体系,在设备安全、应用安全、数据安全等多方面保障APP用户的个人信息安全,不要让个人信息成为不法分子的猎物,保护好个人的电子资产,用户才能在移动互联网上享受APP的便捷功能。

猜你喜欢

个人信息信息安全用户
如何保护劳动者的个人信息?
个人信息保护进入“法时代”
警惕个人信息泄露
保护信息安全要滴水不漏
高校信息安全防护
关注用户
关注用户
保护个人信息安全刻不容缓
关注用户
如何获取一亿海外用户