浅议移动应用APP 的风险漏洞及防控对策
2022-04-28刘烽
刘 烽
(广州市公安局网络警察支队,广东 广州510030)
1 移动APP现状
据爱加密移动应用安全大数据平台提供的数据,截至2020 年3 月底大数据中心已收录Android APP 应用 315 万+款,iOS 应用 300 万+款。大部分APP 存在高危漏洞,5.46%的APP存在恶意程序,37%以上的APP 存在不同程度的越权和超范围采集等违规行为。
目前,监测的APP 应用市场有596 个。应用市场公司所属地在北京市,占总量的29.92%,其次是广东省和湖北省的应用市场公司数量较多,分别占总量的22.80%和16.74%。其中游戏类APP 数量占总量的32.89%;生活服务类APP位居第二,占总量14.73%;教育类APP 排名第三,占总量的13.59%。从APP 分布区域来看,广东省APP 数量位居第一,约占APP 总量的49.45%;其次是北京市,约占总量的17.98%;排名第三的是湖北省,约占总量的4.86%。
2 移动APP风险漏洞
据爱加密移动应用安全大数据平台的检测发现。目前,在已完成检测的移动APP应用中,存在Janus高危漏洞的APP数量最多,占检测总数的75.57%。其主要威胁是可以绕过安卓系统的整个安全机制,可以盗取用户的账户、密码等敏感信息,甚至可以植入木马病毒;[1]其次是SO 文件加固风险,占检测总数的68.84%。SO 文件被破解可能导致应用的核心功能代码和算法泄露。攻击者利用核心功能与算法可轻易抓取到客户端的敏感数据,并对其解密,导致用户的隐私泄露或直接财产损失;第三是Java代码加壳检测,占检测总数的62.70%。Java 主要威胁是可能被反编译,易导致代码逻辑泄露、重要数据加密代码逻辑泄露等;第四是动态注册Receiver 风险,占检测总数的60.06%。Re⁃ceiver主要威胁是恶意程序可以不断地发送你所接收的广播,这样会造成应用被攻击,导致应用直接退出、处理逻辑出错等风险;第五是WebView 明文存储密码漏洞,占检测总数的58.27%。主要威胁是用户保存在WebView 中的密码,会被明文保存到应用数据目录中,可能会被攻击者窃取本地明文存储的用户名和密码等(见图1)。
图1
从存在漏洞应用数量的区域分布看,排名第一的是广东省,占总量的43.13%;排名第二的是北京市,占总量的20.13%;排名第三的是上海市,占总量的7.62%。
3 移动APP监管难点
当前,移动互联网生态主体多、链条复杂,移动应用软件市场存在应用市场个数繁多隐晦,市场及渠道没有有效性验证,应用上线标准不统一等问题,导致移动应用质量参差不齐、来源难以追溯等监管难题。主要监管难点表现:
(1)各地监管机构无法分辨非法应用是否属于自己所监管的范畴。
(2)无统一化的备案平台、无法对监管APP的准确性及安全性进行审核。
(3)批量应用的监管、检查、审核较为困难。
(4)应用市场繁杂,上线标准各不相同,无法统一化的管理。
(5)第三方SDK(Software Development Kit)“软件开发工具包”的使用监管尚存空白,应用中存在的安全漏洞未能及时发现和处理等。
4 防范APP平台风险漏洞的对策
4.1 加大宣传力度,及时曝光违法违规APP 案事件
政府部门充分利用各种媒体、网络浏览入口、搜索入口、应用通道、终端主页开展广泛宣传。如“广州公安”双微平台(微博、微信)、广州金盾网、“互联网+智慧新警务”小程序(APP)等,通过定期曝光、新闻发布会和剖析典型案(事)件等方法提升宣传频度,不断提高公民的防范意识。如:2019 年工信部先后曝光三批问题APP 整改名单;2020 年5 月14日、7 月5 日、7 月24 日,工信部分别曝光和要求整改的 APP 名单共有 89 个;2019、2020 年央视315 晚会分别曝光热门APP 泄露用户个人信息问题、第三方插件(SDK)擅自获取用户的隐私乱象等。
4.2 畅通多方式投诉、举报渠道
中央网信办、工业和信息化部、公安部、国家市场监管总局等部门应畅通用户投诉、举报渠道,建立和完善常态化的投诉处理服务机制和流程。如发现泄漏用户隐私或者其他违法违规行为的APP,及时的通过中国互联网违法和不良信息举报中心(www.12377.cn)、中国互联网信息服务投诉平台(https://ts.isc.org.cn/)、“APP 个人信息举报”微信公众号、“pip@tc260.org.cn”专用邮箱、12321 或110 举报中心投诉和报警,及时汇总处理用户反映的相关问题。
4.3 开展检测检查,严把源头关,抓好执行落实
工信部通信管理局组织第三方检测机构对APP、SDK 进行技术检测,对应用分发平台的主体责任落实情况进行监督检查。对第一次检查发现存在问题的企业,责令规定工作日内完成整改,对整改不彻底仍然存在问题的,将采取向社会公告、组织下架、行政处罚以及将受到行政处罚的违规主体纳入电信业务经营不良名单或失信名单等措施;对在APP 不同版本中反复出现问题的企业,将向社会公告,并依法依规开展后续处置工作。
大力推进全国APP 技术检测平台管理系统建设,提升自动化检测水平和能力。尽快接入,用好相关技术手段,做到关口前移,及时发现解决问题,不断提升行业治理能力和水平。通信管理局要结合实际开展检查工作,每月定期将违规线索录入全国APP 技术检测平台管理系统,并按照工信部工作要求开展相关问题处置。
4.4 推动行业自律,落实等级保护备案和安全测评
一是鼓励行业协会组织APP 开发运营者、应用分发平台、第三方服务提供者、电信设备生产企业、安全厂商等相关单位,制定行业自律公约和技术检测标准,健全第三方评议机制,强化行业规范。相关企业要及时开展自查自纠,对发现的问题立行立改,举一反三,切实有效保护个人信息。APP 企业要完善用户权益保障制度,加强对所集成SDK 的管理。应用分发平台要强化平台管理责任,积极配合电信主管部门开展相关监管工作。
二是落实等级保护备案和安全测评。针对移动应用APP,要落实“一案双查”制度,推动建立健全网络安全责任制、问责制及网络运营主体责任,增强全社会维护网络安全的防护意识和主体责任意识,落实政企事业单位的重要领域信息系统安全体系“同步规划、同步建设,同步使用”,努力实现社会共治。
4.5 强化个人隐私保护意识,切实保护用户合法权益
据艾媒咨询(iiMediaResearch)发布的《2018年中国手机APP隐私权限测评报告》称,63.3%的受访者表示在安装手机APP 时没有仔细阅读隐私条款,24.3%的受访者从来不阅读隐私条款。这反映了大部分手机用户都或多或少存在个人隐私保护意识淡薄的问题,有的用户受限于网络技术知识欠缺和APP 隐私条款文字篇幅长等原因,或者明知道可能会有泄露个人信息的危险还抱有侥幸心理,甚至认为是小问题无所谓,遇到隐私泄露恶果的时候主动维权意识不强,多数人选择自认倒霉,客观上纵容了手机APP 信息泄露愈演愈烈,形成恶性循环。为此,用户在选择使用移动APP时要做到:
一是要提高个人隐私保护意识。高度重视个人隐私信息的无形价值,从主观上提高隐私保护意识,加大力度开展个人信息保护宣传教育,扩大个人信息保护知识、技能传播的普及面;加强个人信息安全评估培训,推动个人信息安全评估工作的规范化。二是要注意选用安全合规的APP 产品和服务,并选择正规渠道进行下载安装,谨慎点击来源不明的APP 下载链接,从源头上杜绝木马病毒,并安装手机杀毒APP,定期对手机进行安全检测。三是要注意认真阅读APP 的应用权限和用户协议或隐私政策说明,了解操作注意事项。四是要注意培育良好使用习惯,不随意开放和同意不必要的隐私权限,不随意输入个人隐私信息,定期维护和清理相关数据。五是要注意认真应对个人隐私信息被泄露的问题,发现个人信息被泄露问题时,要通过有效手段及时主动维权,必要时向有关部门反映,用法律武器维护自己的权利和利益。
4.6 加强对黑客侵入渗透的打击,有效遏制网络黑灰产业成为犯罪的“帮凶”
智能手机主要操作系统包括Android和iOS。iOS 系统相对安全,Android 系统则更为开放,除官方应用商城外,部分APP 开发商会通过弹窗、广告等形式,为用户推送含有木马病毒的APP 下载链接,用户点击下载并安装后,木马病毒就会自动扫描手机中通信、短信、账号密码等个人隐私信息,并将相关数据回传服务器,造成用户信息泄露。2019年3月,360公司发布的《2018 年中国手机安全状况报告》称,2018年共截获移动端新增恶意程序样本434.2 万个,平均每天新增1.2 万个,其中隐私窃取类占比33.7%,严重威胁用户个人信息安全。
黑客渗透、侵入政府等权威APP,获取了服务器权限后增、删、改私人信息,成为伪造资质文凭的源头,从中获取了大量详实公民个人信息,威胁更大,成为“精准诈骗”的核心弹药,头号威胁源。其违法犯罪活动给公众人身财产安全、计算机信息系统安全和网络空间管理秩序,甚至国家安全、社会稳定带来直接或间接威胁。
另外,还有APP 厂商(内部人员)相互分享、买卖用户数据等途径,事实上售卖用户隐私信息已形成灰色产业链。当前,移动互联网黑色利益链错综复杂,形成了以开发、传播、运营到最后利益整合分配的流水作业模式,甚至完成了从作坊式个人生产到集团化运作的规模性转变。
以打击网络黑产威胁源为抓手,由政府职能部门牵头,构建长效治理机制,需要社会各方联合起来共同努力,发挥产业链合作的优势,利用大数据分析、云计算和云存储能力,对网络诈骗等犯罪进行全面反击,最大程度挤压黑灰产生存空间,有效遏制下游犯罪滋生。
4.7 加强多方联合行动,对恶意SDK重拳出击
恶意SDK 悄悄藏匿在APP 软件中,拥有很强的隐蔽性和对抗杀毒软件的能力,不仅让用户在使用过程中防不胜防,很多应用软件的开发者甚至都未曾了解软件导致的这些安全漏洞。而其无度索取个人信息、违规使用手机权限,甚至帮助网络黑产“铺路”,严重影响移动互联网用户的信息安全和财产安全,危害合法应用市场声誉,造成恶劣的社会影响,亟需整改和打击。
2019 年1 月25 日,网信办、工信部、公安部、国家市场监管总局等四部门联合发布《关于开展APP 违法违规收集使用个人信息专项治理的公告》,决定自2019 年1 月至12 月,在全国范围内组织开展APP 违法违规收集使用个人信息专项治理行动。期间共受理网民有效举报信息12000 余条,针对2300 余款APP 开展深度评估、问题核查,对用户规模大、问题突出的260 款APP,有关部门采取了公开曝光、约谈、下架等处罚措施。
4.8 由公安部牵头,发起集群战役,以“打”促“管”,建立健全长效监管机制
一是强化情报信息搜集分析、研判预警,着力提升预知预警预防能力。一方面公安机关强化智慧侦查,充分运用“智慧新警务”建设成果,大力推进大数据智能化建设应用,高效汇聚各相关部门行业数据,借助大数据分析模型工具,从中发现、提炼涉APP 犯罪的线索,着力培育打击犯罪新的增长点。另一方面公安机关依托云计算技术,网综系统平台等加大对本地网站、两群、交互式论坛、博客等巡查搜索,针对某些可疑的信息进行监控追踪,深度经营,综合研判,建立完善的预警系统。主动发现、挖掘此类案件线索,将有效聚焦违法犯罪问题热点区域和成因,把数据变成线索、把线索变成指令,起到主动预测犯罪、防范犯罪的作用。
二是发起集群战役,严打新型网络犯罪。强化专案打击,始终将“打源头、端窝点、摧网络、追财富、断链条”作为重点,以“省厅统筹、地市发起、情报先导、统一收网”的打击模式,适时发起集群战役,着力打击跨区域、系列性、团伙性突出犯罪。优化合成作战,公安机关各部门、各警种要充分发挥职能作用,加强与综治、检法、电信、银行、市场监管等职能部门的协调联动,形成强大打击合力。
三是创新打防管控措施,以“打”促“管”,建立健全长效监管机制。由公安部牵头各地网安部门开展专项检查,严格按照《网络安全法》《网络安全等级保护条例》《公安机关互联网安全监督检查规定》《APP 违法违规收集使用个人信息行为认定方法》《APP 违法违规收集使用个人信息自评估指南》等相关法规,深入推进技管结合,加强监督检查,督促相关企业强化APP 个人信息保护,及时整改消除违规收集、使用用户个人信息和骚扰用户、欺骗误导用户、应用分发平台管理责任落实不到位等突出问题。通报作案手法,保持对违法犯罪严打高压态势,加强行业自查自纠,全面净化APP应用空间。
4.9 健全法律法规,出台更具前瞻性和可操作性的执法指引
目前,我国在关于移动APP 个人信息保护方面的法律法规主要有《网络安全法》《电子商务法》《信息安全技术个人信息安全规范》《中华人民共和国数据安全法(草案)》等,但仍存在很多亟待完善之处。例如对“个人信息隐私”的界定标准不明确,手机APP 收集用户信息“正当、合法、必要”3 个原则的界定存在争议,发生信息泄露后的处罚力度不足等。无法在法律高度形成强约束力和震慑力。因此,要健全完善法律法规体系,尽快出台更具前瞻性和可操作性的执法指引。