用戶隱私保護(hù)仍處于初級階段 APP安全監(jiān)管勢在必行
原創(chuàng)【51CTO.com原創(chuàng)稿件】 2月16日,有網(wǎng)友稱京東金融APP在安卓端存在竊取用戶敏感信息的問題。隨后,京東金融稱排查后的確發(fā)現(xiàn)安卓版本存在緩存手機(jī)截屏圖片問題,但絕無收集用戶隱私的操作,目前APP已定位問題并修復(fù)。
在智能手機(jī)大行其道的今天,用戶隱私保護(hù)一直是一根非常敏感的神經(jīng),不論是國家監(jiān)管部門還是應(yīng)用服務(wù)提供商、APP安全公司都在努力營造一個(gè)安全可信賴的應(yīng)用環(huán)境。截屏緩存事件在短時(shí)間內(nèi)迅速引發(fā)業(yè)內(nèi)關(guān)注,業(yè)界也紛紛表達(dá)了自己的觀點(diǎn),51CTO邀請梆梆安全技術(shù)總監(jiān)劉舒騏談?wù)剬Ρ敬问录目捶ā?/p>
51CTO:從用戶角度看,在APP應(yīng)用時(shí),應(yīng)該有哪些APP應(yīng)用的安全意識可以保護(hù)自己的隱私?
梆梆安全技術(shù)總監(jiān)劉舒騏:首先,建議用戶只從可信任的應(yīng)用分發(fā)渠道去下載、安裝手機(jī)應(yīng)用。對于iOS用戶來講,AppStore是下載應(yīng)用的不二之選,對于安卓用戶來講,從官網(wǎng)直接下載,通過主流應(yīng)用商店下載應(yīng)用都可以保障安全。避免安裝來歷不明的應(yīng)用,防止因安裝了含有惡意代碼的應(yīng)用造成隱私信息丟失。
其次,現(xiàn)在的手機(jī)操作系統(tǒng)均有權(quán)限管理系統(tǒng),通過權(quán)限管理可以限制應(yīng)用訪問用戶的敏感信息,比如攝像頭、麥克風(fēng)、通訊錄、定位等,對于不常使用的權(quán)限要進(jìn)行關(guān)閉,在一定程度上可以保護(hù)自己的隱私。
51CTO:從APP應(yīng)用角度看,目前市場是否有針對竊取APP用戶隱私現(xiàn)象的監(jiān)測功能呢?從技術(shù)角度如何操作?目前APP應(yīng)用廠商普遍對于用戶隱私的保護(hù)是否重視?
梆梆安全技術(shù)總監(jiān)劉舒騏:應(yīng)用安全測評平臺之類的產(chǎn)品已經(jīng)可以自動化的分析App權(quán)限調(diào)用情況,基于污點(diǎn)跟蹤等技術(shù)可以定位到具體哪行代碼調(diào)用了哪一類權(quán)限,便于人工二次審核App的隱私數(shù)據(jù)調(diào)用情況。我國在《GB/T 35273-2017 信息安全技術(shù)個(gè)人信息安全規(guī)范》中明確了何為個(gè)人信息,何為個(gè)人敏感信息,一些機(jī)構(gòu)、組織也在定期通過人工+自動化監(jiān)測的方式分析市場上應(yīng)用對于個(gè)人信息的獲取情況。但從公開媒體報(bào)道以及梆梆安全監(jiān)測的情況來看,總體而言國內(nèi)的App開發(fā)者更多的還是在以業(yè)務(wù)優(yōu)先,對于用戶隱私的保護(hù)仍處于比較初級的階段。隨著國家相關(guān)法律法規(guī)的落地,相信未來國家對于用戶隱私的保護(hù)要求會越來越嚴(yán)格,相關(guān)開發(fā)者要提前做好準(zhǔn)備。
51CTO:京東金融呼吁APP安全廠商對自己APP進(jìn)行監(jiān)督,是否有有效的監(jiān)測手段?操作的可行性如何?
梆梆安全技術(shù)總監(jiān)劉舒騏:通過成熟的App安全監(jiān)測監(jiān)管平臺能夠很有效實(shí)現(xiàn)對App的安全監(jiān)管,近年來,國家和地方相關(guān)監(jiān)管部門都在使用類似平臺產(chǎn)品對各行業(yè)App實(shí)施越來越嚴(yán)格的監(jiān)督檢查。這類平臺自動化程度較高、較為成熟,但梆梆安全建議對于用戶隱私方面的保護(hù),需要“人+技術(shù)”綜合進(jìn)行,特別是在App開發(fā)者的業(yè)務(wù)設(shè)計(jì)階段,就要保持最小權(quán)限原則,不必要的數(shù)據(jù)不取,通過技術(shù)檢測機(jī)制,自動化分析App索取的各類權(quán)限,對于意外的權(quán)限提出預(yù)警,同時(shí)檢測對于必要信息的獲取、存儲、傳輸是否遵循業(yè)界安全***實(shí)踐,多維度的保護(hù)用戶數(shù)據(jù)。內(nèi)外結(jié)合,避免類似事件的再次發(fā)生。
【51CTO原創(chuàng)稿件,合作站點(diǎn)轉(zhuǎn)載請注明原文作者和出處為51CTO.com】
