◆亓泽瑜 张敏 赵首花 张赏雪 孙蕊刚
移动APP应用的信息安全问题及优化建议
◆亓泽瑜 张敏 赵首花 张赏雪 孙蕊刚
(陕西省网络与信息安全测评中心 陕西 710065)
移动互联网应用程序(APPlication,简称APP),是指通过下载安装的方式并在移动智能设备上向用户提供各类服务的应用软件。随着智能手机的普及,APP的快速发展成了丰富用户生活的主要手段。但是,APP在为用户提供网络服务的同时,违法违规收集使用个人信息的问题也十分突出,如强制授权、过度窃取、超范围收集个人信息等,不仅让用户的个人信息和利益受到危害,也给国家安全产生了严重威胁,移动APP应用存在的信息安全问题不容轻视。
信息安全;移动APP;隐私保护
据CNCERT统计,我国境内应用商店数量已超过200家,上架APP近500万款,下载总量超过万亿次,还在以指数形式递增[1]。在庞大的用户群体和移动设备背景下,移动手机用户平均使用的APP已经超过10款,例如微信、淘宝、浏览器、安全卫士、应用商店、音乐等,利用APP进行购物支付、消遣娱乐,可见,移动APP的发展及普及将逐步代替传统的网站、系统,面向社会提供服务。因此,对智能设备的依赖性越来越强,留下的个人操作足迹和信息数据越来越丰富,形成的个人信息数据越来越全面。大面积安装、使用APP,悄无声息地对个人安全造成了不利影响。
正因APP的市场前景良好,开发门槛低,导致APP市场鱼龙混杂,良莠不齐。在设计与制作APP时,运维开发者并没有将信息安全作为软件生命周期中的环节,所以APP应用业务逻辑处理效果不符合实际要求[2]。另外,应用中的集成功能模块也存在缺陷,使得应用技术中对于信息安全的处理不能达到要求。除此之外,APP在上线前并没有进行安全测试,APP运营商往往因技术专利等原因,拒绝提供源代码,这就使得应用中可能存在后门或隐蔽通道。
目前,用户在安装APP时,大部分都需要获取用户权限,如果授权深度浅或禁止授权,APP将无法正常使用。例如,各类APP具备获取实时物理位置的定位功能,其智能推荐服务通过大数据分析,在用户以往消费偏好、地理区域等方面的数据基础上作出判断,可以使用户获得更良好的体验。但是展现个人的位置信息,会使个人信息资料泄露,有可能会为个人的人身安全留下极大隐患。有些APP不需要获取权限就应当正常使用,然而,APP往往未告知用户获取权限和收集信息的用途,“越界”“过度”甚至强制索要用户权限,其中涉及敏感隐私信息,如身份证号、银行卡号、手机号码等,而APP自身存在的安全缺陷,会导致个人信息泄露的风险。个别无良APP运营商甚至将注册用户的信息作为资源进行售卖获取灰色收入,其隐藏的危害可能会对用户造成更大的伤害。
移动APP应用行业未形成完善的管理法规体系,相关管理部门职责不清,未明确移动APP的审核和监督执法权,该行业更重视技术的先进性和前瞻性,因而传统的信息安全问题并不一定适用于移动APP的管理,从而造成恶性APP应用数量增多,严重制约安全管理工作。同时,缺乏对APP运营商的法律意识的教育,导致APP运营商的法律概念淡薄,没有意识到隐私泄露造成的严重后果。
此外,APP审核不严格,导致用户下载盗版APP。应用商店作为用户下载APP的主要渠道,理应保障用户的合法权益,对准入的APP进行恶意代码检测、隐私泄露检查,并进行漏洞扫描、人工核查等操作,确保APP的安全使用。但部分应用商店未履行相关法律法规对APP的审核上线要求,使得个别明显违法违规的APP能够长期存在并可下载使用。越来越多的用户开始关注手机应用是否会泄露隐私信息。而大部分安全检测软件只能简单地给出应用是否为恶意、恶意程度如何,无法进一步提供给用户更深层次的信息。
制定APP行业标准,规范体系,统一管理[3]。APP运营商应主动提交设计方案,告知APP的主要功能及获取权限的用途。国家有关部门对APP开发阶段的信息技术进行严格监理,APP上线前需进行安全测试,其测试内容中要包含恶意代码检测和源代码审计等。同时采用人工核查的方式,对应用程序的具体功能进行分辨。通过核实,即无安全问题以及其他标准问题方可进入应用商店。对安全审查不合格的APP不可发布上线,且定期抽查,对发现存在安全隐患的APP要及时下架处理并发布权威公告,构建良好的安全生态。
移动APP本身的完善也是十分重要的,通过研究解决终端安全问题,进而提升终端安全性,在研发APP的过程中,融入信息安全技术,提高应用的安全性,把隐患拒之网外。通过采用数字签名技术,保证数据在网络中传输过程中的完整性和保密性,避免网络不法分子利用攻击手段窃取信息。同时,基于权限最小化和权限分离原则,采用有效技术手段,对收集的用户信息集中加密存储于后台中,使用高安全级别密码策略,定期更换密码,且设置专人管理,防止个人信息泄露。
网络用户群体较大,需要进行信息安全的知识宣传,使移动用户群体充分认识到信息安全的作用。加强安全防范意识,主动接受网络安全、信息安全、数据安全等方面的知识,掌握基本的安全常识,提高警惕,培养良好的使用习惯,深刻认识到APP存在安全隐患,从正规渠道下载APP,防止下载高仿、不安全应用,安装APP时仔细阅读协议,对于应用获取的权限,选择性地进行设置,坚守“最小权限化”。
总而言之,要想从根本上解决移动APP应用的信息安全问题,事关个人、国家和社会各界,必须要高度重视、共同参与,从法律法规体系制定、应用安全技术开发、个人正确操作使用等多方向、多层次建立安全体系,保护个人电子资产,规范移动APP应用市场,实现健康发展。
[1]周凯.移动智能终端APP用户隐私数据的防范探讨[J].科学咨询(科技·管理),2016(02):54-55.
[2]陶志强.移动APP的信息安全与防护方式[J].电子技术与软件工程,2019(08):203.
[3]周凯.移动智能终端APP用户隐私数据的防范探讨[J].科学咨询(科技·管理),2016(02):54-55.