移动应用数据安全问题

中国信息通信研究院

移动应用存在过度索取个人权限问题

我国互联网产业普遍采用前端免费、后端获利的模式，随着技术演进，盈利的模式也从在线广告向基于大数据的定向推送、精准营销转型，用户个人信息正在成为企业角力的核心。免费的商业模式加剧了用户权益侵害的风险。

数据采集环节中的安全问题

根据隐私政策，移动应用运营者应告知用户个人信息收集的主要途径。移动应用应在用户首次注册、登录移动应用时以弹窗、超链接等明显方式提醒用户阅读隐私政策，明示告知用户收集使用个人信息的目的、方式、范围，使用户充分了解其个人信息如何被收集、存储、使用、传输、共享、销毁。部分移动应用存在用户首次登录时要求用户默许“打勾”同意隐私政策（即未要求用户主动打勾同意），导致隐私政策难以起到告知和真正具有法律效力的“同意”作用，存在违规收集个人数据行为。除了前面的默认打勾的违规行为，还包括如：通过“登录/注册即表示同意隐私政策”的方式强制用户同意，且未提供拒绝选项;移动应用仅展示隐私政策但未征询用户同意。

移动应用因业务功能需要向移动终端操作系统申请权限，收集使用用户个人信息。移动应用应当遵循最小够用原则，仅收集使用业务功能必需的最少类型和数量的个人信息。但部分移动应用申请权限数量多，所收集的个人信息远远超出全国信息安全标准化技术委员会发布的《网络安全实践指南——移动互联网应用基本业务功能必要信息范围》中规定的必要信息，存在超范围获取权限现象。其中包含违规申请“拍摄”“访问粗略定位”“访问精确定位”“读取外置存储器”“录音”等危险权限。移动应用过度索权现象成常态，为违规收集用户个人信息提供了渠道，一旦这些个人信息被不法分子获取滥用，将严重危害用户权益。

为了满足移动应用的快速迭代，解决成本效率问题，移动应用中嵌入大量第三方SDK。第三方SDK自身存在大量安全漏洞，包括http误用、SSL/TLS（安全套接字协议/安全传输层协议）不正确配置、敏感权限滥用、通过日志造成信息泄露、远程任意文件读取漏洞、越权调用未导出组件等。第三方SDK成为病毒传播新途径，不法分子通过制作、发布、吸引App嵌入含有恶意代码的第三方SDK，造成短时间、大范围的病毒传播和感染。第三方SDK隐蔽收集个人信息问题逐步显现，第三方SDK具备收集个人信息的能力。第三方SDK收集了哪些个人信息，用户往往难以感知，移动应用开发者也未必完全知悉，因而导致多起第三方SDK隐蔽收集个人信息的安全事件。

数据传输环节中的安全问题

移动应用客户端与服务器间进行个人敏感信息传输的过程中，如果没有采取有效的保护措施，存在用户个人敏感信息泄露和篡改的风险。使用HTTP协议进行明文个人敏感信息的传输，个人敏感信息在嗅探或者抓包等攻击中会被泄露。使用HTTPS请求时以URL（统一资源定位器）的方式传递包含明文个人敏感信息的参数，URL被转发或存储时存在泄露场景。使用HTTPS传输明文个人敏感信息，如SSL版本错误、使用不安全的密码算法、非合法CA证书等场景下，存在中间人攻击、降级攻击、协议版本漏洞等攻击场景，导致用户个人敏感信息的泄露和篡改。

数据存储环节中的安全问题

数据存储是移动应用运营过程中的关键环节，移动应用应优先在用户个人终端内加密存储所收集的个人信息，确保用户数据即使泄露也难以被破解。移动应用会在用户终端内存储运行日志、设备信息、用户信息等数据，存在明文存储用户个人信息的问题。移动应用的服务端同样会存储个人敏感信息，包含：密码、姓名、手机号码、邮箱、身份号、银行卡号等。这些个人敏感信息存储在数据库中，很容易受到外部Web攻击以及内部员工越权违规操作，需要对个人敏感信息进行加密存储。发生数据安全事件时，若未对个人敏感信息采取加密等保护措施，会对移动应用运营者和个人产生极大的风险。

数据备份是移动应用运营者日常运维过程中非常重要的一环，数据的丢失，对于移动应用运营者是灾难性打击。数据备份包含数据备份流程、数据备份策略、数据备份恢复等，必须严格执行到位。

数据使用環节中的安全问题

由于移动应用各行业属性及标准的不同，没有形成统一的数据分类分级方法或指引，对应数据分类分级的安全技术要求尚不完善。不同行业、不同场景的数据的差异化保护要求存在落实困难，难以全面覆盖。因此，移动应用企业在执行数据分类分级和安全防护实际工作中，多停留在纸面和理论层面，部门数据缺乏有效的安全防护措施，造成数据的非授权访问、数据泄露等风险发生。

移动应用运营者使用海量数据来支撑业务和辅助决策，这些数据在创造着巨大的商业价值。但是，诸如身份信息、银行账户信息、位置信息、医疗信息等重要的敏感信息在使用的过程中存在严重的安全风险。移动应用运营者需要减少敏感隐私数据被非法使用和获得的可能性，消除对敏感数据不必要的访问和复制。

对数据的访问操作授权机制是保障数据安全的重要防线。操作用户通过身份认证即可进入授权环节，此环节会根据权限控制表判断操作用户是否有权进行数据访问操作。企业内数据源众多，数据开放接口繁多，不可避免存在着数据授权粒度粗、数据访问权限过大、内部操作权限滥用等诸多问题。同时，企业缺乏有效的敏感数据的控制保护机制，如果不及时解决，数据的安全性难以充分保证。

移动应用运营过程中，需要对敏感数据的使用操作、运行维护、开放共享进行定期审计和制定异常行为告警规则，及时发现数据使用过程中的隐患和风险。目前移动应用运营者对数据的不当授权和第三方滥用，缺乏有效的监管审计机制。在数据应用过程中，无法得知某个用户对数据具体做了什么操作、是否有违规和误操作，难以及时预警和追溯审计定责。

数据开放共享环节中的安全问题

数据开放共享扩大了数据访问的范围，移动应用数据资源跨领域、企业共享使用十分频繁。如：互联网电商平台完成一次购物环节，订单信息需要共享给商家、仓库、物流、快递查询平台、短信供应商等多家企业。数据被各方调取、使用，或存储到本地，存在共享管理责任不明确、数据超范围共享、扩大数据暴露面等安全风险和隐患。相关企业仅从业务出发，未针对应用场景充分识别、评估影响，未对照法律法规和技术标准注意梳理共享开发要求的情况。任何一个数据使用方未按照要求共享数据、未严格控制数据空闲范围，或防护措施不到位，都可能导致数据被未授权访问、使用，进而引发数据泄露或滥用事件。

数据开放共享为企业带来商机与便利，也为数据安全保障工作带来压力。特别在开放场景下，数据平台API接口的应用部署面向外部用户群体庞大、性质复杂、需求不一等诸多挑战，需时刻警惕数据安全的外部威胁。包含：API漏洞导致数据被非法获取、网络爬虫通过API爬取大量数据、合作第三方非法留存接口数据、API请求参数易被非法篡改。应对外部威胁的同时，API接口也面临许多来自内部的风险挑战。API类型和数量随着业务发展而扩张，通常在设计初期未进行整体规划，缺乏统一规范，尚未形成体系化的安全管理机制。在身份验证、访问控制、数据脱敏、审计监控等方面存在安全缺陷。

数据销毁环节中的安全问题

账号注销功能是用户自主注销权的重要保障，也是民众关注的热点。移动应用账号常与用户银行卡、身份证等敏感信息相关联，若账号无法注销将导致用户个人敏感信息长期被运营者留存，增大数据泄露风险。部分App虽然提供了注销功能，但注销耗时长、流程烦琐，还需比注册时多提交额外非必要的个人敏感信息，如用户真实姓名、住址、邮箱、身份证照片等，且移动应用运营者并未明确额外信息在注销后是否会删除。相比简单的注册流程，为用户注销账号设置了大量不合理前置条件，阻碍用户行使注销权。无法注销账户或者为完成注销流程需要用户额外提交个人信息的行为，均存在数据过度留存风险。

部分移动应用使用云服务供应商，为了优化资源分配、实现定期备份，提高可用性，服务供应商会移动或复制数据，这样才能在多租户环境中优化资源的使用情况。且数据会在多个数据中心间共享，数据被数据所有者移动，或者是在公共云里被服务供应商移动，原本位置的数据应该要销毁，如果有任何数据残留，就有可能产生安全问题，也可能出現未经授权访问残留数据的问题。

编辑：张程  3567672799@qq.com