使用者隱私保護仍處於初級階段 APP安全監管勢在必行
【51CTO.com原創稿件】2月16日,有網友稱京東金融APP在安卓端存在竊取使用者敏感資訊的問題。隨後,京東金融稱排查後的確發現安卓版本存在快取手機截圖圖片問題,但絕無收集使用者隱私的操作,目前APP已定位問題並修復。
在智慧手機大行其道的今天,使用者隱私保護一直是一根非常敏感的神經,不論是國家監管部門還是應用服務提供商、APP安全公司都在努力營造一個安全可信賴的應用環境。截圖快取事件在短時間內迅速引發業內關注,業界也紛紛表達了自己的觀點,51CTO邀請梆梆安全技術總監劉舒騏談談對本次事件的看法。
51CTO:從使用者角度看,在APP應用時,應該有哪些APP應用的安全意識可以保護自己的隱私?
梆梆安全技術總監劉舒騏:首先,建議使用者只從可信任的應用分發渠道去下載、安裝手機應用。對於iOS使用者來講,AppStore是下載應用的不二之選,對於安卓使用者來講,從官網直接下載,通過主流應用商店下載應用都可以保障安全。避免安裝來歷不明的應用,防止因安裝了含有惡意程式碼的應用造成隱私資訊丟失。
其次,現在的手機作業系統均有許可權管理系統,通過許可權管理可以限制應用訪問使用者的敏感資訊,比如攝像頭、麥克風、通訊錄、定位等,對於不常使用的許可權要進行關閉,在一定程度上可以保護自己的隱私。
51CTO:從APP應用角度看,目前市場是否有針對竊取APP使用者隱私現象的監測功能呢?從技術角度如何操作?目前APP應用廠商普遍對於使用者隱私的保護是否重視?
梆梆安全技術總監劉舒騏:應用安全測評平臺之類的產品已經可以自動化的分析App許可權呼叫情況,基於汙點跟蹤等技術可以定位到具體哪行程式碼呼叫了哪一類許可權,便於人工二次稽核App的隱私資料呼叫情況。我國在《GB/T 35273-2017 資訊保安技術個人資訊保安規範》中明確了何為個人資訊,何為個人敏感資訊,一些機構、組織也在定期通過人工+自動化監測的方式分析市場上應用對於個人資訊的獲取情況。但從公開媒體報道以及梆梆安全監測的情況來看,總體而言國內的App開發者更多的還是在以業務優先,對於使用者隱私的保護仍處於比較初級的階段。隨著國家相關法律法規的落地,相信未來國家對於使用者隱私的保護要求會越來越嚴格,相關開發者要提前做好準備。
51CTO:京東金融呼籲APP安全廠商對自己APP進行監督,是否有有效的監測手段?操作的可行性如何?
梆梆安全技術總監劉舒騏:通過成熟的App安全監測監管平臺能夠很有效實現對App的安全監管,近年來,國家和地方相關監管部門都在使用類似平臺產品對各行業App實施越來越嚴格的監督檢查。這類平臺自動化程度較高、較為成熟,但梆梆安全建議對於使用者隱私方面的保護,需要“人+技術”綜合進行,特別是在App開發者的業務設計階段,就要保持最小許可權原則,不必要的資料不取,通過技術檢測機制,自動化分析App索取的各類許可權,對於意外的許可權提出預警,同時檢測對於必要資訊的獲取、儲存、傳輸是否遵循業界安全最佳實踐,多維度的保護使用者資料。內外結合,避免類似事件的再次發生。
【51CTO原創稿件,合作站點轉載請註明原文作者和出處為51CTO.com】
【責任編輯:周雪 TEL:(010)68476606】