2021年移动安全形势分析与2022年研判
日期:2022年05月09日 阅:75
网络安全领域,我国出台了《网络安全法》,明确了网络安全管理基本要求,并在此之下推动制定相关配套规则。
数据治理领域,我国出台了《个人信息保护法》,确立了个人信息保护制度,为后续个人信息保护和数据治理工作奠定了基础。网信办发布《网络数据安全管理条例(征求意见稿)》,对网络数据处理活动中涉及的个人信息保护、重要数据安全管理、跨境数据处理等活动进行了细化规定。
关键信息基础设施方面,我国出台了《关键信息基础设施安全保护条例》,作为《网络安全法》的重要配套立法,为下一步加强关键信息基础设施安全保护工作提供了重要法治保障。
工信部、国家网信办、公安部联合印发的《网络产品安全漏洞管理规定》,以及工信部发布的《关于加强车联网网络安全和数据安全工作的通知》,则分别从网络产品全周期漏洞风险跟踪、车联网网络安全和数据安全角度提出了具体规则和基本要求。
App在促进经济社会发展、服务民生等方面发挥了不可替代的作用。但与此同时,App超范围收集个人信息、强制授权、过度索权等现象仍大量存在,违法违规使用个人信息问题仍十分突出。截止2021年10月底,国内主流应用商店可下载的在架活跃App数量达到272万款,相比去年的267万款增加5万款,其中Android App 136万款,iOS App 136万款。
国家网信办、工信部、公安部、国家市场监督管理总局四部门联合印发的《常见类型移动互联网应用程序必要个人信息范围规定》,明确了39类App的基本功能及保障其正常运行所需收集的个人信息的具体类型及使用要求。
工信部、公安部、国家市场监督管理总局联合制定的《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》,则进一步在具体应用场景中细化了“知情同意”、“最小必要”的认定标准,明确了违法行为的处置措施。
2021年的3・15晚会的短片中,技术人员检测了一款名为“手机管理Pro”的APP,发现其表面是在进行清理手机垃圾,实质上则暗中获取用户手机信息,短短8.75秒的时间即读取手机应用安装列表800多次,读取移动用户识别码IMSI 1300多次,读取手机GPS定位50多次。不断收集用户信息,进行用户画像,广告精准推送,赚取点击量,获取广告分成,侵害用户权益。用户手机上存储的个人信息被各种APP觊觎,个人信息在网络空间的合法权益遭到挑战且呈现愈演愈烈的趋势,APP强制频繁索权,违法违规收集使用个人信息问题普遍存在,亟需整治。
作为需要联网才能正常工作的移动应用,采集网络权限、系统权限以及WiFi权限比较正常,但移动应用是否应该采集短信、电话以及位置等“危险权限”,则需要根据应用本身的合法业务需求进行分析。基于国家标准《信息安全技术 个人信息安全规范》、《App违法违规收集使用个人信息行为认定方法》、《常见类型移动互联网应用程序必要个人信息范围规定》等相关要求,我们从全国的Android APP中随机抽取50,215款进行合规引擎分析,检测出47.92%的应用涉及隐私违规现象,如:无隐私政策、频繁申请权限、私自收集个人信息等。各违规类型占比情况如下图所示:
个人隐私违规类型占比情况
从APP类型来看,金融理财类APP存在个人隐私违规问题最多,占检测总量的16.2%,其中五成以上的金融理财类APP涉及频繁申请权限问题;实用工具类APP占检测总量的13.05%,位居第二,教育学习类APP占检测总量的10.57%,位居第三。涉及个人隐私违规APP各类型占比如下图所示:
个人隐私违规APP TOP10类型
在数字经济时代,数据的开放和共享对全球经济增长具有较强的驱动作用。根据美国布鲁金斯学会测算,全球数据跨境流动对全球GDP增长的推动作用已经超过贸易和投资。中国作为“数据大国”,保证数据出境安全,不仅是提高数字经济全球竞争力的基础,更是守护国家安全的保障。
2021年10月29日,国家互联网信息办公室(以下简称“网信办”)发布了《数据出境安全评估办法(征求意见稿)》并公开征求意见。《征求意见稿》旨在细化和落实《网络安全法》第37条、《数据安全法》第31条、《个人信息保护法》第36,38,40条等法律中有关数据出境的规定,均强调对个人信息和重要数据出境安全的保护,充分体现了我国通过加强数据跨境监管,维护国家安全的监管思路。
我们从全国的Android APP中随机抽取50,215款Android APP进行境外数据传输引擎分析,发现2,463款应用存在往境外的IP传输数据的情况,从统计数据来看发往美国的最多,占比80.11%,其次是发往日本,占比5.16%,不论是移动应用程序自身程序代码的数据外发行为,还是第三方SDK的境外数据外发行为,都建议监管部门加强对数据境外外发行为的监管,尤其是发往美国的数据。
数据传输至境外国家排行TOP10
从APP类型来看,实用工具类APP往境外IP传输数据情况最多,占境外传输APP总量的14.05%,其次为游戏娱乐类APP,占比13.97%,金融理财类APP占境外传输APP总量的11.21%,位列第三。
境外传输APP各类型排行TOP10
我们从程序代码安全、本地数据安全、网络传输安全、服务交互安全、安全漏洞等5个维度,对实用工具类、生活服务类、游戏娱乐类等多个类别共计300款主流App进行了安全性检测。检测结果显示,以上类型应用的Android版本仍存在较大安全风险,安全评分较低的App占比约36%,评分较高的App仅占比约28%;iOS版本的安全性相对较高,评分较低的App占比约7.5%,超过78%的iOS App安全评分较高。
Android App安全性检测结果统计
iOS App安全性检测结果统计
我们从全国的Android APP中随机抽取了209,816款进行漏洞检测发现,存在漏洞威胁的APP为93,393个,即44.51%以上的App存在漏洞风险。存在不同风险等级漏洞的App占比如下(同一个应用可能存在多个等级的漏洞):
不同风险等级漏洞的App占比
我们对不同类型的漏洞进行了统计,应用漏洞数量排名前三的类型分别为应用数据任意备份风险、Java代码反编译风险以及Janus签名机制漏洞。各漏洞类型占比情况如下图所示:
以上所示的大部分安全漏洞是可以通过使用商业版应用加固方案解决的,也从另外一个层面说明应用的运营者和开发者重功能、轻安全防护,安全意识不足。
从APP类型来看,实用工具类APP存在漏洞风险最多,占漏洞APP总量的13.91%,其次为生活服务类APP,占比12.17%,教育学习类APP位居第三,占比10.98%,漏洞数量排名前十的类型如下图所示:
存在漏洞的APP TOP10类型
2021年6月,国家版权局、国家互联网信息办公室、工业和信息化部、公安部联合启动打击网络侵权盗版“剑网2021”专项行动,严厉打击短视频、网络直播、体育赛事、在线教育等领域的侵权盗版行为,据国家版权局官方最新信息显示,截止9月底,各级版权执法监管部门查办网络侵权案件445件,关闭侵权盗版网站(APP)245个,处置删除侵权盗版链接61.83万条。所谓盗版APP,指未经版权所有人同意或授权的情况下,利用非法手段在原APP中加入恶意代码,进行二次发布,造成用户信息泄露、手机感染病毒或者其他安全危害的APP。
从全国的Android APP中随机抽取1,028款Android APP进行盗版/仿冒引擎分析,检测出盗版/仿冒APP 1,028个,其中,实用工具、游戏娱乐、教育学习类应用是山寨APP的重灾区,各类型占比情况如下图所示:
盗版/仿冒APP各类型占比情况
纵观全国移动应用安全现状,应用漏洞、隐私违规问题最为突出,盗版仿冒应用、数据境外传输等安全威胁同样不容小觑,如何应对各类风险需要各方力量共同参与。
作为App开发和运营企业应当加强对自身APP的安全防护并严格遵守《网络安全法》、《数据安全法》和《个人信息保护法》等法律法规,履行应尽责任和义务,认真落实国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合制定的《常见类型移动互联网应用程序必要个人信息范围规定》。
作为监管部门应当针对移动APP不同类型的威胁及时更新相应的法律法规,加强对应用分发平台的监管,督促应用商店落实好平台责任,强化APP上架审核机制,加强监管App运营者过度索取用户信息的行为,加大违法违规收集使用个人信息行为发现、曝光和处置力度。
对于用户而言,需要提高安全意识,下载APP要认准官方网站或者主流应用市场,警惕陌生链接、二维码等。另外,要注意保护个人隐私,防止信息泄露造成财产损失。
App个人信息保护与数据安全治理面临新挑战
随着移动互联产业的兴起以及新冠疫情的持续影响,移动应用领域业务场景和技术产品发展迅猛,移动应用产业链逐步成熟。出于降低获客成本、提高用户留存等目的,根据用户需求不断叠加消费场景的超级App模式开始崛起,SDK、API、人脸识别等技术逐渐成为移动业务价值拓展的重要组成部分。然而,在新技术快速发展、应用场景不断扩展、数据成为社会发展重要生产要素的同时,安全风险也呈多样化发展趋势,个人隐私数据泄漏、技术滥用等造成的安全问题亟待解决。
SDK因其多样性、灵活性等特点,广泛应用于App中,一旦出现问题,不仅影响宿主App的业务安全和数据安全,严重的甚至可能影响移动应用系统生态安全。SDK的安全风险与合规问题已逐渐成为新的关注点,针对其可能存在的安全漏洞、恶意行为、任意采集使用个人信息等问题的安全测评方案、评价指标体系、政策标准等已在持续研究和推进。未来,针对SDK的安全合规监管将进一步收严,SDK的开发、集成企业面临更大挑战。
API技术在通信、金融、交通等诸多领域得到广泛应用,涉及包含敏感信息、重要数据在内的数据传输、操作。近年来,国内外发生多起由于API漏洞被恶意攻击或安全管理疏漏导致的数据安全事件,对相关企业和用户权益造成严重伤害。如何防范由API导致的越权调用、窃听篡改、数据爬取、恶意留存等问题,需要调动各界力量,建立健全API生命周期各环节的标准规范、管理制度、安全措施、防护体系等,共同营造良好发展生态。
随着人脸识别技术的迅速发展,“刷脸”逐渐成为新时期生物识别技术应用的主要领域,其所带来的个人信息保护问题也日益凸显。“3.15晚会”曝光的人脸识别技术滥用乱象以及“我国人脸识别第一案”,均体现出人脸识别技术广泛应用与个人信息保护之间的矛盾日益尖锐。人脸识别技术在快速发展、深入社会、提升身份认证便捷度和效率的同时,所引发的人脸数据泄漏、滥用、深度伪造等问题仍需联合行业各方力量,加快研制、完善相关安全系列标准,并配套相应的必要性评估与安全防控措施,提升App整体数据安全保护水平。
梆梆安全正在以当今网络重心移动互联网为源点,逐渐将安全防护能力向传统互联网以及未来物联网延伸,并参考共享经济模式创新性提出“共享安全”理念,围绕业务安全、数据安全帮助用户制定网络安全建设规划,构筑覆盖全网络环境的新型信息安全整体纵深防御系统。