近日,某知名公司家教机App内含涉黄低俗内容一事得到监管和社会的高度关注。北京西城区人民检察院联合区教委,就教育类App中存在的涉黄、私自收集个人信息以及其他问题开展相关排查工作。中央网信办也于7月13日下发通知,开展为期2个月的“清朗”未成年人暑期网络环境专项整治。
随着信息化服务的快速普及,移动App已经逐渐成为人们最重要的互联网入口,过度索取、不给权限不让用、超范围收集个人信息、隐私政策不透明、注销难等诸多App安全合规问题随之而生。小梆通过5个案例带大家看看App安全合规的重要性:
1、App重大安全漏洞,导致客户的资金和个人信息泄露问题;
1月9日,以色列安全公司曝出某创意短视频社交软件存在严重安全漏洞,黑客可以利用这些漏洞操纵用户数据并泄露个人信息,导致该App在多国强制下架。
http://finance.eastmoney.com/a/202001091352052774.html
2、App隐私数据违规采集
电商平台让网络消费正式成为潮牌、奢侈品的一种消费模式。去年底,一位潮牌电商用户在收到鞋子后在包装内发现一张淘宝店的宣传卡,从而爆出平台有无真假鉴别的质疑。随后,国家计算机病毒应急处理中心(CVERC)在去年底针对多款服饰、生活方式类App开展电商平台整治行动,发现并通报10款电商App涉嫌违规采集个人隐私信息。
https://shandong.hexun.com/2019-11-13/199253325.html
3、App盗版仿冒
2019年,某电商平台遭遇了App的盗版仿冒事件。这导致该平台7月份的交易流量下降,公司也受到一些网络水军攻击,信誉权受损。尽管警方已发布相关通告,有一部分被骗消费者因投诉无门,仍然要求该平台予以赔偿。
http://www.cbskc.cn/20191104/206239.html
4、App内容违规
南方都市报报道,某知名公司家教机的应用商店可以下载一款内含涉黄低俗内容的App,该App内充斥暧昧词汇、语言暴力、少男少女亲吻配图,甚至还有诱导拍自拍照、威胁未成年人等低俗信息。
https://www.sohu.com/a/407557656_161795
5、App境外数据传输
2019年9月15日,国家计算机病毒应急处理中心(CVERC)常务副主任陈建民在“2019年网络安全专题发布会”上提出某推送平台SDK直接向新加坡传送敏感数据,某支付平台则直接向香港传输敏感数据。
https://tieba.baidu.com/p/6258197706
近年来,国家层面高度重视移动App的监管合规工作。国家互联网信息办公室、工业和信息化部、公安部、市场监管总局等四部门联合印发了《App违法违规收集使用个人信息行为认定方法》,明确规定:在征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限;或频繁征求用户同意、干扰用户正常使用等行为,将被认定为“未经用户同意收集使用个人信息”。教育部也于2019年开始教育行业App的监管备案和审核工作,大力加强行业的App安全合规。
作为移动安全的倡导者与先行者,梆梆安全高度重视移动App的监管合规问题并提出面向不同受众的监管合规解决方案。
一、面向监管机构的移动应用监管合规全流程解决方案
1、注册报备
通过让管辖区域或行业内的企业登录平台进行账号申请、注册,全面普查和掌握管辖区域或行业范围内移动应用运营企业的相关信息,同时提交企业自身的App,通过企业自查,形成较为全面的资产明细清单。
2、发布审核
通过对接自动化+人工检测引擎,对报备应用进行全面及多方位检测,及时发现应用漏洞、境外数据传输、个人隐私违规采集、内容违规等问题,在应用发布前及时发现和解决安全问题,对发现问题的应用及时通报整改。
3、持续监管
通过对国内应用市场的持续监控,及时发现管辖范围内应用出现的以下问题:
a.未经审核应用上线运行:通过与已报备应用数据进行关联分析,及时发现未经审核应用的上线运行情况;
b.审核与上线应用不一致:通过代码指纹等技术,及时发现报备应用与上线应用不一致情况;
c.上线应用安全问题:通过自动化分析引擎与人工相结合的方式,及时发现上线后应用的安全状况,及时通报企业进行下架处置和整改;
对全渠道应用的监控分析,能够辅助形成监管工作的完整闭环,有效避免未经审核上线、上线与报备不一致、上线后应用安全等问题。
二、面向企业的移动应用安全合规解决方案
1、安全合规咨询
梆梆安全帮助企业梳理App检测流程及检测点解读,为企业提供安全合规问题修复咨询服务及复查服务。
2、安全合规检测
梆梆安全的专业安全服务团队联合安全服务顾问、资深安全专家根据国家监管单位安全标准、行业安全标准等内容利用自动化测试工具对App进行合规性测试后出具清晰详实的测试报告及解决方案,并协助客户进行合规整改,有效规避安全合规检查风险。
3、安全合规防护
为满足等级保护要求,提高App发布后的抗攻击能力,梆梆安全提供线上的Android应用的加固防护服务以及iOS应用安全保护服务,保护企业的知识产权不被窃取,业务逻辑不外泄,用户个人数据不丢失。
4、持续的安全合规监控
为企业提供7*24小时的全渠道App监测服务,帮助企业持续监测是否新增与其相关的新增虚假、仿冒App或钓鱼、盗版App。
App作为当前数字化转型中承载业务的重要载体,年初某视频会议应用接连被爆重大安全漏洞,导致被禁用的事件再次敲响了业务合规的警钟,315曝光两家公司SDK窃取用户隐私信息,超50个App因为SDK安全问题被曝光下架,App安全合规性将直接影响业务的发展。
梆梆安全在多年的实践与积累中,构建了完整的泛应用安全保护体系,设计开发了包括检测、加固、管控、监测在内的一体化安全服务平台,覆盖Android、iOS、H5、服务端、IoT、AI、U3D等主要场景,服务于智能生活的方方面面,如智慧金融、智慧政务、智能交通、智慧能源等。
来源:freebuf.com 2020-07-29 15:18:27 by: 梆梆安全
请登录后发表评论
注册