央视曝光APP偷窥乱象，“隐私记录功能”或将在手机操作系统中推广 – 作者:能信安科技nesun

在前一段时间央视新闻曝光的手机APP“偷窥”乱象调查，有APP十几分钟内访问照片和文件两万多次，涉及移动教学软件“优学院”、办公软件“TIM”等多款产品。

目前，工信部旗下中国信通院泰尔终端实验室已经对曝光的问题APP进行了检测。

中国信通院泰尔终端实验室信息安全部主任宁华在接受澎湃新闻记者采访中表示，一直以来，中国信通院都高度重视用户个人信息保护工作，在2019年年底开展的“App侵害用户权益行为专项整治行动”中，重点整治了“权限不给不让用”、“违规收集、使用用户个人信息”等8类问题。截至2020年5月，已对国内应用商店上架的4万余款App进行了技术检测和监督检查，公开通报72款App，下架3款App。

目前中国信通院对工信部最新约谈的APP检测发现，这些App主要存在的突出问题有四点：

一是私自收集个人信息；

二是频繁申请权限；

三是强制用户使用定向推送；

四是频繁自启动及链式启动等。

随着App侵害用户权益整治工作的不断深入，用户权益保护意识也在不断加强，与此同时，综合治理难度也在提升。

“一方面，目前应用商店上架的App多达400万款，很多App版本在持续不断更新，App总量在不断增加，目前监督检查和技术检测力量难以在短时间内做到全覆盖；另一方面，部分侵害用户权益问题隐蔽性强、技术复杂、涉及利益链条多，例如此次媒体曝光的App后台频繁调用用户权限、App间相互唤醒链式启动等问题。”

宁华表示，下一步，监管部门将大力推动移动App监管平台建设，通过技术手段，加大对侵害用户权益行为的整治力度。

隐私记录功能或成必须

隐私记录功能是操作系统记录移动App敏感行为，提供个人信息保护能力的技术手段之一。小米MIUI12中新增的“照明弹”、“拦截网”和“隐匿面具”三个功能是终端系统中隐私记录功能的一次突破性尝试，或许这一项功能会在未来手机操作系统中推广开来。

随着操作系统个人信息保护机制的推动和相关条款还需不断完善，终端系统对个人信息保护和APP授权管制手段将会有更多可能。

能信安移动终端安全检测系统

能信安移动终端安全检测系统（MDSCAN）是面对新的移动应用网络威胁形势研发出来的产品。

MDSCAN可以对被测设备的选定系统应用APP进行恶意代码检测，漏洞安全检测等，检测当前设备安装的系统应用安全状况；对被测设备的选定用户应用APP进行恶意代码检测，漏洞安全检测等，检测当前设备安装的用户应用安全状况，查看是否存在恶意扣费、隐私窃取、远程控制、流氓行为、资费消耗、恶意传播、系统破坏、诱骗欺诈等恶意行为。

还可以对被检测终端的系统应用、预装应用和用户安装的应用进行测试预处理，能够根据申请的权限情况依据权威算法综合计算被测客户端的控制力。因此APP控制力得分越高，手机被APP控制的风险也越高。

能够对被检测终端的系统应用、预装应用和用户安装的应用通过检测设备的恶意代码扫描引擎进行恶意代码检测，分析移动设备安装的应用是否存在已知的恶意代码程序。包括：恶意扣费、隐私窃取、远程控制、流氓行为、资费消耗、恶意传播、系统破坏、诱骗欺诈等。

来源：freebuf.com 2020-06-23 17:33:39 by: 能信安科技nesun