随着GB/T 35273-2020《信息安全技术 个人信息安全规范》正式发布,净网2020治理行动不断升级,对于移动应用个人信息保护的关注又提升到了一个新高度。疫情发生以来,个人隐私信息泄露的事件层出不穷,在天津开展的疫情防控App违法违规专项治理行动中,第一期通报了7款疫情防控App违规行为,主要聚焦在收集使用个人信息问题上。这些问题不仅存在于仓促上线的各类疫情防控程序中,而且遍布在整个移动应用市场。
移动应用权限屡遭滥用,重拳出击监管移动应用
当前,移动应用已经完全融入到每个人的生活当中,而针对移动应用敏感权限的滥用也随之愈演愈烈,导致大量用户个人隐私数据被窃取、贩卖,出现了大量的诈骗、勒索、流氓广告、账号密码盗窃等恶意行为,给用户隐私与财产安全带来了严重隐患。
针对愈演愈烈的移动应用权限滥用等现象,国家及有关监管机构重拳出击,发布了一系列的相关法律法规和监管标准,对个人信息保护提出专门要求,规范了个人信息相关概念及个人信息的保存、使用标准,全面打击针对个人信息安全的犯罪活动。自2019年1月四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,启动App违法违规收集、使用个人信息的2019年专项治理行动以来,2019年因个人信息违规被通报整改的应用有数百款,其中不乏知名应用。
第三方SDK存在安全隐患,让开发者喜忧参半
App合规检测的目的一方面是为了避免被通报整改后影响业务正常稳定运行,另一方面也需要保证用户的个人信息安全,防止应用或第三方SDK通过未授权权限或访问行为采集、使用未经授权的个人信息。
为了提升开发效率,开发者往往会在移动应用里嵌入多种第三方SDK,SDK的安全水平良莠不齐,可能存在安全漏洞导致风险,更有甚者,部分恶意第三方SDK还存在“后门”,专门用来收集用户信息或执行攻击操作,市场上不乏有App因SDK安全问题而被下架:
l “有米”SDK曾被发现收集用户个人身份信息,包括Apple ID邮件地址、设备识别码,以及安装在手机上的应用列表信息。最后,使用有米SDK的256款应用被苹果商店下架。
l “个信”SDK曾被发现内置后门,在未经用户允许的情况下收集用户隐私数据,获取用户设备中的应用安装列表。嵌入该SDK的500多款应用的总下载量超过1亿次,最终全部被Google Play下架。
五大优势提升应用合规检测能力,还原事实真相
对于上述问题,梆梆安全应用行为安全检测平台帮助开发者透视应用行为安全,进行应用合规保护。
1、发现真实使用的移动应用权限
普通的移动应用分析工具可以从静态层面对应用权限进行扫描,但是对于通过代码加密、反射等方式隐藏的代码却无法扫描,当然也无法发现隐藏的权限申请动作,也很难有效判断权限的真正使用情况,例如App有可能在实际运行中出现了发送通讯录的行为,但是开发者可能对此却一无所知。
梆梆安全应用行为安全检测平台,借助真机执行环境对移动应用进行检测,在真实执行过程中动态检测权限的实际使用情况,发现常规检测状态下难以发现的行为,帮助企业和开发者快速确认权限是否存在滥用情况。
2、审计网络连接行为
梆梆安全应用行为安全检测平台,能够对应用自身或其集成的SDK进行各类行为分析,能够在真机环境下,识别并采集几乎全部的网络访问行为,无论是静态访问还是动态访问,均无法逃过动态网络行为检测。
3、不依赖特征
由于应用行为安全检测平台审计的是应用真实的权限访问行为、网络连接行为,可以对没有既定威胁特征信息、检测逻辑的行为进行实际检测,发现其中敏感、攻击行为。
4、深度问题定位能力
应用行为安全检测平台通过对应用中涉及的SDK等进行成分分析,及详细的行为时间轨迹记录,可以更好地追踪各个行为主体对权限的使用情况,明确异常行为具体由哪些SDK发出,便于后续修复。
5、傻瓜式操作,使用方法简单
应用行为安全检测平台不需要使用人员掌握专业渗透测试技术,在沙箱中安装待测试应用,并正常使用应用即可同步审计应用运行时的各种行为,使用方法简单。
守好应用合规防线,营造清朗健康的网络空间
无论是安全检测机构还是大型企业都面临大量App的安全检测,尤其是大型企业,在当前数字化转型中业务越来越依赖于各式各样的应用,确保这些应用的合规运行是守护好业务发展的第一道防线。
l 大型企业:大型企业在外包、集成SDK、使用开源框架、多渠道分发等场景下,可使用应用行为安全检测平台进行动态安全监测,提前发现未授权的权限使用和访问行为,避免出现各类违规行为,尤其是个人信息相关的合规问题,降低企业业务安全风险。
l 安全检测机构:通过应用行为安全检测平台的安全沙箱进行智能分析,比纯人工渗透测试的效率高出数倍,极大提升权限和访问行为的检测效率。
大数据时代,每个人在互联网中的画像都是“数据化”的。如何平衡好业务发展和隐私安全是当前面临的主要问题。随着个人信息保护法律法规标准的落地实施,“回头看”成为大部分开发者需要做的事情,从个人隐私政策到个人信息收集,需要做到从野蛮生长到秩序成长,不断提升企业在个人信息保护方面的相关能力,使得最终用户能够安心使用企业所提供的服务。
来源:freebuf.com 2020-04-20 10:24:58 by: 梆梆安全
请登录后发表评论
注册