订个酒店,为什么手机的摄像头弹出了?
在线看个视频,为什么要读取位置信息?
网上买个东西,为什么要读取运动数据?
更关键的是,这些越界得来的数据,后来都拿去做了什么……
当下,随着移动互联网日益浸入大众生活的方方面面,网络安全环境却差强人意:风险提示的缺失,个人隐私保护的漏洞,大数据杀熟等一系列问题频频发生,网络安全环境可谓乱象丛生。
移动安全事件频发 多起案例警示用户
1、2018年6月,vivo发布了新机型vivo NEX,这款手机安装了升降式前置摄像头,在用户需要拍摄时镜头会升起,挺有互动感的设计。但在上市之后这款手机就开始出现了诡异的现象:明明没有自拍,摄像头却升起来“瞅”你一眼,再默默地缩回去。但这并非是手机故障,也不是“鬼故事”,而是部分App在不需要拍摄的时候照样获取了摄像头权限。虽然部分涉事App在后来的回应中表示不会真的去“偷窥”用户,但这仍属典型超出隐私授权范畴的越界获取隐私数据行为。
2、2018年8月,国内各地陆续发生了一些利用短信验证码冒用身份、窃取银行账户、金融类 APP 财产的案件。受害者睡了一觉,手机接到100多条验证码,支付宝、京东、关联银行卡的钱都被转走,京东还被开了白条功能,钱也被悄悄“借走”,受害者甚至莫名其妙“被网贷”,进而遭遇较大经济损失,对此警方已立案侦查。
3、2018年8月7日,成都人社局发布声明表示“社保掌上通”APP并未获得官方授权,大家每天参保的地方竟然是个“山寨货”。一时间各种山寨APP也被扒出来见光,不少用户反映在下载“山寨APP”后出现手机话费流失,通讯录隐私泄露,甚至存款流失的情况,而大部分手机用户如果没有明显的经济损失甚至都发现不了。这样“费尽心机”出现在我们眼前的“山寨APP”正在为黑产带来暴利。
尽管国家相关法律法规已经出台,但是许多App仍然存在滥用权限,收集用户敏感隐私数据的行为。数据显示,目前 九成App正越权监控用户的生活。2018上半年,Android端获取隐私权限的手机App占比已经达到99.9%,几乎所有的Android端手机App都会程度不同地获取隐私权限,iOS端获取手机隐私权限的App占比也在2018年激增至93.8%。其中,网络游戏类App获取隐私权限比例增幅最大,由2017年下半年的43.1%增长到2018年上半年的88.9%,增幅达45.8%。
互联网应用乱象丛生 如何规避网络风险
面对如此复杂的移动互联网环境,面对各种伪装的APP应用程序,用户该如何鉴别和规避?国家监管部门通过哪些渠道在规范移动互联网行业?日前,记者带着这样的疑问采访了国内专业的移动信息综合安全服务商——爱加密。
谈及目前国内移动应用安全市场存在哪些突出的问题,爱加密技术副总裁程智力介绍:“当下最突出的问题是移动应用的仿冒、盗版、钓鱼和被篡改问题。目前很多人下载的移动应用不是通过正规的移动应用市场去下载的,是通过一些网站、贴吧、甚至个人直接发布出来的,这种应用往往会携带许多恶意程序、木马、病毒,用户下载之后会带来极大的安全风险,还能通过一些恶意的应用控制手机的键盘,通过植入的木马程序把用户的信息窃取掉。比如有些人手机一直在身边,第二天发现银行的钱被转走了。出现这种问题的原因有两种可能,一是手机可能安装了含有恶意程序的APP,当用户在输入账号密码时将账号密码发送出去了,黑客重新绑定一个手机进而把钱转走,对于用户来说是没有任何感知的。二是APP在出厂时它所集成的SDK就有问题和风险。今年1月份有几百万APP感染了寄生推恶意SDK,可以直接在手机上获取权限,然后推送广告、窃取隐私信息,所以APP在出厂之前要做全面的安全风险检测和防护。
对于国家层面的监管,程智力表示,今年5月份欧盟通用数据保护条例(GDPR)开始实施,中国也配套实施了个人信息安全规范,对用户的信息输入、传输、存储、应用、销毁都有了明确要求,前期集中升级的APP都会弹出一个对话框,让用户重新同意用户协议,那个协议就是为了适应GDPR或者个人信息安全规范的要求,告知用户个人信息使用的权利和义务。以前在使用很多程序时会发现注册很容易,注销很难,用户可以不使用它,但是注册的信息永远都在服务提供商处。现在这种情况是非法的,现在的APP必须能够注册也能够注销。
问及现在APP上架是否需要备案,程智力介绍:原则上APP厂商需要向网信办、国家病毒应急处理中心、工信部、公安部等相关部门备案,这些部门都会检查APP资产和安全情况。此外,国家对P2P平台强制要求过等级保护三级认证,其中有一项就是APP必须要做加固和检测,做完加固才能满足上线要求。有些城市比如上海,APP安全检查是强制要求的,监管部门会核实备案情况和使用情况是否一致,检查有没有权限滥用、有没有个人信息泄露、有没有被篡改、有没有恶意的病毒、木马等现象,发现有问题的APP后会勒令下架和整改。
对于如何从开发者到用户共同构建一个移动安全生态,程智力认为,首先要做好“防护”,把握好入口,每一个APP上架都要有身份,通过检测合格后才能上架;其次是做好“检测”,发现仿冒身份的及时做出响应;再次是做好“监测”,对申报和使用的APP不是同一款时及时做出处理;此外,APP在动态运行过程中要实时监控有没有使用违法/违规的行为,发现有问题的勒令快速下架或整改。对于这一系列流程爱加密都有非常有效的解决方案,配合监管部门净化移动应用市场。
大数据赋能移动安全 网络环境趋向良性
非法违规APP既侵犯用户隐私信息及财产安全,也对APP企业及行业带来很大程度的威胁,为了进一步净化网络环境,保护合规APP的安全,助力监管部门规范市场,爱加密依托多年来积累的行业数据建立了“移动安全大数据平台”。
程智力介绍,建立“移动安全大数据平台”主要基于两个需求。
第一个需求是企业需要情报。企业不能只关心自己的风险,还要关注周围环境的安全,周围的风险也可能会影响自身业务,所以爱加密要通过大数据平台帮助企业去感知外部风险,通过分析外部的风向标对内部的风险去预测和分析,动态的调整风险的防护和策略。比如我是一家银行,通过爱加密大数据平台监测到银行业最近面临的风险威胁可能来自某个钓鱼或者恶意的软件,既然行业内的企业会遇到这样的风险,那么这家银行的APP即使目前没有遇到这个问题,那么以后遇到这个问题的风险也是很大的,在这个过程中我们会动态调整对这家银行的防护策略,加强风险系数防护能力,进而去规避企业在未来可能会遇到这种风险的几率,实现主动防御。
第二个需求是国家监管机构的需要。网络安全等同于国家安全,国家需要对整个网络环境进行全方位的监控,国家监管机构一方面要梳理所有APP的资产和安全情况,记录中国到底有多少合法以及非法的APP,这些APP是属于什么区域、什么行业,是谁在运营、IP地址是什么、里面有什么功能模块,里面的内容是否违规,有没有跨境数据传输等。另一方面是掌握所有APP安全维度的信息,有没有被攻击、有没有被破解、有没有违规、是否跟非法VPN/网络电话有关、是不是被钓鱼、有没有出现国家明令禁止行为等等,这都需要有一个大数据平台做技术支撑,辅助监管部门履行行政职能。
据悉,爱加密移动安全大数据平台是迄今为止国内保存最全面的APP大数据平台,数据总量超过1800万款APP,去掉重复数据之后有800+万款,数据主要源自爱加密覆盖的9亿移动终端和多年来的行业积累,能够实现完整的移动安全风险视图画像。目前,爱加密移动安全大数据平台已在十九大期间协助深圳市网监局提供互联网APP重点监查服务,并先后协助国家监管部门破获多起利用APP进行的网络犯罪事件,成功打掉非法窝点。
在新技术的推动下,移动互联网安全正在由混乱向有序发展,通过政府部门的监管、安全服务商的助推、APP开发运营单位风险意识的加强以及用户安全意识的提升,网络环境将逐步走向规范。与此同时,大数据、人工智能和网络安全的结合也将带来颠覆性、变革性影响,推动移动互联网安全市场良性、健康发展。
标签: