又是一年“315消費者權益日”,本次備受矚目的2022年央視“315晚會”圍繞著食品安全、醫療安全、網路資訊保安等多個領域展開,值得關注的是,今年的315晚會首次設立315資訊保安實驗室,重點關注網路資訊保安、個人隱私保護和兒童互動產品的資訊保安。
免費Wifi是餡餅還是陷阱
今年的315晚會首次設立315資訊保安實驗室,“免費Wifi”成了第一件測試品。315資訊保安實驗室對“免費Wifi連線”服務展開專門測試,測試人員嘗試了所有羅列的Wifi資源,沒有一個能連上。連線測試結束後,兩個陌生的應用程式正自動下載到手機裡,連線時點選過的“確認”和“開啟”字樣的彈窗,都是偽裝的廣告連結。最終,使用者手機裡多了一堆莫名其妙的應用程式。這類免費Wifi的應用程式還在後臺大量違規收集使用者資訊。
一款叫“雷達Wifi”的應用程式,一天之內收集測試手機的位置資訊,竟然高達67899次。這意味著什麼?就是使用者從早到晚、包括睡覺,這些應用程式都在不斷定位,使用者的生活軌跡、行蹤,甚至是職業、喜好都會被曝光。更可怕的是,多了這些應用程式後,手機間歇性抽瘋風,各種廣告自動彈出,不看夠5秒還關不上,使用者躲也躲不掉。
瀏覽網頁 就能洩露手機號
手機只是瀏覽了某些網站,就接到推銷電話?杭州以漁公司總經理介紹,每個人手機上對應著一個MAC號(手機識別碼)匹配該手機,該公司以每條三元的費用出售此類資料。融營通訊公司馮經理介紹,很多電銷公司透過他們的系統撥打騷擾電話,該系統可隱藏真正的主叫號碼,防止被投訴,該公司一年純話費收入近一個億。容聯七陌是上市企業容聯雲通訊旗下子公司,為電銷公司提供外呼系統和線路,應對使用者的投訴和監管。
低配兒童智慧手錶成為行走偷窺器
315資訊保安實驗室工程師對一款10萬+銷量的兒童智慧手錶進行測試,將惡意程式植入手錶後,工程師能夠對孩子實時定位,不間斷收集移動軌跡,圈定活動範圍。為什麼兒童智慧手錶會成為一雙時刻偷窺的眼睛?測試人員發現,該手機使用的安卓4.4作業系統距今已近10年。廠家出於壓低成本考慮,選用低版本作業系統,意味著在這樣的兒童手錶上,各種APP安裝後,無需使用者授權就能開啟多種敏感許可權,輕易獲得孩子的位置、人臉影像、錄音等隱私資訊,還能實時聽到孩子和家人的聊天內容。孩子的安全隱患可想而知。
軟體平臺強迫捆綁下載
315資訊保安實驗室檢測發現,PC6、騰牛網、ZOL等軟體下載平臺使用百助旗下公司研發的下載器,將其標註為“高速下載”,以誘導點選。
使用者選擇後,這些下載器將預設勾選其他軟體同時下載,且使用者難以找到設定得極為隱蔽的拒絕選項。
下載器還會跳出彈窗廣告,將軟體下載連結設定為關閉按鈕,使用者如習慣性地點選右上角試圖關閉廣告,下載器將會靜默下載應用軟體。
自2019年起,工信部已持續開展App侵害使用者權益整治行動近3年,2021年全年通報了1549款違規APP,下架了514款拒不整改的APP,並將整治範圍擴充套件至SDK、應用商店等全鏈條。
《個人資訊保護法》第5條規定,處理個人資訊應當遵循合法、正當、必要和誠信原則。企業如未經同意獲取個人資訊且不具備《個保法》第13條第二項至第七項規定的情形,則可能被認定為違法收集個人資訊,而上述案例中所獲使用者授權的方式亦不符合《個人資訊保護法》所設定的有效同意之規則(“充分知情、自主明確、便捷撤回、避免捆綁”)。
相關企業應當結合《個人資訊保護法》、《常見型別移動網際網路應用程式必要個人資訊範圍規定》等法律法規對自身產品進行評估和自查,參照《資訊保安技術 個人資訊保安規範》、《APP收集使用個人資訊最小必要評估規範》、《App違法違規收集使用個人資訊自評估指南》、《移動網際網路應用程式(App)系統許可權申請使用指南》等國家標準、行業標準進行整改。
關於APP侵害使用者權益整治“回頭看”發現問題的通報(2022年第2批,總第22批)
工業和資訊化部高度重視使用者權益保護工作,持續開展APP侵害使用者權益專項整治行動。“3·15”國際消費者權益日來臨前夕,為鞏固治理成效,營造共同維護消費者權益的良好環境,我部開展APP侵害使用者權益整治“回頭看”,組織第三方檢測機構對前期使用者反映問題較多的記憶體清理類、手機最佳化類APP進行重點檢測,並對去年發現問題的APP進行抽測,共發現14款APP(詳見附件)仍然存在問題。上述APP應在3月21日前完成整改,逾期不整改或整改不到位的,我部將依法依規嚴厲處置。
工業和資訊化部資訊通訊管理局
2022年3月14日
基於以上網路安全隱患,海雲安作為一家深耕隱私合規領域多年的網路安全公司,積極謀求規避風險和解決問題的方案,針對隱私洩露等亂象層出不窮的現狀,推出了“APP隱私合規檢查工具”,助力企業安全穩定發展,解決隱私洩露問題。
APP隱私合規檢查工具是深圳海雲安網路安全技術有限公司基於對WEB安全領域和移動應用安全領域多年的專注研究和技術積累,面對新的移動應用網路威脅形勢研發出來的產品。產品採用移動應用App動態模糊測試技術、執行時行為監測技術、移動應用App漏洞智慧識別技術,實現對移動應用App的安全漏洞、執行行為、執行資料監測。
產品支援App安全漏洞、違法違規、個人資訊保安、SDK安全、合規專案的自動化檢測和定期監測,全自動化快速識別App潛在的安全風險、隱藏違法違規行為,包括個人資訊竊取、個人資訊出境、惡意扣費等行為等。可為企業、測評機構、公安和實驗室等提供全面的App檢測分析檢測能力。產品提供支援伺服器版本和便攜版本,伺服器版本應用於企業、測評機構、安全實驗室等進行App安全測試、合規測評、App安全研究工作,便攜版本用於現場監督檢查、企業內部日常裝置巡檢等工作。
檢測方式
檢測內容
海雲安基於資訊保安領域和移動應用安全領域多年的專注研究和技術積累,在移動APP領域的技術研發基本達到了國內領先的水平,研發出國內首套移動應用安全風險評估系統,具有移動安全檢測技術綜合運用能力強、高度自動化測試技術、全面自動加固對抗脫殼技術、隱私合規深度檢測技術等多項核心技術優勢,此外,目前正在融合人工智慧技術,針對App分析資料進行深層次的資料關聯分析,增強敏感資訊識別能力、加密演算法破解能力和資料關聯分析能力,全面增強測試深度和分析顆粒度。