正文

梆梆观点 | 监管态势下的移动应用安全及合规应对思路

admin
admin V管理员 /0 评论 /51 阅读
1218
此篇文章发布距今已超过23天,您需要注意文章的内容或图片是否可用!

近年来,随着智能终端用户的持续增长,终端制造商、网络运营商和各大平台商的推动,以及终端制造、数据传输等技术的不断发展,在与生活、工作紧密相关的实际领域方面,应用开发日趋成熟和多样化,给用户带来了快捷应用体验的同时,也彻底改变了人们的生活方式甚至社会形态。与此同时,围绕移动应用的安全风险、个人信息违规采集等问题也愈发突出,引发国家监管对应用安全的高度重视。移动应用安全及合规应对成为企业及开发者面临的重大挑战。

  一. 移动应用安全监管逐步强化  

频频涌现的移动应用风险漏洞,不仅威胁着用户的个人信息安全,同时也给国家信息安全带来了重大安全隐患。为保障移动互联网产业链的进一步健康快速发展,国家各级监管单位逐步推出相关法律法规及行业标准规范,同时结合常态化的违法违规查处通报机制,全面提升国内移动应用的安全监管强度。

01.安全法规及标准持续落地

基于“有法可依”的原则,近年来监管机构不断推出网络安全、数据安全及个人信息安全等相关法律法规及行业标准规范:

  • 《中华人民共和国网络安全法》

  • 《中华人民共和国个人信息保护法》

  • 《中华人民共和国数据安全法》

  • 《GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求》

  • 《GB/T 34975-2017信息安全技术 移动智能终端应用软件安全技术要求和测试评价方法》

  • 《GB/T 35273-2020 信息安全技术 个人信息安全规范》

  • 《GB/T 39335-2020 信息安全技术 个人信息安全影响评估指南》

  • 《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)

  • 《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)

02. 违法违规通报常态化

基于“执法必严”的原则,监管机构依法对多起移动应用违法违规案例进行惩处,并逐步形成常态化机制以践行法律规定,维护移动应用安全。

  • 事件1:集中筛查

2020年11月,广东省通信管理局依据《工信部信管函〔2020〕164号》累计检测5千余款应用程序(App),共发现疑似存在问题App 237款,对部分App运营者发出《违法违规App处置通知》责令限期改正并通知各应用商店督促整改。

  • 事件2:典型应用

2021年7月,国家互联网信息办公室经检测核实,确认某出行App存在严重违法违规收集使用个人信息问题。依据《中华人民共和国网络安全法》相关规定,通知各应用商店下架该应用,同时要求问题单位严格按照法律规定,认真整改并切实保障广大用户个人信息安全。

  • 事件3:个人处罚

2021年9月,天津宣判一起利用手机APP软件非法超限采集公民个人信息案。案件显示,被告人葛某、朱某因侵犯公民个人信息罪分别被判处有期徒刑三年并处罚金10万元。

在法规及标准持续落地实施,监督和惩处措施严格执行的现状下,移动应用安全领域迎来强力制度护航。同时,开发者和企业也要在应用的开发及使用阶段严格落实法律要求,切实保障移动应用软件安全和用户信息安全。

  二. 移动应用安全及合规风险分析  

从众多监管通报数据分析,被查处的App普遍存在两方面问题:一是安全问题,即App存在“明文存储密码”“反编译”“动态注入”等应用安全隐患问题;二是合规问题,即App违反用户个人信息保护规定,包括“未公开明示收集规则”“默认勾选同意隐私协议”“未经用户同意共享给第三方”等侵犯用户个人信息问题。

01. 移动应用安全分析

在开发过程中,移动应用程序如果未对含编码阶段的代码包和配置文件采取有效的保护措施,可能面临被反编译的风险。一方面,攻击者可能使用反编译工具对未经过加固保护的应用程序、可执行文件进行反汇编、反编译或动态调式等攻击;另一方面,攻击者也可能通过逆向法破解应用程序的实现逻辑,比如获取与服务器端的通讯方式、加解密算法、密钥、软键盘实现技术等,造成算法被窃取、文件被非法篡改或是程序接口被调用、篡改应用程序内容、植入恶意收费应用或广告SDK、引诱下载其他应用程序等。

02. 移动应用合规分析

通常情况下,移动应用程序为满足其业务功能及场景使用的需求,会采集使用用户个人信息。而个人信息违规采集情况主要分为两类:

一是主观违规。App(SDK)开发者想尽办法(技术手段、诱导等)获取用户的个人信息,通过互相联结、信息收集获得用户的行为习惯,从而进行广告推送、贩卖个人信息、诈骗等违法获利行为。

二是客观违规。App(SDK)开发者对于个人信息概念模糊,在应用开发过程中未按照行业规范标准进行超限采集使用,但暂未形成违规获益情况。

无论主观还是客观原因,违规采集行为都会造成用户个人隐私信息泄露风险,最终损害用户的合法权益。

  三.  监管视角下的安全应对思路  

在国家对移动安全及合规问题持续监管的趋势下,梆梆安全基于多年国家监管机构的技术支撑以及移动安全行业经验,通过对App在发布前后的评估、整改及监测等服务,从根本上提升应用安全级别,降低企业移动应用被通报几率,有效形成安全及合规的监管闭环。

应对一:App发布前的评估及整改

梆梆安全通过渗透测试、App安全检测工具、App合规检测工具等“人工+工具结合的高效评估方式,帮助企业全面发现App的安全漏洞及隐私违规问题。同时,针对性地采用App加固、通讯协议保护、App隐私合规整改等技术服务手段解决违规问题,全面降低被通报查处的几率。

应对二:App发布后的监测及运营

梆梆安全通过在App中植入威胁感知探针,能够在发布后的运行阶段持续监测App动态运行的安全问题,以及监测引入的第三方SDK违规窃取用户敏感信息的行为。另外,该应对策略可与前期的评估、加固等静态技术手段进行联动,形成静态防护与动态监测的安全闭环。同时,梆梆安全可结合人工运营的服务,通过对大量威胁数据整合分析,全面发现应用运行过程中的未知漏洞及隐私泄露情况,有效提升企业移动应用发布后的安全及合规能力。

在移动互联网技术创新的驱动下,移动应用安全已成为网络安全的重点领域之一。移动应用因其系统开源特性和用户普遍性正逐渐成为恶意攻击者的主要目标,这严重影响了用户信息安全和使用体验。安全与合规成为移动应用持续健康发展的关键。目前,梆梆安全拥有超过10万家的企业及开发者用户,安全技术覆盖累计安装在10亿个移动终端上的100万+移动应用软件,已为众多企业提供专业的App整改服务,通过App发布前后的评估、整改及监测等技术手段,帮助企业构建全方位、多层次的移动安全体系,为企业移动安全建设的健康发展贡献力量。

推荐阅读

Recommended


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
周飒博客-ZhouSa.com