正文

《奇安信SRC隐私合规漏洞评级标准V1.0》

admin
admin V管理员 /0 评论 /58 阅读
0807
此篇文章发布距今已超过20天,您需要注意文章的内容或图片是否可用!

1

评分原则
奇安信集团对自身产品和业务的安全问题非常重视,也一直致力于保障用户安全,我们希望通过奇安信集团安全应急响应中心(以下简称QAX SRC)加强与业界个人、组织及公司密切合作,帮助我们不断提升和完善自身产品和业务以及保障客户的安全。

2

漏洞收取范围
奇安信旗下服务于中国大陆范围内的App客户端。

3

漏洞判定标准
根据隐私漏洞发现的难易程度,漏洞影响等维度,将隐私漏洞按如下规则评级:

漏洞级别

判定标准

高危

·漏洞在行业内较为新颖且比较罕见,需要一定技术深度才能发现/鉴别。

·漏洞影响用户范围大,程度严重(包括但不限于大范围个人信息泄漏或者滥用),未及时修复会导致企业的经营,或声誉等受到严重损害。

中危

·漏洞需要一定的技术手段实现才能发现和鉴别,使用的手段包括但不限于流量抓包Hook、逆向分析等。

·影响用户范围较小、对用户权益影响较小。未及时修复可能导致监管机构通报或罚款。

仅接收以下类型问题:

1.App在同意隐私政策后,处于后台运行时收集个人信息的行为(隐私政策描述之外的收集)。

2.用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用。

3.调用与服务或功能无关的权限。

4.未同意隐私政策的情况下收集个人信息,存在上传用户个人信息的行为,报告中需要有流量抓包的具体字段及字段值的证据,不接收仅有堆栈的证据。

5.传输敏感个人信息时,未对敏感个人信息数据进行加密,报告中需要有流量抓包的具体敏感信息内容的证据,不接收仅有堆栈的证据。

6.较为明显和严重的产品设计隐私问题,不需要技术手段也可以发现的问题也属于中危漏洞,如:

·App因用户不同意打开非必要权限,而拒绝用户使用App的基本业务功能。

·App在用户明确拒绝相关权限后仍频繁弹窗索要权限。

低危

·漏洞鉴别无需技术手段或简单技术即可发现。

·涉及范围小,对用户权益影响小。

包括但不限于:

1.App首次运行时,未通过弹窗等明显的方式提示用户阅读隐私政策等收集使用规则。

2.App隐私政策等收集使用规则是否难以访问,如进入App主界面后,需多于4次点击或其它操作才能访问对应文本内容。

3.同意隐私政策前收集个人信息或打开个人信息权限。

4.App在未同意隐私政策情况下有申请权限行为。

5.通过嵌入第三方代码插件收集个人信息的功能,未向用户明示。

6.App存在申请/调用与当前业务功能无关的权限。

7.App自身收集使用的个人信息超出用户授权范围。

8.App以默认选择同意隐私政策等非明示方式征求用户同意。

除中危漏洞提到的情况外,其余所有不依赖技术手段以及部分需要技术手段发现的隐私合规问题均属于低危漏洞。

4

漏洞奖励
高危漏洞:1500元–3000元
中危漏洞:100元–500元
低危漏洞:50元–100元
奖励视产品重要性、影响大小、利用难度进行浮动。

5

漏洞忽略/降级处理情况
  1. 同一份报告中提交多个漏洞,按综合危害级别计分。同一个漏洞源产生的多个漏洞报告,一般按提交时间给最早的提交者奖励,且漏洞数量记为一个。以下情况视为同一漏洞源:包括但不限于同一接口、同一代码文件、同一功能模块、同一参数、同一函数、同一触发点、同源产品代码。
  2. 相同类型问题在同一款App(App存在多个定制版的情况下,各个定制版以及标准版App仅视为同一款App)中发现的,视为一个漏洞进行评定和给予奖励。
  3. 对于仅部分产品、分支、版本、客户等受影响的漏洞,不给予奖励或视综合危害级别降级给予奖励。
  4. 同一漏洞,按提交时间给首位报告者奖励,其他报告者均忽略。
  5. 对于已发布的最新版本以及主流版本(以产线提供为准)上无法复现的漏洞,将不予计算奖励。其余情况酌情进行奖励。
  6. 漏洞评定以正式提交报告前,该款App的最新版本为准(若在不同获取渠道App的版本不一致,则以App已发布的最新版本为准)。
  7. 由于App/客户端/产品升级和更新需要一定周期。对于内部已知并已修复,但未发布的情况,将进行内部评估予以降级或不予奖励。
  8. 在漏洞未修复之前,公开了漏洞信息,漏洞忽略,同时奇安信保留采取进一步法律行动的权利。
  9. 已退市并暂停维护的产品不计算奖金。
  10. 隐私政策中出现错别字、拼写错误或格式错误,漏洞忽略。
  11. 应用缺少注销功能、修改用户信息功能、撤回同意功能、个性化广告开关等隐私功能,为企业客户使用场景所致,漏洞忽略。
  12. 以测试漏洞为理由,利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为,漏洞忽略,同时奇安信保留采取进一步法律行动的权利。

6

隐私漏洞报告要求
  1. 技术类隐私漏洞需提供有效的日志类信息,包括但不限于:完整的测试堆栈信息、其网络流量抓包截图、284log或其他日志/手工测试记录。只提交检测平台、检测工具类的结果截图证据,报告不接收。
  2. 以Manifest结果为依据,提交缺少相关隐私声明的漏洞,需附上实际调用记录,否则报告不接收。
  3. SDK相关漏洞,除提供SDK列表截图外,还应当补充提交关于SDK实际传输了数据给第三方的证明信息。否则不予通过。

7

争议处理&注意事项
  1. 在漏洞处理过程中,如果报告者对处理流程、评定、评分等具有异议的,请将相关证据及内容发送邮件至[email protected]进行说明。QAX SRC将根据报告者利益优先的原则进行处理,必要时可引入外部人士共同裁定。
  2. QAX SRC对此奖励方案在法律许可的范围内拥有最终解释权,同时也欢迎各位安全研究者、报告者给我们提出宝贵的建议和意见。
  3. 在您提交漏洞至QAX SRC,即视为您同意遵守信息保密的原则和要求:针对已提交SRC的任何漏洞,须予以保密,均不允许您与第三方个人、组织讨论、分享、公开,包括但不限于通过网站、自媒体、邮件组、公开演讲、Github、Gitee、语雀、CSDN、知识星球、个人博客、国内外即时聊天工具(QQ、微信、X、telegram等)及其它任何形式进行讨论及分享。如有违反,我司将依法保留追究法律责任的权利,包括但不限于要求赔偿由此给我司造成的损失等。
  4. 隐私合规漏洞评级标准最终解释权归QAX SRC所有。

8

漏洞参考标准
隐私合规漏洞评估参考文件:
  • 国信办秘字〔2019〕191号
  • 工信部信管函〔2020〕164号
  • 工信部信管函〔2021〕292号
  • 工信部信管函〔2023〕26号
个人信息,敏感信息等概念的界定范围参考以下国标/指南:
  • GB/T 35273-2020《信息安全技术个人信息安全规范》
  • 《信息安全技术 应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南》附录A表A.3


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网