中國信息通信研究院

移動應(yīng)用存在過度索取個人權(quán)限問題

我國互聯(lián)網(wǎng)產(chǎn)業(yè)普遍采用前端免費、后端獲利的模式，隨著技術(shù)演進，盈利的模式也從在線廣告向基于大數(shù)據(jù)的定向推送、精準營銷轉(zhuǎn)型，用戶個人信息正在成為企業(yè)角力的核心。免費的商業(yè)模式加劇了用戶權(quán)益侵害的風險。

數(shù)據(jù)采集環(huán)節(jié)中的安全問題

根據(jù)隱私政策，移動應(yīng)用運營者應(yīng)告知用戶個人信息收集的主要途徑。移動應(yīng)用應(yīng)在用戶首次注冊、登錄移動應(yīng)用時以彈窗、超鏈接等明顯方式提醒用戶閱讀隱私政策，明示告知用戶收集使用個人信息的目的、方式、范圍，使用戶充分了解其個人信息如何被收集、存儲、使用、傳輸、共享、銷毀。部分移動應(yīng)用存在用戶首次登錄時要求用戶默許“打勾”同意隱私政策（即未要求用戶主動打勾同意），導(dǎo)致隱私政策難以起到告知和真正具有法律效力的“同意”作用，存在違規(guī)收集個人數(shù)據(jù)行為。除了前面的默認打勾的違規(guī)行為，還包括如：通過“登錄/注冊即表示同意隱私政策”的方式強制用戶同意，且未提供拒絕選項;移動應(yīng)用僅展示隱私政策但未征詢用戶同意。

移動應(yīng)用因業(yè)務(wù)功能需要向移動終端操作系統(tǒng)申請權(quán)限，收集使用用戶個人信息。移動應(yīng)用應(yīng)當遵循最小夠用原則，僅收集使用業(yè)務(wù)功能必需的最少類型和數(shù)量的個人信息。但部分移動應(yīng)用申請權(quán)限數(shù)量多，所收集的個人信息遠遠超出全國信息安全標準化技術(shù)委員會發(fā)布的《網(wǎng)絡(luò)安全實踐指南——移動互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息范圍》中規(guī)定的必要信息，存在超范圍獲取權(quán)限現(xiàn)象。其中包含違規(guī)申請“拍攝”“訪問粗略定位”“訪問精確定位”“讀取外置存儲器”“錄音”等危險權(quán)限。移動應(yīng)用過度索權(quán)現(xiàn)象成常態(tài)，為違規(guī)收集用戶個人信息提供了渠道，一旦這些個人信息被不法分子獲取濫用，將嚴重危害用戶權(quán)益。

為了滿足移動應(yīng)用的快速迭代，解決成本效率問題，移動應(yīng)用中嵌入大量第三方SDK。第三方SDK自身存在大量安全漏洞，包括http誤用、SSL/TLS（安全套接字協(xié)議/安全傳輸層協(xié)議）不正確配置、敏感權(quán)限濫用、通過日志造成信息泄露、遠程任意文件讀取漏洞、越權(quán)調(diào)用未導(dǎo)出組件等。第三方SDK成為病毒傳播新途徑，不法分子通過制作、發(fā)布、吸引App嵌入含有惡意代碼的第三方SDK，造成短時間、大范圍的病毒傳播和感染。第三方SDK隱蔽收集個人信息問題逐步顯現(xiàn)，第三方SDK具備收集個人信息的能力。第三方SDK收集了哪些個人信息，用戶往往難以感知，移動應(yīng)用開發(fā)者也未必完全知悉，因而導(dǎo)致多起第三方SDK隱蔽收集個人信息的安全事件。

數(shù)據(jù)傳輸環(huán)節(jié)中的安全問題

移動應(yīng)用客戶端與服務(wù)器間進行個人敏感信息傳輸?shù)倪^程中，如果沒有采取有效的保護措施，存在用戶個人敏感信息泄露和篡改的風險。使用HTTP協(xié)議進行明文個人敏感信息的傳輸，個人敏感信息在嗅探或者抓包等攻擊中會被泄露。使用HTTPS請求時以URL（統(tǒng)一資源定位器）的方式傳遞包含明文個人敏感信息的參數(shù)，URL被轉(zhuǎn)發(fā)或存儲時存在泄露場景。使用HTTPS傳輸明文個人敏感信息，如SSL版本錯誤、使用不安全的密碼算法、非合法CA證書等場景下，存在中間人攻擊、降級攻擊、協(xié)議版本漏洞等攻擊場景，導(dǎo)致用戶個人敏感信息的泄露和篡改。

數(shù)據(jù)存儲環(huán)節(jié)中的安全問題

數(shù)據(jù)存儲是移動應(yīng)用運營過程中的關(guān)鍵環(huán)節(jié)，移動應(yīng)用應(yīng)優(yōu)先在用戶個人終端內(nèi)加密存儲所收集的個人信息，確保用戶數(shù)據(jù)即使泄露也難以被破解。移動應(yīng)用會在用戶終端內(nèi)存儲運行日志、設(shè)備信息、用戶信息等數(shù)據(jù)，存在明文存儲用戶個人信息的問題。移動應(yīng)用的服務(wù)端同樣會存儲個人敏感信息，包含：密碼、姓名、手機號碼、郵箱、身份號、銀行卡號等。這些個人敏感信息存儲在數(shù)據(jù)庫中，很容易受到外部Web攻擊以及內(nèi)部員工越權(quán)違規(guī)操作，需要對個人敏感信息進行加密存儲。發(fā)生數(shù)據(jù)安全事件時，若未對個人敏感信息采取加密等保護措施，會對移動應(yīng)用運營者和個人產(chǎn)生極大的風險。

數(shù)據(jù)備份是移動應(yīng)用運營者日常運維過程中非常重要的一環(huán)，數(shù)據(jù)的丟失，對于移動應(yīng)用運營者是災(zāi)難性打擊。數(shù)據(jù)備份包含數(shù)據(jù)備份流程、數(shù)據(jù)備份策略、數(shù)據(jù)備份恢復(fù)等，必須嚴格執(zhí)行到位。

數(shù)據(jù)使用環(huán)節(jié)中的安全問題

由于移動應(yīng)用各行業(yè)屬性及標準的不同，沒有形成統(tǒng)一的數(shù)據(jù)分類分級方法或指引，對應(yīng)數(shù)據(jù)分類分級的安全技術(shù)要求尚不完善。不同行業(yè)、不同場景的數(shù)據(jù)的差異化保護要求存在落實困難，難以全面覆蓋。因此，移動應(yīng)用企業(yè)在執(zhí)行數(shù)據(jù)分類分級和安全防護實際工作中，多停留在紙面和理論層面，部門數(shù)據(jù)缺乏有效的安全防護措施，造成數(shù)據(jù)的非授權(quán)訪問、數(shù)據(jù)泄露等風險發(fā)生。

移動應(yīng)用運營者使用海量數(shù)據(jù)來支撐業(yè)務(wù)和輔助決策，這些數(shù)據(jù)在創(chuàng)造著巨大的商業(yè)價值。但是，諸如身份信息、銀行賬戶信息、位置信息、醫(yī)療信息等重要的敏感信息在使用的過程中存在嚴重的安全風險。移動應(yīng)用運營者需要減少敏感隱私數(shù)據(jù)被非法使用和獲得的可能性，消除對敏感數(shù)據(jù)不必要的訪問和復(fù)制。

對數(shù)據(jù)的訪問操作授權(quán)機制是保障數(shù)據(jù)安全的重要防線。操作用戶通過身份認證即可進入授權(quán)環(huán)節(jié)，此環(huán)節(jié)會根據(jù)權(quán)限控制表判斷操作用戶是否有權(quán)進行數(shù)據(jù)訪問操作。企業(yè)內(nèi)數(shù)據(jù)源眾多，數(shù)據(jù)開放接口繁多，不可避免存在著數(shù)據(jù)授權(quán)粒度粗、數(shù)據(jù)訪問權(quán)限過大、內(nèi)部操作權(quán)限濫用等諸多問題。同時，企業(yè)缺乏有效的敏感數(shù)據(jù)的控制保護機制，如果不及時解決，數(shù)據(jù)的安全性難以充分保證。

移動應(yīng)用運營過程中，需要對敏感數(shù)據(jù)的使用操作、運行維護、開放共享進行定期審計和制定異常行為告警規(guī)則，及時發(fā)現(xiàn)數(shù)據(jù)使用過程中的隱患和風險。目前移動應(yīng)用運營者對數(shù)據(jù)的不當授權(quán)和第三方濫用，缺乏有效的監(jiān)管審計機制。在數(shù)據(jù)應(yīng)用過程中，無法得知某個用戶對數(shù)據(jù)具體做了什么操作、是否有違規(guī)和誤操作，難以及時預(yù)警和追溯審計定責。

數(shù)據(jù)開放共享環(huán)節(jié)中的安全問題

數(shù)據(jù)開放共享擴大了數(shù)據(jù)訪問的范圍，移動應(yīng)用數(shù)據(jù)資源跨領(lǐng)域、企業(yè)共享使用十分頻繁。如：互聯(lián)網(wǎng)電商平臺完成一次購物環(huán)節(jié)，訂單信息需要共享給商家、倉庫、物流、快遞查詢平臺、短信供應(yīng)商等多家企業(yè)。數(shù)據(jù)被各方調(diào)取、使用，或存儲到本地，存在共享管理責任不明確、數(shù)據(jù)超范圍共享、擴大數(shù)據(jù)暴露面等安全風險和隱患。相關(guān)企業(yè)僅從業(yè)務(wù)出發(fā)，未針對應(yīng)用場景充分識別、評估影響，未對照法律法規(guī)和技術(shù)標準注意梳理共享開發(fā)要求的情況。任何一個數(shù)據(jù)使用方未按照要求共享數(shù)據(jù)、未嚴格控制數(shù)據(jù)空閑范圍，或防護措施不到位，都可能導(dǎo)致數(shù)據(jù)被未授權(quán)訪問、使用，進而引發(fā)數(shù)據(jù)泄露或濫用事件。

數(shù)據(jù)開放共享為企業(yè)帶來商機與便利，也為數(shù)據(jù)安全保障工作帶來壓力。特別在開放場景下，數(shù)據(jù)平臺API接口的應(yīng)用部署面向外部用戶群體龐大、性質(zhì)復(fù)雜、需求不一等諸多挑戰(zhàn)，需時刻警惕數(shù)據(jù)安全的外部威脅。包含：API漏洞導(dǎo)致數(shù)據(jù)被非法獲取、網(wǎng)絡(luò)爬蟲通過API爬取大量數(shù)據(jù)、合作第三方非法留存接口數(shù)據(jù)、API請求參數(shù)易被非法篡改。應(yīng)對外部威脅的同時，API接口也面臨許多來自內(nèi)部的風險挑戰(zhàn)。API類型和數(shù)量隨著業(yè)務(wù)發(fā)展而擴張，通常在設(shè)計初期未進行整體規(guī)劃，缺乏統(tǒng)一規(guī)范，尚未形成體系化的安全管理機制。在身份驗證、訪問控制、數(shù)據(jù)脫敏、審計監(jiān)控等方面存在安全缺陷。

數(shù)據(jù)銷毀環(huán)節(jié)中的安全問題

賬號注銷功能是用戶自主注銷權(quán)的重要保障，也是民眾關(guān)注的熱點。移動應(yīng)用賬號常與用戶銀行卡、身份證等敏感信息相關(guān)聯(lián)，若賬號無法注銷將導(dǎo)致用戶個人敏感信息長期被運營者留存，增大數(shù)據(jù)泄露風險。部分App雖然提供了注銷功能，但注銷耗時長、流程煩瑣，還需比注冊時多提交額外非必要的個人敏感信息，如用戶真實姓名、住址、郵箱、身份證照片等，且移動應(yīng)用運營者并未明確額外信息在注銷后是否會刪除。相比簡單的注冊流程，為用戶注銷賬號設(shè)置了大量不合理前置條件，阻礙用戶行使注銷權(quán)。無法注銷賬戶或者為完成注銷流程需要用戶額外提交個人信息的行為，均存在數(shù)據(jù)過度留存風險。

部分移動應(yīng)用使用云服務(wù)供應(yīng)商，為了優(yōu)化資源分配、實現(xiàn)定期備份，提高可用性，服務(wù)供應(yīng)商會移動或復(fù)制數(shù)據(jù)，這樣才能在多租戶環(huán)境中優(yōu)化資源的使用情況。且數(shù)據(jù)會在多個數(shù)據(jù)中心間共享，數(shù)據(jù)被數(shù)據(jù)所有者移動，或者是在公共云里被服務(wù)供應(yīng)商移動，原本位置的數(shù)據(jù)應(yīng)該要銷毀，如果有任何數(shù)據(jù)殘留，就有可能產(chǎn)生安全問題，也可能出現(xiàn)未經(jīng)授權(quán)訪問殘留數(shù)據(jù)的問題。

編輯：張程? 3567672799@qq.com