劉 烽

（廣州市公安局網(wǎng)絡(luò)警察支隊，廣東 廣州510030）

1 移動APP現(xiàn)狀

據(jù)愛加密移動應(yīng)用安全大數(shù)據(jù)平臺提供的數(shù)據(jù)，截至2020 年3 月底大數(shù)據(jù)中心已收錄Android APP 應(yīng)用 315 萬+款，iOS 應(yīng)用 300 萬+款。大部分APP 存在高危漏洞，5.46%的APP存在惡意程序，37%以上的APP 存在不同程度的越權(quán)和超范圍采集等違規(guī)行為。

目前，監(jiān)測的APP 應(yīng)用市場有596 個。應(yīng)用市場公司所屬地在北京市，占總量的29.92%，其次是廣東省和湖北省的應(yīng)用市場公司數(shù)量較多，分別占總量的22.80%和16.74%。其中游戲類APP 數(shù)量占總量的32.89%；生活服務(wù)類APP位居第二，占總量14.73%；教育類APP 排名第三，占總量的13.59%。從APP 分布區(qū)域來看，廣東省APP 數(shù)量位居第一，約占APP 總量的49.45%；其次是北京市，約占總量的17.98%；排名第三的是湖北省，約占總量的4.86%。

2 移動APP風(fēng)險漏洞

據(jù)愛加密移動應(yīng)用安全大數(shù)據(jù)平臺的檢測發(fā)現(xiàn)。目前，在已完成檢測的移動APP應(yīng)用中，存在Janus高危漏洞的APP數(shù)量最多，占檢測總數(shù)的75.57%。其主要威脅是可以繞過安卓系統(tǒng)的整個安全機制，可以盜取用戶的賬戶、密碼等敏感信息，甚至可以植入木馬病毒；［1］其次是SO 文件加固風(fēng)險，占檢測總數(shù)的68.84%。SO 文件被破解可能導(dǎo)致應(yīng)用的核心功能代碼和算法泄露。攻擊者利用核心功能與算法可輕易抓取到客戶端的敏感數(shù)據(jù)，并對其解密，導(dǎo)致用戶的隱私泄露或直接財產(chǎn)損失；第三是Java代碼加殼檢測，占檢測總數(shù)的62.70%。Java 主要威脅是可能被反編譯，易導(dǎo)致代碼邏輯泄露、重要數(shù)據(jù)加密代碼邏輯泄露等；第四是動態(tài)注冊Receiver 風(fēng)險，占檢測總數(shù)的60.06%。Re?ceiver主要威脅是惡意程序可以不斷地發(fā)送你所接收的廣播，這樣會造成應(yīng)用被攻擊，導(dǎo)致應(yīng)用直接退出、處理邏輯出錯等風(fēng)險；第五是WebView 明文存儲密碼漏洞，占檢測總數(shù)的58.27%。主要威脅是用戶保存在WebView 中的密碼，會被明文保存到應(yīng)用數(shù)據(jù)目錄中，可能會被攻擊者竊取本地明文存儲的用戶名和密碼等（見圖1）。

圖1

從存在漏洞應(yīng)用數(shù)量的區(qū)域分布看，排名第一的是廣東省，占總量的43.13%；排名第二的是北京市，占總量的20.13%；排名第三的是上海市，占總量的7.62%。

3 移動APP監(jiān)管難點

當(dāng)前，移動互聯(lián)網(wǎng)生態(tài)主體多、鏈條復(fù)雜，移動應(yīng)用軟件市場存在應(yīng)用市場個數(shù)繁多隱晦，市場及渠道沒有有效性驗證，應(yīng)用上線標(biāo)準(zhǔn)不統(tǒng)一等問題，導(dǎo)致移動應(yīng)用質(zhì)量參差不齊、來源難以追溯等監(jiān)管難題。主要監(jiān)管難點表現(xiàn)：

（1）各地監(jiān)管機構(gòu)無法分辨非法應(yīng)用是否屬于自己所監(jiān)管的范疇。

（2）無統(tǒng)一化的備案平臺、無法對監(jiān)管APP的準(zhǔn)確性及安全性進行審核。

（3）批量應(yīng)用的監(jiān)管、檢查、審核較為困難。

（4）應(yīng)用市場繁雜，上線標(biāo)準(zhǔn)各不相同，無法統(tǒng)一化的管理。

（5）第三方SDK（Software Development Kit）“軟件開發(fā)工具包”的使用監(jiān)管尚存空白，應(yīng)用中存在的安全漏洞未能及時發(fā)現(xiàn)和處理等。

4 防范APP平臺風(fēng)險漏洞的對策

4.1 加大宣傳力度，及時曝光違法違規(guī)APP 案事件

政府部門充分利用各種媒體、網(wǎng)絡(luò)瀏覽入口、搜索入口、應(yīng)用通道、終端主頁開展廣泛宣傳。如“廣州公安”雙微平臺（微博、微信）、廣州金盾網(wǎng)、“互聯(lián)網(wǎng)+智慧新警務(wù)”小程序（APP）等，通過定期曝光、新聞發(fā)布會和剖析典型案（事）件等方法提升宣傳頻度，不斷提高公民的防范意識。如：2019 年工信部先后曝光三批問題APP 整改名單；2020 年5 月14日、7 月5 日、7 月24 日，工信部分別曝光和要求整改的 APP 名單共有 89 個；2019、2020 年央視315 晚會分別曝光熱門APP 泄露用戶個人信息問題、第三方插件（SDK）擅自獲取用戶的隱私亂象等。

4.2 暢通多方式投訴、舉報渠道

中央網(wǎng)信辦、工業(yè)和信息化部、公安部、國家市場監(jiān)管總局等部門應(yīng)暢通用戶投訴、舉報渠道，建立和完善常態(tài)化的投訴處理服務(wù)機制和流程。如發(fā)現(xiàn)泄漏用戶隱私或者其他違法違規(guī)行為的APP，及時的通過中國互聯(lián)網(wǎng)違法和不良信息舉報中心（www.12377.cn）、中國互聯(lián)網(wǎng)信息服務(wù)投訴平臺（https://ts.isc.org.cn/）、“APP 個人信息舉報”微信公眾號、“pip@tc260.org.cn”專用郵箱、12321 或110 舉報中心投訴和報警，及時匯總處理用戶反映的相關(guān)問題。

4.3 開展檢測檢查，嚴(yán)把源頭關(guān)，抓好執(zhí)行落實

工信部通信管理局組織第三方檢測機構(gòu)對APP、SDK 進行技術(shù)檢測，對應(yīng)用分發(fā)平臺的主體責(zé)任落實情況進行監(jiān)督檢查。對第一次檢查發(fā)現(xiàn)存在問題的企業(yè)，責(zé)令規(guī)定工作日內(nèi)完成整改，對整改不徹底仍然存在問題的，將采取向社會公告、組織下架、行政處罰以及將受到行政處罰的違規(guī)主體納入電信業(yè)務(wù)經(jīng)營不良名單或失信名單等措施；對在APP 不同版本中反復(fù)出現(xiàn)問題的企業(yè)，將向社會公告，并依法依規(guī)開展后續(xù)處置工作。

大力推進全國APP 技術(shù)檢測平臺管理系統(tǒng)建設(shè)，提升自動化檢測水平和能力。盡快接入，用好相關(guān)技術(shù)手段，做到關(guān)口前移，及時發(fā)現(xiàn)解決問題，不斷提升行業(yè)治理能力和水平。通信管理局要結(jié)合實際開展檢查工作，每月定期將違規(guī)線索錄入全國APP 技術(shù)檢測平臺管理系統(tǒng)，并按照工信部工作要求開展相關(guān)問題處置。

4.4 推動行業(yè)自律，落實等級保護備案和安全測評

一是鼓勵行業(yè)協(xié)會組織APP 開發(fā)運營者、應(yīng)用分發(fā)平臺、第三方服務(wù)提供者、電信設(shè)備生產(chǎn)企業(yè)、安全廠商等相關(guān)單位，制定行業(yè)自律公約和技術(shù)檢測標(biāo)準(zhǔn)，健全第三方評議機制，強化行業(yè)規(guī)范。相關(guān)企業(yè)要及時開展自查自糾，對發(fā)現(xiàn)的問題立行立改，舉一反三，切實有效保護個人信息。APP 企業(yè)要完善用戶權(quán)益保障制度，加強對所集成SDK 的管理。應(yīng)用分發(fā)平臺要強化平臺管理責(zé)任，積極配合電信主管部門開展相關(guān)監(jiān)管工作。

二是落實等級保護備案和安全測評。針對移動應(yīng)用APP，要落實“一案雙查”制度，推動建立健全網(wǎng)絡(luò)安全責(zé)任制、問責(zé)制及網(wǎng)絡(luò)運營主體責(zé)任，增強全社會維護網(wǎng)絡(luò)安全的防護意識和主體責(zé)任意識，落實政企事業(yè)單位的重要領(lǐng)域信息系統(tǒng)安全體系“同步規(guī)劃、同步建設(shè)，同步使用”，努力實現(xiàn)社會共治。

4.5 強化個人隱私保護意識，切實保護用戶合法權(quán)益

據(jù)艾媒咨詢（iiMediaResearch）發(fā)布的《2018年中國手機APP隱私權(quán)限測評報告》稱，63.3%的受訪者表示在安裝手機APP 時沒有仔細(xì)閱讀隱私條款，24.3%的受訪者從來不閱讀隱私條款。這反映了大部分手機用戶都或多或少存在個人隱私保護意識淡薄的問題，有的用戶受限于網(wǎng)絡(luò)技術(shù)知識欠缺和APP 隱私條款文字篇幅長等原因，或者明知道可能會有泄露個人信息的危險還抱有僥幸心理，甚至認(rèn)為是小問題無所謂，遇到隱私泄露惡果的時候主動維權(quán)意識不強，多數(shù)人選擇自認(rèn)倒霉，客觀上縱容了手機APP 信息泄露愈演愈烈，形成惡性循環(huán)。為此，用戶在選擇使用移動APP時要做到：

一是要提高個人隱私保護意識。高度重視個人隱私信息的無形價值，從主觀上提高隱私保護意識，加大力度開展個人信息保護宣傳教育，擴大個人信息保護知識、技能傳播的普及面；加強個人信息安全評估培訓(xùn)，推動個人信息安全評估工作的規(guī)范化。二是要注意選用安全合規(guī)的APP 產(chǎn)品和服務(wù)，并選擇正規(guī)渠道進行下載安裝，謹(jǐn)慎點擊來源不明的APP 下載鏈接，從源頭上杜絕木馬病毒，并安裝手機殺毒APP，定期對手機進行安全檢測。三是要注意認(rèn)真閱讀APP 的應(yīng)用權(quán)限和用戶協(xié)議或隱私政策說明，了解操作注意事項。四是要注意培育良好使用習(xí)慣，不隨意開放和同意不必要的隱私權(quán)限，不隨意輸入個人隱私信息，定期維護和清理相關(guān)數(shù)據(jù)。五是要注意認(rèn)真應(yīng)對個人隱私信息被泄露的問題，發(fā)現(xiàn)個人信息被泄露問題時，要通過有效手段及時主動維權(quán)，必要時向有關(guān)部門反映，用法律武器維護自己的權(quán)利和利益。

4.6 加強對黑客侵入滲透的打擊，有效遏制網(wǎng)絡(luò)黑灰產(chǎn)業(yè)成為犯罪的“幫兇”

智能手機主要操作系統(tǒng)包括Android和iOS。iOS 系統(tǒng)相對安全，Android 系統(tǒng)則更為開放，除官方應(yīng)用商城外，部分APP 開發(fā)商會通過彈窗、廣告等形式，為用戶推送含有木馬病毒的APP 下載鏈接，用戶點擊下載并安裝后，木馬病毒就會自動掃描手機中通信、短信、賬號密碼等個人隱私信息，并將相關(guān)數(shù)據(jù)回傳服務(wù)器，造成用戶信息泄露。2019年3月，360公司發(fā)布的《2018 年中國手機安全狀況報告》稱，2018年共截獲移動端新增惡意程序樣本434.2 萬個，平均每天新增1.2 萬個，其中隱私竊取類占比33.7%，嚴(yán)重威脅用戶個人信息安全。

黑客滲透、侵入政府等權(quán)威APP，獲取了服務(wù)器權(quán)限后增、刪、改私人信息，成為偽造資質(zhì)文憑的源頭，從中獲取了大量詳實公民個人信息，威脅更大，成為“精準(zhǔn)詐騙”的核心彈藥，頭號威脅源。其違法犯罪活動給公眾人身財產(chǎn)安全、計算機信息系統(tǒng)安全和網(wǎng)絡(luò)空間管理秩序，甚至國家安全、社會穩(wěn)定帶來直接或間接威脅。

另外，還有APP 廠商（內(nèi)部人員）相互分享、買賣用戶數(shù)據(jù)等途徑，事實上售賣用戶隱私信息已形成灰色產(chǎn)業(yè)鏈。當(dāng)前，移動互聯(lián)網(wǎng)黑色利益鏈錯綜復(fù)雜，形成了以開發(fā)、傳播、運營到最后利益整合分配的流水作業(yè)模式，甚至完成了從作坊式個人生產(chǎn)到集團化運作的規(guī)模性轉(zhuǎn)變。

以打擊網(wǎng)絡(luò)黑產(chǎn)威脅源為抓手，由政府職能部門牽頭，構(gòu)建長效治理機制，需要社會各方聯(lián)合起來共同努力，發(fā)揮產(chǎn)業(yè)鏈合作的優(yōu)勢，利用大數(shù)據(jù)分析、云計算和云存儲能力，對網(wǎng)絡(luò)詐騙等犯罪進行全面反擊，最大程度擠壓黑灰產(chǎn)生存空間，有效遏制下游犯罪滋生。

4.7 加強多方聯(lián)合行動，對惡意SDK重拳出擊

惡意SDK 悄悄藏匿在APP 軟件中，擁有很強的隱蔽性和對抗殺毒軟件的能力，不僅讓用戶在使用過程中防不勝防，很多應(yīng)用軟件的開發(fā)者甚至都未曾了解軟件導(dǎo)致的這些安全漏洞。而其無度索取個人信息、違規(guī)使用手機權(quán)限，甚至幫助網(wǎng)絡(luò)黑產(chǎn)“鋪路”，嚴(yán)重影響移動互聯(lián)網(wǎng)用戶的信息安全和財產(chǎn)安全，危害合法應(yīng)用市場聲譽，造成惡劣的社會影響，亟需整改和打擊。

2019 年1 月25 日，網(wǎng)信辦、工信部、公安部、國家市場監(jiān)管總局等四部門聯(lián)合發(fā)布《關(guān)于開展APP 違法違規(guī)收集使用個人信息專項治理的公告》，決定自2019 年1 月至12 月，在全國范圍內(nèi)組織開展APP 違法違規(guī)收集使用個人信息專項治理行動。期間共受理網(wǎng)民有效舉報信息12000 余條，針對2300 余款A(yù)PP 開展深度評估、問題核查，對用戶規(guī)模大、問題突出的260 款A(yù)PP，有關(guān)部門采取了公開曝光、約談、下架等處罰措施。

4.8 由公安部牽頭，發(fā)起集群戰(zhàn)役，以“打”促“管”，建立健全長效監(jiān)管機制

一是強化情報信息搜集分析、研判預(yù)警，著力提升預(yù)知預(yù)警預(yù)防能力。一方面公安機關(guān)強化智慧偵查，充分運用“智慧新警務(wù)”建設(shè)成果，大力推進大數(shù)據(jù)智能化建設(shè)應(yīng)用，高效匯聚各相關(guān)部門行業(yè)數(shù)據(jù)，借助大數(shù)據(jù)分析模型工具，從中發(fā)現(xiàn)、提煉涉APP 犯罪的線索，著力培育打擊犯罪新的增長點。另一方面公安機關(guān)依托云計算技術(shù)，網(wǎng)綜系統(tǒng)平臺等加大對本地網(wǎng)站、兩群、交互式論壇、博客等巡查搜索，針對某些可疑的信息進行監(jiān)控追蹤，深度經(jīng)營，綜合研判，建立完善的預(yù)警系統(tǒng)。主動發(fā)現(xiàn)、挖掘此類案件線索，將有效聚焦違法犯罪問題熱點區(qū)域和成因，把數(shù)據(jù)變成線索、把線索變成指令，起到主動預(yù)測犯罪、防范犯罪的作用。

二是發(fā)起集群戰(zhàn)役，嚴(yán)打新型網(wǎng)絡(luò)犯罪。強化專案打擊，始終將“打源頭、端窩點、摧網(wǎng)絡(luò)、追財富、斷鏈條”作為重點，以“省廳統(tǒng)籌、地市發(fā)起、情報先導(dǎo)、統(tǒng)一收網(wǎng)”的打擊模式，適時發(fā)起集群戰(zhàn)役，著力打擊跨區(qū)域、系列性、團伙性突出犯罪。優(yōu)化合成作戰(zhàn)，公安機關(guān)各部門、各警種要充分發(fā)揮職能作用，加強與綜治、檢法、電信、銀行、市場監(jiān)管等職能部門的協(xié)調(diào)聯(lián)動，形成強大打擊合力。

三是創(chuàng)新打防管控措施，以“打”促“管”，建立健全長效監(jiān)管機制。由公安部牽頭各地網(wǎng)安部門開展專項檢查，嚴(yán)格按照《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全等級保護條例》《公安機關(guān)互聯(lián)網(wǎng)安全監(jiān)督檢查規(guī)定》《APP 違法違規(guī)收集使用個人信息行為認(rèn)定方法》《APP 違法違規(guī)收集使用個人信息自評估指南》等相關(guān)法規(guī)，深入推進技管結(jié)合，加強監(jiān)督檢查，督促相關(guān)企業(yè)強化APP 個人信息保護，及時整改消除違規(guī)收集、使用用戶個人信息和騷擾用戶、欺騙誤導(dǎo)用戶、應(yīng)用分發(fā)平臺管理責(zé)任落實不到位等突出問題。通報作案手法，保持對違法犯罪嚴(yán)打高壓態(tài)勢，加強行業(yè)自查自糾，全面凈化APP應(yīng)用空間。

4.9 健全法律法規(guī)，出臺更具前瞻性和可操作性的執(zhí)法指引

目前，我國在關(guān)于移動APP 個人信息保護方面的法律法規(guī)主要有《網(wǎng)絡(luò)安全法》《電子商務(wù)法》《信息安全技術(shù)個人信息安全規(guī)范》《中華人民共和國數(shù)據(jù)安全法（草案）》等，但仍存在很多亟待完善之處。例如對“個人信息隱私”的界定標(biāo)準(zhǔn)不明確，手機APP 收集用戶信息“正當(dāng)、合法、必要”3 個原則的界定存在爭議，發(fā)生信息泄露后的處罰力度不足等。無法在法律高度形成強約束力和震懾力。因此，要健全完善法律法規(guī)體系，盡快出臺更具前瞻性和可操作性的執(zhí)法指引。