通付盾发布2022年度APP治理白皮书

时间: 2024-06-10 22:17:09 |   作者: 发动机缸体

  通付盾北斗团队(负责安全合规产品)于2013年成立,10年来专注于移动应用全生命周期的安全研究,积累了丰富的移动应用安全实战经验,不断保持研发技术与创新,致力于为公司可以提供移动应用全生命周期安全工程解决方案。自研了符号执行、动态沙箱、大数据分析、VMP虚拟机保护、iPA动态壳保护等多个核心技术。团队所研发产品已服务于上千家各行业客户,深入到政府、军工、能源、金融、运营商、教育、医疗、传媒、交通、互联网等行业,为数十亿级移动终端提供了移动应用安全保障。其中移动应用安全合规检测成功服务国测、军测、公安和工信部,实现国家级测评机构全覆盖。

  党的二十大报告提出,要“加快建设网络强国、数字中国”。当前,以数字化的经济为代表的新经济成为经济稳步的增长新引擎。作为数字化的经济时代最核心生产要素的数据呈爆炸式增长,体现其基础战略资源的地位,数据安全的基础保障作用日益凸显。而APP作为移动网络中数据的载体,其承载的数据对维护国家安全、企业安全及个人隐私,乃至数据合规都提出了更高要求。

  在2023年1月11日的全国工业和信息化工作会议上提及,2023年的工作重点上,将完善电信业务市场发展政策,强化APP全流程、全链条治理,加强个人隐私信息保护、用户权益保护。增强网络和数据安全保障能力,加快安全产业创新发展。

  本白皮书(或本报告)以《数据安全法》《个人隐私信息保护法》《网络安全法》等法律陆续施行背景下编制,从个人隐私信息安全和APP安全为切入点,梳理了当下APP安全发展面临的挑战与机遇,综合分析APP安全的当前态势及后期发展的新趋势,结合区块链分布式数字身份技术,寻找APP治理方向与策略,探索移动安全可持续发展道路。

  本白皮书旨在帮助打造集开发测试、发布、运行、运营全链路保障APP安全的移动合规应用发布平台,对存在中高风险漏洞和隐私违规问题的应用在上架前及时阻断,结合区块链分布式数字身份技术为平台上架APP颁发在链上的数字身份凭证,对盗版、仿冒等应用进行定期安全监测和风险识别。

  党的二十大报告提出,要“加快建设网络强国、数字中国”。当前,以数字化的经济为代表的新经济成为经济稳步的增长新引擎。数据作为数字化的经济时代最核心生产要素呈爆炸式增长,体现其基础战略资源的地位,数据安全的基础保障作用日益凸显。而APP作为移动网络中数据的载体,其承载的数据对维护国家安全、企业安全及个人隐私,乃至数据合规都提出了更高要求。

  在手机APP的日常使用中,可以最直观地感受到个人隐私信息保护的水平。在日常网络社区浏览、游戏以及购物时,是否频繁弹窗提醒,在申请获取位置、设备信息等权限前是否告知使用目的,隐私政策更新是否有提醒……

  2022年以来,工业与信息化部持续开展APP侵害用户权益“回头看”专项整治行动,先后6批次对存在违规推送弹窗信息、APP过度索取权限、移动互联网应用程序(APP)及第三方软件开发工具包(SDK)信息收集不规范等问题进行重点抽测,共累计发现约791款APP存在问题,并对202款逾期不整改或整改不到位的予以通报。

  近年来,在国家有关部门的APP治理强监管下,头部APP的隐私信息安全逐步的提升,但是尾部APP因为合规成本等问题,在个人隐私信息保护方面的动力不足,依然与头部APP存在比较大差距。尾部APP的个人隐私信息安全保护工作,仍需加大治理力度,从而提升APP整体的个人隐私信息保护水平。

  自2021年11月1日《个人隐私信息保护法》正式施行以来,关于网络安全的有关政策法规相继出台。

  2022年1月,国务院《“十四五”数字化的经济发展规划》,部署了八项重点任务,在数字化的经济安全体系方面,提出了三个方向的要求,一是增强网络安全防护能力、二是提升数据安全保障水平、三是切实有效防范各类风险,系统阐述了网络安全对于数字化的经济的独特作用及重要性。

  2022年4月26日,工业与信息化部发布《移动互联网应用程序个人隐私信息保护管理暂行规定(征求意见稿)》。《征求意见稿》对APP开发运营者、APP分发平台、APP第三方服务提供者、移动智能终端生产企业、网络接入服务提供者提出了一系列在个人隐私信息的收集、存储、使用、加工、传输过程中的相应要求,同时也明确了相应的整改期限和责任。

  2022年5月26日,全国信息安全标准化技术委员会发布了《信息安全技术网络站点平台及产品服务隐私协议要求》的征求意见稿。该要求规定了网络站点平台及产品服务隐私协议编制程序、详细的细节内容、发布形式,增加隐私协议的可读性、透明性,和处理隐私协议相关的争议纠纷等方面的要求。

  2022年9月14日,国家互联网信息办公室发布关于公开征求《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》意见的通知。拟调整违反网络运行安全保护义务等行为的行政处罚种类和幅度,完善有关规定法律责任制度。数据安全法、个人隐私信息保护法与网络安全法构成我国网络法律体系的“三驾马车”,共同保障公民的个人隐私信息安全。

  在2023年1月11日的全国工业和信息化工作会议上提及,2023年的工作重点为完善电信业务市场发展政策,强化APP全流程、全链条治理,加强个人隐私信息保护、用户权益保护。增强网络和数据安全保障能力,加快安全产业创新发展。

  依据《数据安全法》《个人信息保护法》《网络安全法》等相关相关法律和法规,通过检验测试目的、检验测试对象、检测的新方法以及检验测试的内容四个层面对APP安全检测的具体实施方案进行阐述。

  以用户信息安全和APP安全为切入点,从隐私政策、权限申请、权限收集、权限使用、APP漏洞安全等方面做检测,检测APP中存在的违规问题及安全漏洞。

  GB/T41391-2022《信息安全技术移动互联网应用程序(APP)个人信息安全测评规范》

  《网络安全标准实践指南—移动互联网应用程序(APP)中的第三方软件开发工具包(SDK)安全指引》

  抽调了各大移动应用市场各类型活跃度前200的安卓应用共计约8607款进行安全合规检测。类别囊括了地图导航、网络约车、即时通讯、新闻资讯、网络支付、在线检测流程

  APP安全合规检测基于动静双引擎检测技术,利用静态代码分析引擎和动态沙箱监测引擎,对移动应用潜在安全合规问题进行全面、深度的检测。通过插桩技术进行动态行为捕获,将行为内容传递到后台进行处理分析,有效应对不同APP、不同场景的用户个人信息最小化采集风险监测需求。通过代码分析引擎对应用中集成的第三方SDK进行仔细的检测分析,解析SDK列表,并将各SDK的权限申请及动态调用状况、风险漏洞情况、敏感数据存储情况等信息进行归类,明确问题源头。通过网络捕获技术,进行网络流量捕获记录,并根据流量数据识别并提取相应的资产信息,分析数据流,监测违规数据的收集和共享。

  依据《APP违法违规收集使用个人隐私信息行为认定方法》《个人隐私信息保护法》及其他相关政策法规,从“未公开收集使用规则”“未明示收集使用个人隐私信息的目的、方式和范围”“未经用户同意收集使用个人隐私信息”“违反必要原则,收集与其提供的服务无关的个人隐私信息”“未经同意向他人提供个人隐私信息”“未按法律规定提供删除或更正个人隐私信息功能或未公布投诉、举报方式等信息”这6个层面过对这8607款应用进行抽调检测。

  在存在未经用户同意收集使用个人隐私信息方面问题的APP中,主要存在的问题包括:

  在未明示收集使用个人隐私信息的目的、方式和范围方面问题的APP中,主要存在的问题包括:

  在违反必要原则,收集与其提供的服务无关的个人隐私信息方面问题的APP中,主要存在的问题包括:

  在未按法律规定提供删除或更正个人隐私信息功能或未公布投诉、举报方式等信息息方面问题的APP中,主要存在的问题包括:

  使用代码反编译技术,进行代码层的应用安全检测,从编码规范、发布规范、代码安全、环境安全、组件安全、数据安全和安全漏洞7各层面,分析应用存在的漏洞风险,共采集应用安全风险80余项。

  针对目前的APP安全现状,我们得知基于片面的APP安全防护甚至忽视安全防护无法达到有效的APP治理效果,有必要从APP全生命周期的方面出发,打造一套集开发测试、发布、运行、运营环节于一体的APP合规应用发布平台。

  APP合规应用发布平台的实现总体可大致分为两个子平台,将面向终端用户的业务平台和开发者平台分开。业务平台包括:合规应用展示下载、实时行业资讯和业务管理等;开发者平台包括:业务模块和引擎组件两部分。业务模块包括:安全服务、数字身份凭证管理、监测服务和定期发布尽职调查报告等功能。APP尽职调查报告深入全面透视APP市场数据及安全状况,监测300+APP分发渠道,向开发者和用户更好的提供便利的APP市场数据分析服务,包括APP在各渠道版本、下载量、评论及评分、是不是真的存在盗版仿冒等情况,帮助开发者和用户全面掌握APP信息。引擎组件包括:安全加固引擎、隐私检测引擎、漏洞检测引擎、爬虫引擎等。

  (1)开发测试阶段:提供APP安全合规检测,包括:APP风险漏洞检测、SDK检测、APP权限检测、APP隐私合规检测等;针对存在的安全问题提供完善的解决方案,包括:APP加固、SDK加固、SO加固、H5加固、小程序加固等。

  在整个全链路的APP治理流程中,包含了对APP的安全检测、安全加固、隐私合规检测、应用发布、APP上链、渠道监测等众多服务。这种APP全流程落地的治理模式,能轻松实现对APP全生命周期一站式的安全解决方案,对上架到平台的APP做到全方位治理,营造清朗的网络环境,进一步为各行各业进行安全赋能。有别于传统的APP发布平台,除了将APP安全技术运用到各个流程阶段外,还规划了APP安全合规知识专区、尽职调查报告和APP数字身份凭证三大功能。APP安全合规知识专区,定期更新行业最新安全合规相关资讯和文件,方便开发者学习提升APP安全开发能力与素养。APP尽职调查报告实时追踪APP市场动态,提供数据分析服务,助力开发者和用户全面掌握APP信息和相关行业线索。APP数字身份凭证,结合区块链的分布式数字身份技术,为每个通过漏洞检测、隐私检测等满足合规要求的可信APP在链上生成一个不可篡改的,用来标识与管理的标识信息,构建统一的应用身份体系,为切实推动APP全链路治理提供安全保障。

  未来,在Web3.0时代,区块链技术的日益成熟,为数字化转变发展方式与经济转型带来全新机遇,新旧技术的交替将拓宽APP安全合规的道路。APP合规应用发布平台也将不断推陈出新,平台的发展不仅要尽量满足当前状况下的移动安全问题,对于正在演进以及未来可能会对移动安全产生影响甚至是变革的理念和技术,也要充分研究并在管理平台接下来的发展中得以。

  以上内容为本网站转自其它媒体,有关信息仅为传递更加多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性。如稿件版权单位或个人不想在本网发布,可与本网联系,本网视情况可立即将其撤除。