信息化觀察網(wǎng)

訂個酒店，為什么手機的攝像頭彈出了？

在線看個視頻，為什么要讀取位置信息？

網(wǎng)上買個東西，為什么要讀取運動數(shù)據(jù)？

更關(guān)鍵的是，這些越界得來的數(shù)據(jù)，后來都拿去做了什么……

當(dāng)下，隨著移動互聯(lián)網(wǎng)日益浸入大眾生活的方方面面，網(wǎng)絡(luò)安全環(huán)境卻差強人意：風(fēng)險提示的缺失，個人隱私保護(hù)的漏洞，大數(shù)據(jù)殺熟等一系列問題頻頻發(fā)生，網(wǎng)絡(luò)安全環(huán)境可謂亂象叢生。

移動安全事件頻發(fā) 多起案例警示用戶

1、2018年6月，vivo發(fā)布了新機型vivo NEX，這款手機安裝了升降式前置攝像頭，在用戶需要拍攝時鏡頭會升起，挺有互動感的設(shè)計。但在上市之后這款手機就開始出現(xiàn)了詭異的現(xiàn)象：明明沒有自拍，攝像頭卻升起來“瞅”你一眼，再默默地縮回去。但這并非是手機故障，也不是“鬼故事”，而是部分App在不需要拍攝的時候照樣獲取了攝像頭權(quán)限。雖然部分涉事App在后來的回應(yīng)中表示不會真的去“偷窺”用戶，但這仍屬典型超出隱私授權(quán)范疇的越界獲取隱私數(shù)據(jù)行為。

2、2018年8月，國內(nèi)各地陸續(xù)發(fā)生了一些利用短信驗證碼冒用身份、竊取銀行賬戶、金融類 APP 財產(chǎn)的案件。受害者睡了一覺，手機接到100多條驗證碼，支付寶、京東、關(guān)聯(lián)銀行卡的錢都被轉(zhuǎn)走，京東還被開了白條功能，錢也被悄悄“借走”，受害者甚至莫名其妙“被網(wǎng)貸”，進(jìn)而遭遇較大經(jīng)濟損失，對此警方已立案偵查。

3、2018年8月7日，成都人社局發(fā)布聲明表示“社保掌上通”APP并未獲得官方授權(quán)，大家每天參保的地方竟然是個“山寨貨”。一時間各種山寨APP也被扒出來見光，不少用戶反映在下載“山寨APP”后出現(xiàn)手機話費流失，通訊錄隱私泄露，甚至存款流失的情況，而大部分手機用戶如果沒有明顯的經(jīng)濟損失甚至都發(fā)現(xiàn)不了。這樣“費盡心機”出現(xiàn)在我們眼前的“山寨APP”正在為黑產(chǎn)帶來暴利。

盡管國家相關(guān)法律法規(guī)已經(jīng)出臺，但是許多App仍然存在濫用權(quán)限，收集用戶敏感隱私數(shù)據(jù)的行為。數(shù)據(jù)顯示，目前 九成App正越權(quán)監(jiān)控用戶的生活。2018上半年，Android端獲取隱私權(quán)限的手機App占比已經(jīng)達(dá)到99.9%，幾乎所有的Android端手機App都會程度不同地獲取隱私權(quán)限，iOS端獲取手機隱私權(quán)限的App占比也在2018年激增至93.8%。其中，網(wǎng)絡(luò)游戲類App獲取隱私權(quán)限比例增幅最大，由2017年下半年的43.1%增長到2018年上半年的88.9%，增幅達(dá)45.8%。

互聯(lián)網(wǎng)應(yīng)用亂象叢生 如何規(guī)避網(wǎng)絡(luò)風(fēng)險

面對如此復(fù)雜的移動互聯(lián)網(wǎng)環(huán)境，面對各種偽裝的APP應(yīng)用程序，用戶該如何鑒別和規(guī)避？國家監(jiān)管部門通過哪些渠道在規(guī)范移動互聯(lián)網(wǎng)行業(yè)？日前，記者帶著這樣的疑問采訪了國內(nèi)專業(yè)的移動信息綜合安全服務(wù)商——愛加密。

談及目前國內(nèi)移動應(yīng)用安全市場存在哪些突出的問題，愛加密技術(shù)副總裁程智力介紹：“當(dāng)下最突出的問題是移動應(yīng)用的仿冒、盜版、釣魚和被篡改問題。目前很多人下載的移動應(yīng)用不是通過正規(guī)的移動應(yīng)用市場去下載的，是通過一些網(wǎng)站、貼吧、甚至個人直接發(fā)布出來的，這種應(yīng)用往往會攜帶許多惡意程序、木馬、病毒，用戶下載之后會帶來極大的安全風(fēng)險，還能通過一些惡意的應(yīng)用控制手機的鍵盤，通過植入的木馬程序把用戶的信息竊取掉。比如有些人手機一直在身邊，第二天發(fā)現(xiàn)銀行的錢被轉(zhuǎn)走了。出現(xiàn)這種問題的原因有兩種可能，一是手機可能安裝了含有惡意程序的APP，當(dāng)用戶在輸入賬號密碼時將賬號密碼發(fā)送出去了，黑客重新綁定一個手機進(jìn)而把錢轉(zhuǎn)走，對于用戶來說是沒有任何感知的。二是APP在出廠時它所集成的SDK就有問題和風(fēng)險。今年1月份有幾百萬APP感染了寄生推惡意SDK，可以直接在手機上獲取權(quán)限，然后推送廣告、竊取隱私信息，所以APP在出廠之前要做全面的安全風(fēng)險檢測和防護(hù)。

對于國家層面的監(jiān)管，程智力表示，今年5月份歐盟通用數(shù)據(jù)保護(hù)條例(GDPR)開始實施，中國也配套實施了個人信息安全規(guī)范，對用戶的信息輸入、傳輸、存儲、應(yīng)用、銷毀都有了明確要求，前期集中升級的APP都會彈出一個對話框，讓用戶重新同意用戶協(xié)議，那個協(xié)議就是為了適應(yīng)GDPR或者個人信息安全規(guī)范的要求，告知用戶個人信息使用的權(quán)利和義務(wù)。以前在使用很多程序時會發(fā)現(xiàn)注冊很容易，注銷很難，用戶可以不使用它，但是注冊的信息永遠(yuǎn)都在服務(wù)提供商處?，F(xiàn)在這種情況是非法的，現(xiàn)在的APP必須能夠注冊也能夠注銷。

問及現(xiàn)在APP上架是否需要備案，程智力介紹：原則上APP廠商需要向網(wǎng)信辦、國家病毒應(yīng)急處理中心、工信部、公安部等相關(guān)部門備案，這些部門都會檢查APP資產(chǎn)和安全情況。此外，國家對P2P平臺強制要求過等級保護(hù)三級認(rèn)證，其中有一項就是APP必須要做加固和檢測，做完加固才能滿足上線要求。有些城市比如上海，APP安全檢查是強制要求的，監(jiān)管部門會核實備案情況和使用情況是否一致，檢查有沒有權(quán)限濫用、有沒有個人信息泄露、有沒有被篡改、有沒有惡意的病毒、木馬等現(xiàn)象，發(fā)現(xiàn)有問題的APP后會勒令下架和整改。

對于如何從開發(fā)者到用戶共同構(gòu)建一個移動安全生態(tài)，程智力認(rèn)為，首先要做好“防護(hù)”，把握好入口，每一個APP上架都要有身份，通過檢測合格后才能上架;其次是做好“檢測”，發(fā)現(xiàn)仿冒身份的及時做出響應(yīng);再次是做好“監(jiān)測”，對申報和使用的APP不是同一款時及時做出處理;此外，APP在動態(tài)運行過程中要實時監(jiān)控有沒有使用違法/違規(guī)的行為，發(fā)現(xiàn)有問題的勒令快速下架或整改。對于這一系列流程愛加密都有非常有效的解決方案，配合監(jiān)管部門凈化移動應(yīng)用市場。

大數(shù)據(jù)賦能移動安全 網(wǎng)絡(luò)環(huán)境趨向良性

非法違規(guī)APP既侵犯用戶隱私信息及財產(chǎn)安全，也對APP企業(yè)及行業(yè)帶來很大程度的威脅，為了進(jìn)一步凈化網(wǎng)絡(luò)環(huán)境，保護(hù)合規(guī)APP的安全，助力監(jiān)管部門規(guī)范市場，愛加密依托多年來積累的行業(yè)數(shù)據(jù)建立了“移動安全大數(shù)據(jù)平臺”。

程智力介紹，建立“移動安全大數(shù)據(jù)平臺”主要基于兩個需求。

第一個需求是企業(yè)需要情報。企業(yè)不能只關(guān)心自己的風(fēng)險，還要關(guān)注周圍環(huán)境的安全，周圍的風(fēng)險也可能會影響自身業(yè)務(wù)，所以愛加密要通過大數(shù)據(jù)平臺幫助企業(yè)去感知外部風(fēng)險，通過分析外部的風(fēng)向標(biāo)對內(nèi)部的風(fēng)險去預(yù)測和分析，動態(tài)的調(diào)整風(fēng)險的防護(hù)和策略。比如我是一家銀行，通過愛加密大數(shù)據(jù)平臺監(jiān)測到銀行業(yè)最近面臨的風(fēng)險威脅可能來自某個釣魚或者惡意的軟件，既然行業(yè)內(nèi)的企業(yè)會遇到這樣的風(fēng)險，那么這家銀行的APP即使目前沒有遇到這個問題，那么以后遇到這個問題的風(fēng)險也是很大的，在這個過程中我們會動態(tài)調(diào)整對這家銀行的防護(hù)策略，加強風(fēng)險系數(shù)防護(hù)能力，進(jìn)而去規(guī)避企業(yè)在未來可能會遇到這種風(fēng)險的幾率，實現(xiàn)主動防御。

第二個需求是國家監(jiān)管機構(gòu)的需要。網(wǎng)絡(luò)安全等同于國家安全，國家需要對整個網(wǎng)絡(luò)環(huán)境進(jìn)行全方位的監(jiān)控，國家監(jiān)管機構(gòu)一方面要梳理所有APP的資產(chǎn)和安全情況，記錄中國到底有多少合法以及非法的APP，這些APP是屬于什么區(qū)域、什么行業(yè)，是誰在運營、IP地址是什么、里面有什么功能模塊，里面的內(nèi)容是否違規(guī)，有沒有跨境數(shù)據(jù)傳輸?shù)?。另一方面是掌握所有APP安全維度的信息，有沒有被攻擊、有沒有被破解、有沒有違規(guī)、是否跟非法VPN/網(wǎng)絡(luò)電話有關(guān)、是不是被釣魚、有沒有出現(xiàn)國家明令禁止行為等等，這都需要有一個大數(shù)據(jù)平臺做技術(shù)支撐，輔助監(jiān)管部門履行行政職能。

據(jù)悉，愛加密移動安全大數(shù)據(jù)平臺是迄今為止國內(nèi)保存最全面的APP大數(shù)據(jù)平臺，數(shù)據(jù)總量超過1800萬款A(yù)PP，去掉重復(fù)數(shù)據(jù)之后有800+萬款，數(shù)據(jù)主要源自愛加密覆蓋的9億移動終端和多年來的行業(yè)積累，能夠?qū)崿F(xiàn)完整的移動安全風(fēng)險視圖畫像。目前，愛加密移動安全大數(shù)據(jù)平臺已在十九大期間協(xié)助深圳市網(wǎng)監(jiān)局提供互聯(lián)網(wǎng)APP重點監(jiān)查服務(wù)，并先后協(xié)助國家監(jiān)管部門破獲多起利用APP進(jìn)行的網(wǎng)絡(luò)犯罪事件，成功打掉非法窩點。

在新技術(shù)的推動下，移動互聯(lián)網(wǎng)安全正在由混亂向有序發(fā)展，通過政府部門的監(jiān)管、安全服務(wù)商的助推、APP開發(fā)運營單位風(fēng)險意識的加強以及用戶安全意識的提升，網(wǎng)絡(luò)環(huán)境將逐步走向規(guī)范。與此同時，大數(shù)據(jù)、人工智能和網(wǎng)絡(luò)安全的結(jié)合也將帶來顛覆性、變革性影響，推動移動互聯(lián)網(wǎng)安全市場良性、健康發(fā)展。