11月3日,由北京金融科技产业联盟、移动支付网主办的2020第五届中国金融科技安全大会在深圳顺利召开。中国信息通信研究院副主任袁琦以《移动App网络和数据安全防护实践》为主题进行了分享。
移动App的安全发展和监管现状
移动应用是指可在移动终端上运行,且具备独立功能的程序,包括移动智能终端预置应用软件,以及互联网信息服务提供者提供的可以通过网站、应用商店等移动应用分发平台下载、安装、升级的应用软件。
移动应用软件包括几种常见的形态,即移动端App、软件开发工具包SDK以及小程序快应用等无需安装的新型应用等。
目前,移动应用价值呈指数级上升,应用产业快速发展,经济影响力日益凸显,但安全形式也日益严峻。据Cncert数据统计,2020年上半年发现新增移动互联网恶意程序163万余个,同比增长58.3%。近年来央视也连续曝光手机恶意程序吸话费、泄露用户信息等问题。
袁琦表示,针对日益严峻的移动应用安全问题,国家出台了相关法律法规,主管部门高度重视,个人信息保护法提交审议,网络和数据安全法律制度框架已逐步形成。
比如,2017年6月《中华人民共和国网络安全法》正式实施,第十七条显示,国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。
2013年发布《关于加强移动智能终端进网管理的通知》,开辟移动智能终端安全自律自控里程碑。2015年11月发布《移动智能终端应用软件预置和分发管理暂行规定》(征求意见稿),2016年6月,国家互联网信息办公室发布《移动互联网应用程序信息服务管理规定》等。
另外《电信和互联网用户个人信息保护规定》工业和信息化部令第24号,第九条中规定未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。2020年10月16日,十三届全国人大常委会第二十二次会议分组审议《个人信息保护法(草案)》。
从2010年以来工信部陆续制定了移动App监管类、开发管理类、评估测试类、应用商店类网络安全技术标准,为移动App监管提供技术依据。
移动App的网络和数据安全问题分析
随着我国移动App继续持续增长,移动App网络安全问题突出,严重威胁用户安全和隐私,甚至影响国家网络和信息安全。其中App的恶意行为包括资费消耗、隐私窃取、诱骗欺诈、恶意扣费、远程监控、系统破坏、恶意传播、流氓行为等八大危害类型。
2020年上半年新增移动互联网恶意程序163万余个,同比增长58.3%,新出现的仿冒App下载链接180个。2020年第二季度新增恶意程序的应用12379款,其中恶意程序类型还是以流氓行为为主,流氓行为以81%的比例位居首位,但是不法分子为了获得更大的利益,隐私获取类呈现上升趋势,以16%的比例位列第二名。
而据袁琦介绍,移动恶意App的网络传播渠道主要有两个来源,一个是预置应用,用户在购机时就已经安装,这主要是由于终端厂商缺乏自律,对预置应用疏于管理;另一个是通过移动互联网应用,用户主动下载安装,这一方面主要是应用商店审核机制欠缺,对上架应用疏于管理。
另外她还列举了前几年爆发的“××神奇”手机病毒案例,用户收到短信后,点开链接会自动下载一个名为“XXshenqi.apk”的文件。如果用户点击安装,手机将自动向通讯录内联系人各发一条类似短信,散播病毒的同时导致大量话费损失。事件发生之后,工信部应急中心立刻启动预案,后期实验表明在2013年11月智能终端管理之后,通过检测的手机都能对超级手机病毒进行拦截。
除了移动App本身的安全,数据安全问题也愈发突出。袁琦总结了以下几点:1、收集使用规则内容不清晰,过度收集问题广泛存在;2应用收集行为不合理不规范;3、数据共享行为不规范,缺乏强有力的第三方约束措施;4、未经用户同意频繁调用API接口获取用户信息的行为;5、未经用户同意存在窃听用户隐私进行定向推送的行为;6、未经用户同意频繁自启动及链式启动的行为。
移动App的网络和数据安全防护
袁琦介绍,针对移动App的网络和数据安全问题,工信部对移动App的网络安全技术也提出了相应的要求,包括应用软件管理、业务功能调用、外围接口调用、用户数据调用、信息内容安全、漏洞分析验证等几大方面。
依据最小权限、可知可控、安全保障的原则,开发者、移动应用生产企业、终端生产企业、运营商讨论后将移动应用安全性划分为5个等级,并分别提出了安全评估要求,第5级为最高等级。
第一级是最基本安全终端能力要求中应用层安全要求。第二级增加对于数据存储敏感性、存储性要求。第三级推送管理登录方面评估。第四级是反编译、反动态、权限滥用等要求。第五级增加对漏洞评估要求。
袁琦表示,目前移动App安全解决方案和检测也已经较为成熟。解决方案主要是对移动应用安全加固,进行内存保护、反调试保护、本地数据加密等安全防护,或者通过代码虚拟化、代码混淆等手段安全防护,防止应用被破解。
移动App安全检测采用特征码扫描、静态源码分析、动态行为监控和深度分析等多维度评测手段。对每个待测应用软件,依据评测深度、评测时间、评测手段要求,选用定制化安全评测方案,四种评测方式相互结合,优势互补。
对于移动App数据安全的要求,主要包含权限管理、告知同意、数据保存、数据使用、安全能力及个人信息保护机制等相关方面。而移动App数据安全测评体系则是以现有技术手段为参考,结合我国的标准体系框架,研究针对移动App数据保护检测方法。联合移动应用产业链各方,共同推进移动移动App数据安全评估能力建设。
她表示,数据安全防护体系必须是涵盖全生命周期的数据安全保护,不可能是在某一个事前、事中、事后,某一个小阶段或者是数据使用传输某一个阶段,必须是覆盖数据安全全生命周期。应该是覆盖用户数据事前、事中、事后全产业链数据全生命安全的保护措施。
她强调,App数据安全不但是技术问题,更多也是管理方面问题,需要技术管理两个方面同时结合,才能够保障App全产业链和全周期的管理。
展开全文
- 移动支付网 | 2020/11/17 17:33:44
- 移动支付网 | 2020/11/10 10:42:37
- 移动支付网 | 2020/11/9 17:36:19
- 移动支付网 | 2020/11/9 15:53:34
- 移动支付网 | 2020/11/9 14:16:26
- 移动支付网 | 2020/11/9 11:31:07
- 移动支付网 | 2020/11/9 10:12:30
- 移动支付网 | 2020/11/9 10:09:33
- 移动支付网 | 2020/11/9 9:46:47
- 移动支付网 | 2020/11/9 9:32:11
- 移动支付网 | 2017/1/11 17:24:54
- 移动支付网 | 2016/10/24 9:50:15
- 移动支付网 | 2016/9/21 9:56:45
- 移动支付网 | 2012/12/10 15:29:25
- 隐私护卫队 | 2020/9/4 9:40:33