典型移动APP安全风险提醒

这篇具有很好参考价值的文章主要介绍了典型移动APP安全风险提醒。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

研究背景

随着互联网和移动设备的发展,手机已成为人人都拥有的设备,各式各样的App更是丰富了人们的生活:从社交到出行、从网购到外卖,从办公到娱乐等,App已成为大众生活必需品。然而,App的流行使人们对App违规收集个人信息的风险更加担忧。

为切实加强用户个人信息保护,为人民群众提供更安全、更健康、更干净的信息环境,国家工业和信息化部为此发布了一系列的相关法律法规和监管标准通知,并在全国范围内组织开展App违法违规收集使用个人信息专项治理工作。

2022年第一季度,奇安信病毒响应中心共收录全国应用市场新增App活跃样本近30万个。本报告依据《App违法违规收集使用个人信息行为认定方法》等内容要求,使用奇安信自研安卓动态引擎QADE对新增APP样本进行抽样检测,重点评估“无提示收集个人信息”和“高频次收集个人信息”两种最为常见、影响较深的合规性问题。

  1. 检测引擎

本次检测采用奇安信完全自主研发安卓动态引擎QADE(后文统称奇安信QADE引擎)。奇安信QADE引擎既支持对App进行传统恶意检测,同时也支持对App违规收集个人信息及索权等合规性问题的检测,是“综合一体化”动态引擎。

  1. 检测依据

本次报告主要参考以下相关的国家法律法规作为检测标准依据:

《网络安全法》、《电信和互联网用户个人信息保护规定》、《GB/T 35273-2020信息安全技术个人信息安全规范》、《关于开展纵深推进App侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)、《App违法违规收集使用个人信息行为认定方法》

  1. 检测内容

本次报告重点检测了相关App在以下两方面的合规性问题:

无提示收集个人信息

无提示收集个人信息是指存在无隐私说明提示或者未点同意隐私协议便开始收集用户个人信息的情况。

无提示收集个人信息,实际上就是在不告知用户,或用户不知情的情况下,秘密收集用户的各种个人信息,从而给用户带来个人信息泄露、个人信息被滥用等网络安全风险。很多App为了实现自身不当的商业利益,会选择不告知用户个人信息收集规则,或只告知用户部分个人信息收集规则。

高频次收集个人信息

高频次收集个人信息是指存在高频率(每百秒的收集次数)收集用户个人信息的情况。

高频次收集个人信息,会导致用户个人活动信息被过渡收集,从而危害用户个人信息和隐私安全,同时还会快速消耗用户手机电量和网络流量。

关于什么样的收集频次属于高频次收集,相关法律法规并没有特别明确的具体规定。在本报告中,每百秒内收集个人信息超过2次(包含2次),即认定为高频次收集。

  1. 数据范围

本次报告的检测周期为2022年1月1日至2022年3月31日,国内四个应用市场的新收录及更新的APP样本共近30万个。这四个应用市场分别是:豌豆荚、多多软件站、pc6应用市场和2265应用市场。

流行App违规风险形势分析

存在违规风险的App规模

2022年第一季度,在针对近30万个新增活跃App样本的抽样检测中,存在“无提示收集个人信息”风险和“高频次收集个人信息”风险的App,分别占到检测样本总量的21.3%和14.7%。总体来看,平均每5个App中,就会有一个存在个人信息收集方面的违规风险。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-47SjbAsU-1691328650067)(http://public.host.github5.com/media/a18e0d7ceba197a38d36f8aacd927a68.png)]

本季度检出的所有存在违规风险的App中,至少有1款下载量超过1亿次,4款下载量超过1000万次,19款下载量超过100万次。仅这24款App就至少影响国内超过2亿用户。

存在违规风险的App类型

从App类型来看,在2022年第一季度的检测中,存在违规风险最多的App是网上购物类App,约占所有存在违规风险App总数的20.1%;其次是生活休闲类,占比为15.6%。办公商务类排名第三,占比13.6%。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WKD6EnfP-1691328650068)(http://public.host.github5.com/media/ee61b55ba5847379ac002b3337631ce5.png)]

典型App违规风险行为分析

无提示收集个人信息类型分析

检测显示,在所有存在“无提示收集个人信息”风险的App中,IMEI、MAC地址和IMSI是App静默收集个人信息最主要的三个类型。其中,87.6%会无提示收集IMEI 信息,50.6%会无提示收集MAC地址,16.7%会无提示收集IMSI信息,而无提示收集其他个人信息的情况,仅占1.7%。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SjUwZnSW-1691328650069)(http://public.host.github5.com/media/79ceebce61eba1e7898a6dce55d968eb.png)]

名词解释

IMEI

国际移动设备识别码(英语:IMEI,International Mobile Equipment Identity),是用于在移动电话网络中识别每一部独立的手机等移动通信设备。

MAC地址

硬件位址(英语:Media Access Control Address),也称为局域网地址、MAC位址、以太网地址或物理地址,它是一个用来确认网络设备位置的位址。

IMSI

国际移动用户识别码(英语:IMSI,International Mobile Subscriber Identity),是用于区分蜂窝网络中不同用户的、在所有蜂窝网络中不重复的识别码。

高频次收集个人信息情况分析

如前所述,在2022年第一季度检测的所有新增活跃App样本中,一百秒内收集用户个人信息超过2次(包含2次)的App占到了所有被检测App总量的14.7%。在所有存在高频次收集个人信息风险的App中,每一百秒收集个人信息次数大于等于2次,但低于5次的App约占44.0%;6~10次的占比28.7%,11~20次的占比18.8%,大于20次的占比8.5%。

特别的,我们在本季度的检测中,发现某款收集个人信息最为频繁App,竟然在一百秒内对IMEI信息收集了138次,平均每秒1.38次,相当于平均约每0.7秒就收集一次,可谓是对用户个人信息的“不间断”收集。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1WQZ3S5s-1691328650070)(http://public.host.github5.com/media/b950740367c97125d880acb48e9fe814.png)]

违规个人信息收集者分析

App对于用户个人信息的收集,未必都是由App自身来完成的,很多时候是因为App集成了第三方SDK,而第三方SDK存在个人信息收集行为。如果相关App在用户协议中,没有告知其集成的第三方SDK存在的个人信息收集情况,同样也会构成“无提示收集个人信息”的违规风险。如果第三方SDK存在“高频次收集个人信息”的情况,那么相关App也会存在同样的违规风险。

统计显示,在所有存在“无提示收集个人信息”和“高频次收集个人信息”风险的App中,对用户信息进行违规收集的,84.0%属于第三方SDK行为,仅有16.0%属于App自身行为。也就是说,对第三方SDK的不规范使用,以及第三方SDK自身的不规范行为,是导致当前部分App存在违规收集用户个人信息风险的主要原因。检测还发现,有两款知名的第三方SDK,分别覆盖了存在违规行为的App总量的29.0%和21.0%。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VOrSaqp6-1691328650071)(http://public.host.github5.com/media/f0995a3e294e0bddb767a4d094b5cf58.png)]

研究还发现,在某些存在违规收集用户个人信息风险的App中,集成了不止一款存在违规收集用户信息行为的第三方SDK。统计显示,在所有集成了违规收集个人信息SDK的App中,只集成了1款违规SDK的App占比为84.4%,集成了2款违规SDK的App占比为12.7%,另有2.9%的App集成3款及以上的违规SDK。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-slMs25CS-1691328650072)(http://public.host.github5.com/media/20384540d74ae4cfc8fbdf1c4d0ab08e.png)]

奇安信病毒响应中心

奇安信病毒响应中心是奇安信集团旗下的专业病毒鉴定及响应团队。中心以奇安信核心云平台为基础,拥有每日千万级样本检测及处置能力、每日亿级安全数据关联分析能力。结合多年反病毒核心安全技术、运营经验,基于集团自主研发的QOWL和QDE引擎,形成跨平台木马病毒查杀能力与漏洞修复能力,并且具有强大的大数据分析能力,可以实现全平台安全和防护预警能力。

奇安信病毒响应中心支撑奇安信全线安全产品的病毒检测,积极响应客户侧的安全反馈问题,可第一时间为客户排除疑难杂症。中心曾多次处置重大病毒传播事件,多次参与重大活动安全保障工作,受到客户的高度认可。

奇安信病毒响应中心移动安全团队

奇安信病毒响应中心移动安全团队一直致力移动安全领域及Android安全生态的研究,不仅可以为奇安信移动安全产品提供常见的移动端病毒木马查杀能力,也可以精准识别时下流行的刷量、诈骗、博彩、违规、色情等黑产类软件,并支持对App的合规化安全检测。

团队创新研发的高价值移动端攻击发现流程,已成功捕获到国内外多起针对移动平台的重大攻击事件,并发布了多篇移动黑产报告,披露了多个通过移动平台发起攻击的APT组织及其活动。特别的,近两年来,团队首发披露了包括诺崇狮组织SilencerLion、利刃鹰组织BladeHawk、艾叶豹组织SnowLeopard和金刚象组织VajraEleph在内的多个全新的APT组织。团队的高级威胁的分析与追踪溯源能力在国内外均处于领先水平。

奇安信移动安全产品介绍

奇安信移动终端安全管理系统(天机)是面向公安、司法、政府、金融、运营商、能源、制造等行业客户,具有强终端管控和强终端安全特性的移动终端安全管理产品。产品基于奇安信在海量移动终端上的安全技术积淀与运营经验,从硬件、OS、应用、数据到链路等多层次的安全防护方案,确保企业数据和应用在移动终端的安全性。

奇安信移动态势感知系统是由奇安信集团态势感知团队与奇安信病毒响应中心移动团队合力推出的一个移动态势感知管理产品,主要面向具有监管责任的政企机构客户,着重于监测App的下载与使用环节,协助相关监管机构摸清辖区范围内App的使用情况,给客户提供App违法检测、合规性分析及App溯源等功能。

延伸阅读

更多内容 可以 App违规收集个人信息风险分析报告. 进一步学习

联系我们

DB50-T 1404-2023 生猪无抗养殖生物安全控制技术规范 重庆市.pdf文章来源地址https://www.toymoban.com/news/detail-685112.html

到了这里,关于典型移动APP安全风险提醒的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 2022 极术通讯-白皮书:PSA Certified 的10个安全目标和 Microsoft 的高安全设备的7个属性

    首发极术社区。如对Arm相关技术感兴趣,欢迎私信 aijishu20加入技术微信群。导读:极术通讯引入行业媒体和技术社区、咨询机构优质内容,定期分享产业技术趋势与市场应用热点 • Apple ,小米汽车一定会使用的UWB技术 UWB 是Ultra Wide band(超宽频)是一种短距离无线通信协议,

    2024年02月09日
    浏览(41)
  • 海峡链技术白皮书-整体篇

    “引言:海峡链技术白皮书分为《海峡链技术白皮书-整体篇》、《海峡链技术白皮书-开放共识链篇》、《海峡链技术白皮书-开放许可链篇》和《海峡链技术白皮书-IPFS篇》四个章节。《海峡链技术白皮书-整体篇》对海峡链的设计思路、技术框架、产品生态等方面进行了整体

    2023年04月12日
    浏览(64)
  • 以太坊白皮书(中英对照版)

    Ethereum:A Next-Generation Smart Contract and Decentralized Application Platform 以太坊:下一代智能合约和去中心化应用平台 Satoshi Nakamoto’s development of Bitcoin in 2009 has often been hailed as a radical development in money and currency, being the first example of a digital asset which simultaneously has no backing or “intrinsic v

    2024年02月03日
    浏览(54)
  • Solana白皮书中文翻译(1)

    作者:Anatoly Yakovenko(anatoly@solana.io) 翻译:tangenter.eth 本文提出了一种新的区块链架构,其基础是一种能够验证链上事件发生的先后顺序及时间间隔的新共识算法,称作 工作历史证明 (Proof of History,PoH)。PoH算法能够将不可信任的时间间隔数据打包为区块链账本——一种只

    2024年02月02日
    浏览(69)
  • 公告|Gear 官方白皮书正式发布!

    Gear 官方白皮书对开发者很有助益,将分为以下部分: Gear 协议的技术原理 Gear 网络架构 Gear 协议的组成部分 Gear 与其他 dApp 开发网络有何不同 为了使大家更好地了解 Gear 网络的愿景,Gear 白皮书涵盖以下内容: 互联网简史,阐述第一代区块链和现代区块链的区别以及它们的

    2024年02月01日
    浏览(45)
  • Chainlink——白皮书简析(whitepaper v2)

            以目前区块链公链比较成熟的生态以太坊为例,为了保证账本的准确性和智能合约执行的确定性,以太坊节点虚拟机会被运行在一个隔离的环境中,因此在虚拟机中运行的智能合约代码无法跟传统编程语言一般直接从链下或者互联网获取数据,所有链下的数据都需

    2023年04月09日
    浏览(39)
  • 《金融数据保护治理白皮书》发布(137页)

    温馨提示:文末附完整PDF下载链接 导读   目前业界已出台数据保护方面的治理模型,但围绕金融数据保护治理的实践指导等尚不成熟,本课题围绕数据保护治理的金融实践、发展现状,探索和标准化相关能力要求,归纳总结相关建设范式,推进数据保护、治理在金融领域的

    2024年02月14日
    浏览(47)
  • 《2023人工智能发展白皮书》发布(118页)

    导读 nbsp; 本白皮书由七大部分组成。第一章人工智能产业链分析,描绘人工智能产业链全景图,并对产业链各环节进行深入分析;第二章人工智能行业环境,明确中国人工智能行业生命周期和竞争结构;第三章人工智能发展概况,阐述国内外人工智能行业发展现状;第四章人工智

    2024年02月09日
    浏览(52)
  • AI 大型语言模型的最佳应用白皮书手册

    目录 What are large language models?什么是大型语言模型? Applications of large language models大语言模型的应用

    2024年02月07日
    浏览(44)
  • 分享|2022中国区块链年度发展白皮书(附PDF)

    内容摘要: 为全面掌握2021年我国区块链技术创新和产业发展的整体态势,把握2022年我国区块链发展的最新动向,赛迪区块链研 究院组织专家力量,编撰形成了《2021年中国区块链年度发展白皮书》。在详细梳理我国区块链发展总体现状,围绕产业发展、技术创新、行业应用

    2023年04月08日
    浏览(44)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包