9月18日央视《新闻1+1》报道了《可怕的App要有“法”治》系列节目,提到多个下载量较高的移动App存在远程控制,恶意扣费,超范围采集个人信息等问题,引起了社会各界,特别是政府监管部门的高度关注。
深究其背后的因素,360安全专家认为,开发者在业务发展中可能更多注重业务功能的实现,对于很多外部因素,比如高危漏洞、恶意行为、隐私泄露等问题没有太多精力处理。对国家此次提出的整改需要,开发者可选用第三方专业的安全检测工具,对自身应用进行详细自查,及时掌握安全隐患问题。
今年1月,中央网信办、工信部、公安部、市场监管总局四部门联合发布公告,宣布开展为期一年的App违法违规收集使用个人信息专项治理,并委托成立了App专项治理工作组。在9月17日,2021年国家网络安全宣传周“个人信息保护高峰论坛”上,工作组透露,目前已经收到近9000条举报信息,涉及2000多款App,整改问题多达800余个!
360安全专家表示,随着APP研发的快速化,集成化,安全问题也随之加剧,如远程控制、恶意扣费等恶意行为或者高危漏洞等事件也是层出不穷,除了APP自己本身的问题之外,也有很多可能是集成的第三方SDK引入的问题。
为了营造健康的用户信息收集和使用环境,配合监管部门对涉嫌违法违规APP的专项治理,同时为开发者提供自查和获证后的自评价渠道,360天御团队推出针对移动应用的自查工具,包含合规检测,病毒检测,漏洞检测,恶意攻击防范,第三方SDK监控等。
针对APP存在远程控制、恶意扣费等八大类的恶意行为,360天御提供的恶意行为检测可以检测出绝大多数恶意样本,对于未知样本转入人工分析,并将检测结果细分至恶意扣费,隐私窃取,远程控制,恶意传播,资费消耗,系统破坏,欺诈,流氓行为,代理,下载者,释放者,支付类,勒索等子行为。
对于国家重点关注的隐私权限问题,可以基于静态自动化检测、模拟器半自动检测、人工深度检测。对APP/SDK所申请的敏感隐私权限、采集用户个人信息的类型、频率、回传服务端场景、热更新行为等进行安全评估,明确APP中使用的涉及采集用户个人信息。同时依靠360强大的漏洞检测能力及庞大的病毒库,产品还对APP/SDK可能存在的与权限利用或隐私窃取高度相关的漏洞和恶意行为进行深度检测,更大限度保护用户的个人信息安全。
当然,由于App生态的复杂性,其治理不能仅靠App厂商,而需要多方共治。360作为安全厂商为开发者提供自查服务,既是国家“法”治,更有助于行业协同,形成综合治理生态。