南都讯 记者蒋琳 9月15日,“2019年网络安全专题发布会”在天津举行。国家计算机病毒应急处理中心(CVERC)常务副主任陈建民介绍,目前App和软件开发工具包(SDK)普遍存在恶意扣费、超范围采集个人信息等六大问题,其中BAT、极光、友盟旗下的SDK存在高危漏洞,小米推送SDK则直接向新加坡传送敏感数据。
近年来,移动互联网发展势头迅猛。据统计,截止2019年6月,中国手机网民规模达到8.47亿人。与此同时,移动App强制授权、过度索权、超范围收集个人信息的现象大量存在,违法违规使用个人信息的问题十分突出。
南都记者了解到,国家计算机病毒应急处理中心承担了全国移动App安全监测处置工作任务,包括对App分发平台开展技术监测,起草App和SDK的安全性检测标准等,意在打造全球最先进、最权威的移动安全检测平台。
陈建民指出,目前App和SDK存在的主要问题有:存在远程控制、恶意扣费等八大类恶意行为,比如“家校看板”、“拨号大师”等App;还有的涉嫌侵犯公民个人隐私,比如“果果分期”和“烈鸟”被发现向服务器回传用户的通讯录和短信内容。
前不久,广东省公安机关曝光了42款超范围收集用户信息的App,其中包括“芒果TV”、“贝壳找房”、“西瓜视频”等下载量较大的知名App。
据陈建民介绍,超范围采集个人隐私的现象的确十分普遍——“金山词霸”、“腾讯爱玩”、“墨迹天气”、“陌陌”、“今日头条”、“京东金融”、“云闪付”都存在类似问题。
除了App,国家计算机病毒应急处理中心还梳理分析了市面上的3000多种SDK。陈建民指出,存在问题的SDK比例“比较高”,主要表现为存在高危或中危漏洞,容易被黑客攻击。
“包括百度云推送、极光推送、现在支付,还有友盟、腾讯这种比较主流的头部App应用企业旗下的SDK,我们发现都存在着大量的这种问题”,他说。
此外,不少App和SDK都违反了采集个人信息的“最小够用”原则。陈建民说,“现在好多App包括SDK申请了大量的权限,但跟它的功能可能毫不相关;也可能它只需要五个权限,他可能会申请15到25个,甚至55个。”
比如“云知声语音”App过度获取了读取联系人、访问确切位置信息、更改WLAN状态三个系统权限;“阿里云移动推送”SDK过度获取了重启程序、安装/卸载文件系统权限;“现在支付”SDK则过度获取了发送短信或彩信权限。
今年6月,国家互联网信息办公室发布的《个人信息出境安全评估办法(征求意见稿)》提出,个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。
但是陈建民表示,他们通过分析发现,“小米推送”SDK直接往新加坡传送敏感数据,“现在支付”SDK则直接向香港传输敏感数据。“这种跨境传输使我们国家严令禁止的”,他强调。
为了构建App和SDK安全治理的长效机制,国家计算机病毒应急处理中心推出了六项举措,包括建立扁平化快速处置联动机制,加强法律法规的解读和宣贯,加强相关标准的制定工作,开展App和SDK的检验认证和安全服务工作,以及提供移动互联网安全社会化服务。