在2020年3·15晚会所曝光的问题中,手机APP窃取用户隐私的情况再度出现。根据报道称,部分APP中集成的SDK存在未经过授权窃取用户的个人敏感信息的情况。
OPPO作为一家软硬服一体化的科技公司,软件安全与互联网应用安全是其在安全领域的重要建设部分。OPPO安全团队从实际出发,防止APP窃取用户隐私问题,切实保证用户的隐私及数据安全。
发现底层问题:APP为什么要集成三方的SDK?
一般来讲,一款APP涉及内容非常多,比如外卖类的APP,为了提供更好的服务,就需要获取用户的设备位置权限,同时还要获取用户周边所有餐饮店的位置信息,这样就可以基于用户的设备位置,向用户推送周边的一些美食信息。除此之外,为了让用户可以实时看到骑手送餐的路径和位置,还需要实时获取骑手位置及地图信息。
就这些功能而言,其实是涉及到了另外一个非常专业的领域-地图,外卖类APP开发者要么选择自己做地图,要么就和地图类软件合作。一般情况下,大家都会选择合作模式,由于找地图类合作的APP太多,所以地图类软件商干脆把自己的定位、导航等功能做成了一个软件开发工具包,其他APP如果想使用地图类功能,直接引用这个功能包就可以具备相关的地图功能啦。这个软件开发工具包,就是SDK。
根据2019年7月中国金融认证中心(CFCA)发布的《常用第三方SDK收集使用个人信息测评报告》所述,其检测的60款国内常用APP中,平均每款APP使用的SDK数目为19.3个,所以,在APP中引入别人家SDK是一个非常普遍的事情。
找到解决问题的难点:APP安全隐私检测的难点在哪里?
作为APP下载的平台提供方,负有对其平台上APP安全、APP合规性的监督责任,但是绝大多数平台在实际审核过程中依然存在以下几个难点:
难点一:利益诱惑大。由于移动互联网的蓬勃发展,移动终端是一个利益诱惑非常大的一个入口,几乎所有的黑色产业都会盯住这块蛋糕,目前的黑色产业都是成系统化的,分工明确,技术“过硬”。
难点二:SDK的黑盒检测。SDK由于是第三方厂商开发、封装的,对于APP而言SDK只开放了部分口子,内部代码、逻辑等都是不透明的,相当于一个黑盒子,这种黑盒的安全检测的难度非常大。
难点三:恶意行为的动态下发。目前很多的APP/SDK表明看没有任何问题,但是他的恶意行为都是通过云端随机下发,可以根据不同地区,不同人群,不同时间随机下发,这给检测工作带来非常大的挑战。
解决底层问题:OPPO安全做了什么?
OPPO安全从用户的利益出发,早在2020年初就已经在筹备对APP安全及隐私检测平台的建设-OPPO天境。OPPO天境基于静态分析、动态分析、污点分析等多引擎技术实现对APP的自动化研判分析。
OPPO天境于2020年7月顺利上线,并同步也更新了软件商店APP的审核规范,本次的重大变更点就是增加对APP安全风险及隐私保护的检测内容,覆盖以下几个方面:
恶意行为的检测。OPPO从保护用户信息完整、保密出发,防止APP通过恶意行为破坏手机系统,包括静默下载安装、远程控制、权限滥用、动态加载恶意插件等。
黑灰产行为。OPPO坚决保护用户的账户及各类资产安全,不允许通过黑灰产行为窃取用户资金或资产,破坏应用生态以及非法牟利,包括利用漏洞或欺骗行为、后台模拟广告点击或下载软件、利用用户手机CPU、内存从事电子货币计算等恶意行为。
欺骗行为。OPPO不允许有欺骗用户的行为。APP不得通过伪装来自可信来源或者其他应用,欺骗用户点击、安装、输入或跳转,进而获取用户的身份认证凭据,或者更改系统配置等。
隐私保护。OPPO珍视用户信任,将保护用户隐私作为重要的使命,严禁开发者侵害用户隐私的行为,包括尊重用户的选择,最小化收集用户的个人信息,在用户授权范围使用和分享个人信息等。
OPPO安全始终发自内心地尊重并保护用户隐私及数据安全,致力于让用户安全、流畅、便捷地享受产品和服务,在这条道路上,存在不同势力及利益的对抗,OPPO安全将始终秉持OPPO的本分企业文化价值观,一切以用户为中心。一起为了用户,OPPO安全在行动!