随着移动互联网快速发展,各类应用程序迅速普及,在促进经济社会发展、服务民生等方面发挥了重要作用。与此同时对个人信息保护也带来了巨大挑战。近年来,我国越来越重视个人信息保护,个人信息保护力度不断加强,相关政策、规范相继出台。
4月26日,工信部在其官网对外发布《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》。《意见稿》共计20条规定,界定了适用范围和监管主体。确立了“知情同意”、“最小必要”两项重要原则。根据《意见稿》要求,在我国境内开展App个人信息处理活动的,应当以清晰易懂的语言告知用户个人信息处理规则,根据 “最小必要”原则规定,从事App个人信息处理活动的,应当具有明确、合理的目的,并遵循最小必要原则,不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。
图1 《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》
3月22日国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称《规定》),旨在落实《中华人民共和国网络安全法》关于个人信息收集合法、正当、必要的原则,规范移动互联网应用程序(App)个人信息收集行为,保障公民个人信息安全。《规定》明确了地图导航、网络约车、即时通信、网络购物等39类常见类型移动应用程序必要个人信息范围,并要求其运营者不得因用户不同意提供非必要个人信息,而拒绝用户使用App基本功能服务。
《规定》于2021年5月1日起施行。
图2 《常见类型移动互联网应用程序必要个人信息范围规定》
通付盾凭借自身在移动安全领域与隐私保护领域研发服务实力,提供通付盾云权限检测服务,助力移动应用个人信息信息收集规范化。
通付盾北斗团队(负责安全合规产品)于2013年成立,8年来专注于移动应用全生命周期的安全研究,积累了丰富的移动应用安全实战经验,不断保持技术研发与创新,致力于为企业提供移动应用全生命周期安全工程解决方案。自研了符号执行、动态沙箱、大数据分析、VMP虚拟机保护、iPA动态壳保护等多个核心技术。团队所研发产品已服务于上千家各行业客户,深入到政府、军工、能源、金融、运营商、教育、医疗、传媒、交通、互联网等行业,为数十亿级移动终端提供了移动应用安全保障。其中移动应用安全合规检测成功服务国测、军测、公安和工信部,实现国家级测评机构全覆盖。
通付盾北斗团队(负责安全合规产品)以四部委联合发布的《规定》为重点依据,参考国家发布的移动互联网安全管理的其他相关政策文件,经过深入研究分析,对39类移动应用的权限检测制定了一套完整可施行的检测标准。
具体应用类型及最低权限要求整理如下:
1 地图导航
2 网络约车
3 即时通信
4 网络社区
5 网络支付
6 网上购物
7 餐饮外卖
8 邮件快件寄递
9 交通票务
10 婚恋相亲
11 求职招聘
12 网络借贷
13 房屋租售
14 二手车交易
15 问诊挂号
16 旅游服务
17 酒店服务
18 网络游戏
19 学习教育
20 本地生活
21 女性健康
22 用车服务
23 投资理财
24 手机银行
25 邮箱云盘
26 远程会议
27 网络直播
28 在线影音
29 短视频
30 新闻资讯
31 运动健身
32 浏览器
33 输入法
34 安全管理
35 电子图书
36 拍摄美化
37 应用商店
38 实用工具
39 演出票务
通付盾云权限检测服务依托于先进的动静双结合检测引擎技术,结合云真机检测平台,依据检测标准,对各类应用进行全面检测,提供专业的检测报告。权限检测服务采用了基于以程序分析为核心的静态分析引擎和以动态运行沙盒为核心的动态检测引擎,针对App使用全过程进行权限检测,依据权限检测标准,主动发现App存在的未经授权擅自收集、过度和非必要收集、频繁索权和强制收集、隐瞒第三方SDK收集行为、私自共享给第三方等违规采集个人信息使用问题,从而帮助用户快速、准确地检测App中存在的敏感权限调用及过度个人信息收集。
检测流程
图3 权限检测流程示意图
用户仅需将待检测应用提交至通付盾云权限检测服务,平台将实时监测应用真机环境自动化运行过程,对运行过程中权限申请和调用情况详细记录,依据检测标准对权限申请和调用情况进行智能分析,出具详细分析报告。
通付盾云权限检测服务可提供应用检测详请分析及检测报告下载。检测详情分析包括检测结果总览、超规权限调用详情、权限调用流程记录等。
1)权限检测结果总览:对超规权限、超规行为、应用风险、第三方SDK的检测结果做汇总及详细说明。
图4 超规权限检测结果总览
2)超规权限调用详情:详细记录了调用的权限类型、页面信息、调用API、调用类等信息。
图5 超规权限调用详情
3)权限调用流程记录:详细跟踪记录了真机检测的整个执行过程。
图6 权限调用流程记录
典型案例
如以下某款学习教育类应用软件,依据《规定》,(十九)学习教育类,基本功能服务为“在线辅导、网络课堂等”必要信息为:注册用户移动电话号码。
通过权限检测发现其在实际使用场景中除获取手机号码外,申请及调用的用户权限包括获取位置信息、允许安装和卸载文件系统、读取底层日志、拨打电话等。严重超出了《规定》要求的隐私权限范围。
图7 权限检测结果
通付盾作为国家信息安全技术应用创新联盟成员单位、国家网络与信息安全通报机制技术支持单位、国家计算机病毒应急处理中心优秀技术支持单位、中国国家信息安全漏洞库(CNNVD)技术支撑单位、中国反网络病毒联盟(ANVA)白名单工作组成员单位,将继续不断加强自身网络安全技术创新能力,持续为企业履行保护用户个人信息的责任和义务方面作出贡献。
今日起,通付盾App权限检测面向所有用户免费开放!