6月11至12日,2019 腾讯安全国际技术峰会上,腾讯安全科恩实验室对外发布了《2018年Android应用安全白皮书》(以下简称《白皮书》),该实验选取了14个应用市场分类中下载量前100名左右的APP,共计1404个检测样本。检测结果显示,这1404个样本中,有1381个APP存在安全问题,这意味着,98%的安卓应用存在安全风险。
其中共计165款App涉嫌过度收集了位置信息。分别有113款、104款、17款APP涉嫌过度收集或使用短信、手机号码、身份信息。
98%的安卓APP存在安全风险
安卓系统到2018年已经有10年的历史,系统进驻超过20多亿台设备。但2012年到2018年,安卓平台的恶意程序数量增长迅猛。
截至2018年第三季度末,GDATA统计数据显示在安卓系统发现超过320万个新的恶意样本,平均每天发现超过11000个新的恶意软件样本。
其中,影音播放类Android应用存在的安全风险数量最多,其次是通讯社交和网上购物类应用。相对于其他类型的移动应用,这三类应用的产品功能和交互方式都较丰富,且具有较高的用户黏性。存在其中的安全风险一旦爆发,影响的用户量级和范围将大大超乎预期。
在安全风险的类型方面,拒绝服务漏洞、隐式Intent信息泄露以及二进制三类安全风险的数量最多,且影响的App数量也位列前三。
其中,超80%的移动应用皆存有隐式Intent信息泄漏风险。利用这些已深度侵入到Android应用内的漏洞,攻击者即可实现对用户信息的绑架、资费的恶意扣取与消耗等,甚至将多种风险进行整合构建,形成贯穿应用开发、上架和用户交互等全流程的攻击链路,从而容易引发高达亿级的应用安全危机。
政策打击力度加强
除此次白皮书数据之外,来自“电子商务消费纠纷调解平台”的大数据同样显示,近年来包括天猫、淘宝、京东、苏宁易购、唯品会等电商平台,以及大众点评、百度糯米、携程等生活服务平台,均曾出现过用户信息泄露事件。
仅在2018年,就多次出现用户个人信息泄露事件,比如圆通、顺丰十几亿条个人信息在暗网被出售,12306数百万条旅客信息在网上被出售等。
不过,在5与28日,国家互联网信息办公室发布《数据安全管理办法(征求意见稿)》,在“征求意见稿”的数据收集一章中,网信办首先强调APP必须明确产品的信息收集使用规则,不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。
随便注册一个应用就要身份证号,推送来的广告好像会“读心”,大数据“杀熟”防不胜防,注销账号“难于上青天”……这些在个人数据保护中频频出现的难题有望迎刃而解。
根据全国信息安全标准化技术委员会所说,本文件依据相关国家标准提出的个人信息最少够用原则,针对当前移动互联网应用中存在的超范围收集、强制授权、过度索权等个人信息安全问题,结合当前移动互联网技术及应用现状,围绕用户数量大、社会关注度高的移动互联网应用基本业务功能,给出了保障其正常运行所需收集的个人信息,为移动互联网应用收集个人信息提供实践指引。
如何规避信息泄露
互联网给我们带来了方便,信息安全隐患也随之增加,增强个人信息泄露的意识愈加必要。
如何规避,关注以下三点:
1、在合理条件下,尽量保证“百米”内的个人信息
由于物流业的迅速发展,生活中的很多需求都选用“快递”方式来解决。比如送餐、网购等。这样做在获得方便的同时我们的个人信息如姓名、电话、家庭住址等也被公布到商家的数据库,甚至每一个送餐员的手中,信息泄露在所难免。
所以如果条件允许,尽量只将自己的个人信息提供到单元号、楼号,甚至小区门前,这样虽然没有送货上门方便,却从一定程度上保护了自己最精准的个人隐私。
2、尽量减少个人信息之间的关联程度
支付宝等交易软件往往绑定了自己多张银行卡。网购软件中也记录着自己家庭地址、公司位置,生活轨迹一览无余。所以为了避免自己受到“牵一发而动全身”的损害。
尽量将自己涉及隐私的信息单独处理,如使用一张银行卡专用于网络消费;所有收货地址统一选用公司地址等,这样即使个人信息遭受泄露,也可以将损害控制到最小的范围。
3、经常清理遗留个人信息,以及浏览痕迹。网页浏览历史经常清理,接收的包裹要销毁个人信息后再处理。
推荐阅读:连云港信息网