前言
党的二十大报告提出,要“加快建设网络强国、数字中国”。当前,以数字经济为代表的新经济成为经济增长新引擎。作为数字经济时代最核心生产要素的数据呈爆炸式增长,体现其基础战略资源的地位,数据安全的基础保障作用日益凸显。而APP作为移动网络中数据的载体,其承载的数据对维护国家安全、企业安全及个人隐私,乃至数据合规都提出了更高要求。
在2023年1月11日的全国工业和信息化工作会议上提及, 2023年的工作重点上,将完善电信业务市场发展政策,强化APP全流程、全链条治理,加强个人信息保护、用户权益保护。增强网络和数据安全保障能力,加快安全产业创新发展。
本白皮书(或本报告)以《数据安全法》、《个人信息保护法》、《网络安全法》等法律陆续施行背景下编制,从个人隐私信息安全和APP安全为切入点,梳理了当下APP安全发展面临的挑战与机遇,综合分析APP安全的当前态势及后期发展趋势,结合区块链分布式数字身份技术,寻找APP治理方向与策略,探索移动安全可持续发展道路。
本白皮书旨在帮助打造集开发测试、发布、运行、运营全链条保障APP安全的移动合规应用发布平台,对存在中高风险漏洞和隐私违规问题的应用在上架前及时阻断,结合区块链分布式数字身份技术为平台上架APP颁发在链上的数字身份凭证,对盗版、仿冒等应用进行定期安全监测和风险识别。
一、APP安全现状概述
党的二十大报告提出,要“加快建设网络强国、数字中国”。当前,以数字经济为代表的新经济成为经济增长新引擎。数据作为数字经济时代最核心生产要素呈爆炸式增长,体现其基础战略资源的地位,数据安全的基础保障作用日益凸显。而APP作为移动网络中数据的载体,其承载的数据对维护国家安全、企业安全及个人隐私,乃至数据合规都提出了更高要求。
1.1 APP安全现状
在手机APP的日常使用中,可以最直观地感受到个人信息保护的水平。在日常网络社区浏览、游戏以及购物时,是否频繁弹窗提醒,在申请获取位置、设备信息等权限前是否告知使用目的,隐私政策更新是否有提醒……2022年以来,工业和信息化部持续开展APP侵害用户权益“回头看”专项整治行动,先后6批次对存在违规推送弹窗信息、APP过度索取权限、移动互联网应用程序(APP)及第三方软件开发工具包(SDK)信息收集不规范等问题进行重点抽测,共累计发现约791款APP存在问题,并对202款逾期不整改或整改不到位的予以通报。
近年来,在国家相关部门的APP治理强监管下,头部APP的隐私信息安全不断提高,但是尾部APP因为合规成本等问题,在个人信息保护方面的动力不足,依然与头部 APP存在较大差距。尾部APP的个人信息安全保护工作,仍需加大治理力度,从而提升APP整体的个人信息保护水平。
1.2 年度相关政策法规
自2021年11月1日《个人信息保护法》正式施行以来,关于网络安全的相关政策法规相继出台。
2022年1月,国务院《“十四五”数字经济发展规划》,部署了八项重点任务,在数字经济安全体系方面,提出了三个方向的要求,一是增强网络安全防护能力、二是提升数据安全保障水平、三是切实有效防范各类风险,系统阐述了网络安全对于数字经济的独特作用及重要性。
2022年4月26日,工业和信息化部发布《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》。《征求意见稿》对APP开发运营者、APP分发平台、APP第三方服务提供者、移动智能终端生产企业、网络接入服务提供者提出了一系列在个人信息的收集、存储、使用、加工、传输过程中的相应要求,同时也明确了相应的整改期限和责任。
2022年5月26日,全国信息安全标准化技术委员会发布了《信息安全技术 互联网平台及产品服务隐私协议要求》的征求意见稿。该要求规定了互联网平台及产品服务隐私协议编制程序、具体内容、发布形式,增加隐私协议的可读性、透明性,以及处理隐私协议相关的争议纠纷等方面的要求。
2022年9月14日,国家互联网信息办公室发布关于公开征求《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》意见的通知。拟调整违反网络运行安全保护义务等行为的行政处罚种类和幅度,完善相关法律责任制度。数据安全法、个人信息保护法与网络安全法构成我国网络法律体系的“三驾马车”,共同保障公民的个人信息安全。
在2023年1月11日的全国工业和信息化工作会议上提及, 2023年的工作重点为完善电信业务市场发展政策,强化APP全流程、全链条治理,加强个人信息保护、用户权益保护。增强网络和数据安全保障能力,加快安全产业创新发展。
二、APP安全合规检测概述
依据《数据安全法》、《个人信息保护法》、《网络安全法》等相关相关法律法规,通过检测目的、检测对象、检测方法以及检测内容四个层面对APP安全检测的具体实施方案进行阐述。
2.1 检测目的
以用户信息安全和APP安全为切入点,从隐私政策、权限申请、权限收集、权限使用、APP漏洞安全等方面进行检测,检测APP中存在的违规问题及安全漏洞。
法律依据如下:
《中华人民共和国个人信息保护法》
《中华人民共和国网络安全法》
《中华人民共和国数据安全法》
其他参考的国家标准、指南、团体标准包括:
《常见类型移动互联网应用程序必要个人信息范围规定》
《APP违法违规收集使用个人信息行为认定方法》
《APP违法违规收集使用个人信息自评估指南》
GB/T 35273-2020《信息安全技术 个人信息安全规范》
《APP违法违规收集使用个人信息治理评估要点》
GB/T 41391-2022《信息安全技术 移动互联网应用程序(APP)个人信息安全测评规范》
《网络安全标准实践指南—移动互联网应用程序(APP)中的第三方软件开发工具包(SDK)安全指引》
《移动APP安全检测基准》等
2.2 检测对象
抽调了各大移动应用市场各类型活跃度前200的安卓应用共计约8607款进行安全合规检测。类别囊括了地图导航、网络约车、即时通讯、新闻资讯、网络支付、在线购物等共计39个类别。
2.3 检测流程
APP安全合规检测基于动静双引擎检测技术,利用静态代码分析引擎和动态沙箱监测引擎,对移动应用潜在安全合规问题进行全面、深度的检测。通过插桩技术进行动态行为捕获,将行为内容传递到后台进行处理分析,有效应对不同APP、不同场景的用户个人信息最小化采集风险监测需求。通过代码分析引擎对应用中集成的第三方SDK进行检测分析,解析SDK列表,并将各SDK的权限申请及动态调用状况、风险漏洞情况、敏感数据存储情况等信息进行归类,明确问题源头。通过网络捕获技术,进行网络流量捕获记录,并根据流量数据识别并提取相应的资产信息,分析数据流,监测违规数据的收集和共享。
2.4 检测内容
1、APP隐私违规检测内容:
1)检测是否存在未公开收集使用规则问题;
2)检测是否存在未明示收集使用个人信息的目的、方式和范围问题;
3)检测是否存在未经用户同意收集使用个人信息问题;
4)检测是否存在违反必要原则,收集与其提供的服务无关的个人信息问题;
5)检测是否存在未经同意向他人提供个人信息问题;
6)检测是否存在未按法律规定提供删除或更正个人信息功能或未公布投诉、举报方式等信息问题;
2、APP漏洞风险检测内容:
1)检测是否存在编码规范安全问题;
2)检测是否存在代码安全问题;
3)检测是否存在数据安全问题;
4)检测是否存在常见安全漏洞;
5)检测是否存在发布规范安全问题;
三、APP安全合规检测结果及分析
3.1 APP隐私违规检测
依据《APP违法违规收集使用个人信息行为认定方法》(下称《方法》)、《个人信息保护法》及其他相关政策法规,从“未公开收集使用规则”、“未明示收集使用个人信息的目的、方式和范围”、“未经用户同意收集使用个人信息”、“违反必要原则,收集与其提供的服务无关的个人信息”、“未经同意向他人提供个人信息”、“未按法律规定提供删除或更正个人信息功能或未公布投诉、举报方式等信息”这6个层面,31条检测细项,过对这8607款应用进行抽调检测。
经检测统计,其中“未明示收集使用个人信息的目的、方式和范围”方面存在问题占比最高,达62.3%;其次是“未经用户同意收集使用个人信息”占52%。
3.1.1 未公开收集使用规则违规情况
3.1.2 明示收集使用个人信息的目的、方式和范围违规情况
3.1.3 未经用户同意收集使用个人信息违规情况
3.1.4 违反必要原则,收集与其提供的服务无关的个人信息情况
3.1.5 未按法律规定提供删除或更正个人信息功能或未公布投诉、举报方式等信息违规情况
3.1.6 常见违规收集个人信息分析
(上述详细检测情况,详见 D市场《2022年度APP治理白皮书》)
3.2 APP风险漏洞检测
使用代码反编译技术,进行代码层的应用安全检测,从编码规范、发布规范、代码安全、环境安全、组件安全、数据安全和安全漏洞7各层面,分析应用存在的漏洞风险,共采集应用安全风险80余项。
3.2.1 编码规范检测情况
3.2.2 代码安全检测情况
3.2.3 数据安全检测情况
3.2.4 常见安全漏洞检测情况
3.2.5 发布规范检测情况
3.2.6 常见安全漏洞分析
(上述详细检测情况,详见 D市场《2022年度APP治理白皮书》)
四、趋势分析
4.1 APP隐私合规趋势分析
在相关法律政策日渐完善及部门强监管力之下,企业的合规意识不断强化,与去年相比,2022年APP隐私合规度明显提升。如“未公开收集使用规则”、“ 未经用户同意收集使用个人信息”这两项违规情况下降约30%。
在隐私政策透明度方面成果显著,但在需要借助检测工具才能发现的个人信息违规收集问题方面,存在违规问题的应用仍占较大比例,如是否逐一列出APP(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围,是否存在频繁收集用户信息等。在告知个人信息使用场景、经用户同意后收集使用个人信息场景及收集与提供服务相关个人信息场景方面还待继续加强管治力度。此外还存在一些隐私政策与实际不符的情况,如:部分APP存在通过隐私政策内的邮箱、电话等无法联系到人工客服的问题;部分APP以核实身份为由,要求用户提交更多个人信息,如真实姓名,身份证号等。
更需要一套完整的APP安全合规检测平台来实现“检测场景化”、“操作自动化”、“风险管理闭环化”,在APP上架前完成对违规申请个人信息、违规收集个人信息、超范围使用个人信息等侵害用户权益行为的检测与纠正,前置解决令用户“头疼”的APP合规问题,还用户一个使用安心、操作放心的APP。
4.2 APP漏洞安全趋势分析
移动设备全面发展,移动办公日益普及,智能家居深入用户生活,GSMA在“2021 年移动行业影响报告中提出“目前,23 亿人使用手机购买商品和服务,占移动用户的 45%”。移动市场带来的风险仍时刻影响用户的日常生活。多年来,勒索软件一直是一个主要的网络安全问题,但随着网络犯罪分子的攻击不断发展,勒索软件并没有消失的迹象。大量的企业网络仍然容易受到攻击,这通常是由于长期可用更新的安全漏洞造成的。即时掌握了当前所有软件漏洞,总有新的安全漏洞会出现,其中一些可能会产生重大影响。以 Log4j 缺陷为例:一年前它是完全未知的,潜伏在代码中。但在2021年12 月曝光后,CISA 负责人将其描述为最严重的缺陷之一。到 2022 年末,它仍然是隐藏在许多组织代码中的一个经常未经处理的安全漏洞,这种情况很可能会持续到很远的未来。
在APP漏洞安全方面,通过抽调对比2021年及2022年应用对其漏洞安全情况进行统计分析,发现总体趋势变化不大。其中大部分应用已采用了代码混淆或第三方加固保护技术,使代码安全得到了较大提高,但部分检测项存在上升趋势,如WebView、数据传输方面。随着跨平台应用的普及,WebView相关的安全漏洞占比仍较高。针对Web方面的安全漏洞,需要更重视数据防泄露、请求防重放、内容防篡改、身份防伪装等处理。
通常,允许攻击者进入网络的不是高级技术,而是常见的漏洞,例如弱密码、未应用安全更新或缺乏双因素身份验证(2FA)。组织适当的网络安全人员和流程来预防或检测网络攻击,构建“一体化全程可信”APP安全体系至关重要。
五、治理展望
针对目前的APP安全现状,我们发现基于片面的APP安全防护甚至忽视安全防护无法达到有效的APP治理效果,有必要从APP全生命周期的角度出发,打造一套集开发测试、发布、运行、运营环节于一体的APP合规应用发布平台。
APP合规应用发布平台的实现总体可以分为两个子平台,将面向终端用户的业务平台和开发者平台分开。业务平台包括:合规应用展示下载、实时行业资讯和业务管理等;开发者平台包括:业务模块和引擎组件两部分。业务模块包括:安全服务、数字身份凭证管理、监测服务和定期发布尽职调查报告等功能。引擎组件包括:安全加固引擎、隐私检测引擎、漏洞检测引擎、爬虫引擎等。
APP尽职调查报告,深入全面透视APP市场数据及安全状况,监测300+APP分发渠道,向开发者和用户提供便利的APP市场数据分析服务,帮助开发者和用户全面掌握APP信息。通过爬虫引擎周期性对各个分发渠道进行数据采集、清洗,采用数据分析引擎从APP版本情况、下载量、评论及评分、盗版仿冒情况等维护汇总、分析,进行趋势化统计,以图表、报告等形式更直观量化的方式呈现,为开发者审核APP市场风险、管理风险、运营风险等情况提供全面深入的数据参考支撑。
全流程解决方案具体如下:
1)开发测试阶段:提供APP安全合规检测,包括:APP风险漏洞检测、SDK检测、APP权限检测、APP隐私合规检测等;针对存在的安全问题提供完善的解决方案,包括:APP加固、SDK加固、SO加固、H5加固、小程序加固等。
2)发布阶段:APP上报;APP认证备案;一键式应用发布;对待发布APP进行风险漏洞检测,及时阻断存在中高风险的应用;对检测通过的APP颁发在链上的数字身份凭证。
3)运行阶段:提供对上架到平台的APP的渠道管理;方便开发者对APP进行版本管理、发布管理操作。
4)运营阶段:定期发布APP尽职调查报告;对盗版、仿冒等应用的定期安全监测和风险识别,助力APP开发商后期运营维护。
在整个全链条的APP治理流程中,包含了对APP的安全检测、安全加固、隐私合规检测、应用发布、APP上链、渠道监测等众多服务。这种APP全流程落地的治理模式,可以实现对APP全生命周期一站式的安全解决方案,对上架到平台的APP做到全方位治理,营造清朗的网络环境,进一步为各行各业进行安全赋能。区别于传统的APP发布平台,除了将APP安全技术运用到各个流程阶段外,还规划了APP安全合规知识专区、尽职调查报告和APP数字身份凭证三大功能。APP安全合规知识专区,定期更新行业最新安全合规相关资讯和文件,方便开发者学习提升APP安全开发能力与素养。APP尽职调查报告实时追踪APP市场动态,提供数据分析服务,助力开发者和用户全面掌握APP信息和相关行业线索。APP数字身份凭证,结合区块链的分布式数字身份技术,为每个通过漏洞检测、隐私检测等满足合规要求的可信APP在链上生成一个不可篡改的,用来标识与管理的标识信息,构建统一的应用身份体系,为切实推动APP全链条治理提供安全保障。
APP合规应用发布平台也将不断推陈出新,平台的发展不仅要尽量满足当前状况下的移动安全问题,对于正在演进以及未来可能会对移动安全产生影响甚至是变革的理念和技术,也要充分研究并在管理平台接下来的发展中得以体现。
未来,在 Web3.0 时代,区块链技术的日益成熟,人工智能技术发展与应用拓展正暴风式席卷全球,为数字化转型升级带来全新机遇,新旧技术的交替将拓宽APP安全合规的道路。在人机协同、跨界融合、共创分享的智能时代,人工智能的应用场景愈发广泛。开发阶段,借助自然语言处理、知识表示或视觉和语音识别等技术,越来越多的智能APP在人工智能算法的帮助下被开发出来;测试阶段,结合以往的开发周期数据并从APP开发人员过去的错误中学习,人工智能可以更好、更快地检测软件中的错误和崩溃;运营阶段,根据用户的使用习惯分析APP产品和功能,人工智能可以帮助企业检测风险并采取预防措施,采用智能运营策略对运营方案及时调整;此外,还可以帮助APP管理者更好地进行内容监控,以调整APP的安全策略。从开发、测试到运营,构建一套符合中国国情的全流程、全链条的“APP安全大模型”。
-END-
● 权威认可 | 通付盾再次入选工信部“CAPPVD安全漏洞库技术支撑单位”!;
● 为省公共互联网网络和数据安全保驾护航,通付盾获江苏省通信管理局感谢信!;
● 快讯 | “通付盾动态WAF”正式入选“大信创产品目录”!;
● 捷报频传 | 通付盾荣获《2022北京软件企业核心竞争力评价报告》创新型企业称号;
● 喜报,实力认可!| 通付盾上榜《ISC 2022数字安全创新能力全景图谱》七大安全领域;
● 荣登百强 !通付盾连续十年入选《中国网络安全企业100强》榜单;
●【喜报】通付盾科技入选苏州市软件与信息服务业“头雁”企业;
● 喜报 | 省内唯一 通付盾成功入选2022年“江苏省区块链与数字安全技术服务工程技术研究中心”;
● 再获认可 | 通付盾上榜“2022年省级软件企业技术中心认定名单”;
● 标杆案例丨通付盾能源数据安全共享方案荣获2022年数据安全典型实践案例;
● 再获认可 |通付盾上榜《CCSIP 2022中国网络安全产业全景图》(第四版);
● 入选31个细分领域丨通付盾荣登嘶吼安全产业研究院《2022网络安全产业图谱》;
● 通付盾解决方案成功入围工信部“2021信息技术应用创新典型解决方案”;
● “通付盾数字安全管理服务”成功入选“星光江苏”数字经济创新产品TOP10;
● 赋能数字金融 |通付盾荣获“2022数字金融创新大赛”金融信创类银奖;
● 五大安全领域11项细分!通付盾再次入围安全牛《中国网络安全行业全景图》;
● 通付盾入选《数字金融反欺诈技术应用分析报告(2021年)》典型案例;
● 通付盾业务安全解决方案 | 入围“2021年数字技术融合创新应用典型解决方案”;
关于我们
About us
江苏通付盾科技有限公司创立于 2011 年,是一家以分布式数字身份和大数据决策智能技术为核心的Web3基础设施服务商,为金融、能源、运营商、政府、军工等行业用户,提供“以数据为中心”的Web3基础设施解决方案。公司全资控股子公司有北京通付盾人工智能技术有限公司、江苏通付盾区块链科技有限公司、江苏通付盾信息安全技术有限公司、深圳市前海仟亿佶科技有限公司。通付盾为国家高新技术企业、双软认证企业、AAA级信用企业、并通过了CMMI5、ISO27001、ISO9001、ISO20000、ITSS等系列认证。通付盾连续十次入选安全牛“中国网络安全企业50强”、多次入选数世咨询“中国数字安全百强”、IDC亚太地区“Fintech Fast 101”、德勤“高科技高成长中国50强”等榜单。通付盾是中国信创产业独角兽100强企业、江苏省规划布局内重点软件企业、江苏省独角兽培育企业、“专精特新”中小企业,拥有江苏省企业软件技术中心、江苏省级工程技术研究中心。