國(guó)家保密局網(wǎng)站>>保密科技

手機(jī)App個(gè)人信息安全風(fēng)險(xiǎn)與防范

2020年05月09日    來(lái)源:國(guó)家保密科技測(cè)評(píng)中心【字體: 打印

近年來(lái),隨著手機(jī)的智能化和通信技術(shù)的快速發(fā)展,我們正逐步邁向以智能手機(jī)為標(biāo)志的移動(dòng)互聯(lián)網(wǎng)時(shí)代,從社交娛樂(lè)到移動(dòng)支付,手機(jī)已經(jīng)滲透到我們生活和工作中的方方面面。然而,在享受移動(dòng)互聯(lián)網(wǎng)時(shí)代帶來(lái)的各種便利的同時(shí),不得不面對(duì)隨之而來(lái)的個(gè)人信息安全問(wèn)題,2018年9月,中國(guó)消費(fèi)者協(xié)會(huì)發(fā)布了《App個(gè)人信息泄露情況調(diào)查報(bào)告》,85.2%的受訪者遭遇過(guò)信息泄露情況,當(dāng)用戶個(gè)人信息泄露后,約86.5%的受訪者曾收到推銷電話或短信的騷擾,約75.0%的受訪者接到詐騙電話,約63.4%的受訪者收到垃圾郵件。可見(jiàn),手機(jī)App個(gè)人信息安全問(wèn)題不容小覷。

2019年3月15日,央視“3·15”晚會(huì)揭露了一款名為“社保掌上通”的熱門個(gè)人社保查詢App泄露用戶個(gè)人信息的問(wèn)題。主持人在現(xiàn)場(chǎng)演示查詢信息時(shí),網(wǎng)絡(luò)安全專家通過(guò)抓取分析數(shù)據(jù)包發(fā)現(xiàn),用戶的信息已被發(fā)送至一家大數(shù)據(jù)公司的服務(wù)器。在此過(guò)程中,用戶會(huì)被默認(rèn)同意一份授權(quán)協(xié)議,包括不可撤銷地授權(quán)使用用戶社保賬戶密碼、采集用戶個(gè)人信息等諸多條款。

隨著互聯(lián)網(wǎng)業(yè)務(wù)向移動(dòng)終端大面積轉(zhuǎn)移,加上移動(dòng)終端用戶黏性大、實(shí)時(shí)在線率高等特點(diǎn),各類安全威脅也紛紛向移動(dòng)終端轉(zhuǎn)移,上述“社保掌上通”App泄露用戶信息的情況也只是當(dāng)下手機(jī)App信息安全領(lǐng)域的冰山一角。

一、手機(jī)App泄露個(gè)人信息的途徑

(一)越界獲取隱私權(quán)限

根據(jù)《公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》,手機(jī)App在使用個(gè)人信息時(shí)需要對(duì)個(gè)人信息主體盡到告知、說(shuō)明和警示的義務(wù),以及如實(shí)向個(gè)人信息主體告知個(gè)人信息的收集和使用范圍、個(gè)人信息的保護(hù)措施等。處理個(gè)人信息時(shí)要遵循“最小夠用”原則,要征得個(gè)人信息主體同意等原則。然而,據(jù)有關(guān)研究機(jī)構(gòu)發(fā)布的《App個(gè)人隱私研究報(bào)告》,超功能范圍申請(qǐng)、收集、上傳用戶信息仍是目前手機(jī)App普遍存在的現(xiàn)象。

(1)手機(jī)聯(lián)系人權(quán)限。數(shù)據(jù)顯示,2018年中國(guó)各類手機(jī)App調(diào)用讀取聯(lián)系人權(quán)限已成隱私侵犯重災(zāi)區(qū),社交、視頻、網(wǎng)購(gòu)等六類App讀取聯(lián)系人權(quán)限占比超過(guò)50%,最高的達(dá)到86.7%。究其原因,與手機(jī)App廠商推動(dòng)平臺(tái)社交路徑傳播、打造熟人社區(qū)的營(yíng)銷策略息息相關(guān)。

(2)讀取短信權(quán)限。App讀取短信權(quán)限常用于自動(dòng)提取用戶短信驗(yàn)證碼,有助于用戶提高App短信驗(yàn)證操作的效率。但在針對(duì)用戶其余個(gè)人短信的讀取上,App的讀取權(quán)限并未受到有效監(jiān)督或限制,部分不法App或可通過(guò)該權(quán)限調(diào)用,實(shí)現(xiàn)對(duì)用戶短信信息的竊取。數(shù)據(jù)顯示,移動(dòng)資訊閱讀、社交、理財(cái)、旅游四類App調(diào)用權(quán)限占比不低于30.0%,嚴(yán)重威脅用戶隱私信息安全。

(3)獲取定位信息。根據(jù)手機(jī)App功能,地圖類、旅游類、網(wǎng)購(gòu)類、社交類App具備定位功能,獲取用戶位置信息有利于提供更準(zhǔn)確的服務(wù),屬于合理訴求。但是調(diào)查顯示,部分移動(dòng)視頻、音頻、資訊閱讀、工具類手機(jī)App仍存在調(diào)取、濫用定位信息情況。

(二)植入木馬病毒

智能手機(jī)主要操作系統(tǒng)包括Android和iOS。iOS系統(tǒng)相對(duì)安全,Android系統(tǒng)則更為開放,除官方應(yīng)用商城外,部分App開發(fā)商會(huì)通過(guò)彈窗、廣告等形式,為用戶推送含有木馬病毒的App下載鏈接,用戶點(diǎn)擊下載并安裝后,木馬病毒就會(huì)自動(dòng)掃描手機(jī)中通信、短信、賬號(hào)密碼等個(gè)人隱私信息,并將相關(guān)數(shù)據(jù)回傳服務(wù)器[4],造成用戶信息泄露。2019年3月,360公司發(fā)布的《2018年中國(guó)手機(jī)安全狀況報(bào)告》顯示,2018年全年共截獲移動(dòng)端新增惡意程序樣本434.2萬(wàn)個(gè),平均每天新增1.2萬(wàn)個(gè),其中隱私竊取類占比33.7%,嚴(yán)重威脅用戶個(gè)人信息安全。

(三)售賣用戶隱私

除上述兩個(gè)手機(jī)App信息泄露途徑之外,還有App廠商相互分享、買賣用戶數(shù)據(jù)等途徑,很多用戶都有這樣的體驗(yàn),剛剛在某App中瀏覽某類商品,很快就會(huì)在其他平臺(tái)中收到同類商品的推廣信息。事實(shí)上,售賣用戶隱私信息已形成灰色產(chǎn)業(yè)鏈,《App個(gè)人信息泄露情況調(diào)查報(bào)告》結(jié)果顯示,經(jīng)營(yíng)者或不法分子故意泄露、出售或者非法向他人提供個(gè)人信息的比例達(dá)到調(diào)查樣本的60.6%,各App廠商掌握的網(wǎng)頁(yè)瀏覽記錄、閱讀痕跡、支付記錄等碎片信息通過(guò)大數(shù)據(jù)分析整合,在精準(zhǔn)地尋找用戶、提供服務(wù)的同時(shí),也為不法分子實(shí)施違法行為提供了便利。

二、手機(jī)App個(gè)人信息泄露的原因

(一)個(gè)人隱私保護(hù)意識(shí)淡薄

著名的新經(jīng)濟(jì)行業(yè)數(shù)據(jù)挖掘和分析機(jī)構(gòu)艾媒咨詢(iiMediaResearch)發(fā)布的《2018年中國(guó)手機(jī)App隱私權(quán)限測(cè)評(píng)報(bào)告》稱,63.3%的受訪者表示在安裝手機(jī)App時(shí)沒(méi)有仔細(xì)閱讀隱私條款,24.3%的受訪者從來(lái)不閱讀隱私條款。這反映了大部分手機(jī)用戶都或多或少存在個(gè)人隱私保護(hù)意識(shí)淡薄的問(wèn)題,有的用戶受限于網(wǎng)絡(luò)技術(shù)知識(shí)欠缺和App隱私條款文字篇幅長(zhǎng)等原因,或者明知道可能會(huì)有泄露個(gè)人信息的危險(xiǎn)還抱有僥幸心理,甚至認(rèn)為是小問(wèn)題無(wú)所謂,嘗到隱私泄露惡果的時(shí)候主動(dòng)維權(quán)意識(shí)不強(qiáng),多數(shù)人選擇自認(rèn)倒霉,客觀上縱容了手機(jī)App信息泄露的愈演愈烈,形成惡性循環(huán)。

(二)廠商缺乏自律和責(zé)任感

據(jù)中國(guó)消費(fèi)者協(xié)會(huì)調(diào)查結(jié)果,有的App中未發(fā)現(xiàn)對(duì)涉及個(gè)人信息的告知說(shuō)明;有的App在完成用戶信息采集之后才出現(xiàn)《用戶協(xié)議》;有的App存在告知聲明中對(duì)個(gè)人信息的描述不準(zhǔn)確、不清晰的現(xiàn)象,大部分關(guān)于個(gè)人信息保護(hù)的說(shuō)明不容易被發(fā)現(xiàn),用戶經(jīng)常需要經(jīng)過(guò)兩次及以上的點(diǎn)擊次數(shù)才能找到相關(guān)內(nèi)容;有的App則強(qiáng)制用戶同意相關(guān)隱私條款,否則無(wú)法正常使用,反映了手機(jī)App廠商缺乏自律,企圖“蒙混過(guò)關(guān)”,有目的性地收集用戶個(gè)人信息,沒(méi)有做到真正意義上的公開透明,對(duì)于網(wǎng)絡(luò)空間公民隱私的保護(hù)缺乏責(zé)任感。

(三)法律層面約束不足

目前,我國(guó)在關(guān)于手機(jī)App個(gè)人信息保護(hù)方面的法律法規(guī)主要有《網(wǎng)絡(luò)安全法》《電子商務(wù)法》等,但仍存在很多亟待完善之處,例如對(duì)“個(gè)人信息”的界定標(biāo)準(zhǔn)不明確、手機(jī)App收集用戶信息“正當(dāng)、合法、必要”3個(gè)原則的界定存在爭(zhēng)議,發(fā)生信息泄露后的舉證難、處罰力度不足等,無(wú)法在法律高度形成強(qiáng)約束力、牢牢牽住個(gè)人信息安全保護(hù)的“牛鼻子”,那么就很難規(guī)范這一領(lǐng)域的正常秩序。

三、防范對(duì)策

隨著“互聯(lián)網(wǎng)+”行動(dòng)的進(jìn)一步深入,未來(lái)智能手機(jī)的應(yīng)用將在我們的生活中無(wú)處不在,其安全問(wèn)題更加不能小視。我們需要從多方面多管齊下,盡力避免手機(jī)App泄露個(gè)人隱私信息事件的發(fā)生。

(一)個(gè)人層面

在選擇使用手機(jī)App時(shí)要做到“一個(gè)提高”和“四個(gè)注意”:“一個(gè)提高”是要提高個(gè)人隱私保護(hù)意識(shí),移動(dòng)互聯(lián)網(wǎng)時(shí)代智能手機(jī)和App產(chǎn)品日新月異,不法分子竊取隱私信息的手段也是“水漲船高”,高度重視個(gè)人隱私信息的無(wú)形價(jià)值,從主觀上提高隱私保護(hù)意識(shí),分享、使用個(gè)人隱私信息時(shí)保持警惕,是在復(fù)雜多變的虛擬世界中構(gòu)筑的第一道安全防線!八膫(gè)注意”具體來(lái)說(shuō),一是要注意選用安全合規(guī)的App產(chǎn)品和服務(wù),并選擇正規(guī)渠道進(jìn)行下載安裝,謹(jǐn)慎點(diǎn)擊來(lái)源不明的App下載鏈接,從源頭上杜絕木馬病毒,并安裝手機(jī)殺毒App,定期對(duì)手機(jī)進(jìn)行安全檢測(cè);二是要注意認(rèn)真閱讀App的應(yīng)用權(quán)限和用戶協(xié)議或隱私政策說(shuō)明,了解操作注意事項(xiàng);三是要注意培育良好使用習(xí)慣,不隨意開放和同意不必要的隱私權(quán)限,不隨意輸入個(gè)人隱私信息,定期維護(hù)和清理相關(guān)數(shù)據(jù);四是要注意認(rèn)真應(yīng)對(duì)個(gè)人隱私信息被泄露的問(wèn)題,發(fā)現(xiàn)個(gè)人信息被泄露問(wèn)題時(shí),要通過(guò)有效手段及時(shí)主動(dòng)維權(quán),必要時(shí)向有關(guān)部門反映,用法律武器維護(hù)自己的權(quán)利和利益。

(二)廠商層面

首先,手機(jī)App廠商必須樹立用戶維權(quán)第一責(zé)任人的意識(shí),堅(jiān)守安全底線,強(qiáng)化對(duì)用戶個(gè)人信息的保護(hù)責(zé)任;其次,應(yīng)當(dāng)通過(guò)合理合法的方式獲知用戶數(shù)據(jù),并采取有效措施,確保用戶個(gè)人信息和數(shù)據(jù)安全,用服務(wù)質(zhì)量和安全保障贏取用戶的選擇和信任;再次,提供相關(guān)服務(wù)和履行告知義務(wù)時(shí),應(yīng)該通過(guò)簡(jiǎn)潔醒目、通俗易懂的方式,避免消費(fèi)者的誤解和誤讀;最后,企業(yè)應(yīng)當(dāng)充分聽(tīng)取和尊重用戶的合理訴求和意見(jiàn)并及時(shí)反饋處理,提升用戶滿意度和信賴感。

(三)法律層面

當(dāng)前,移動(dòng)互聯(lián)網(wǎng)黑色利益鏈錯(cuò)綜復(fù)雜,形成了以開發(fā)、傳播、運(yùn)營(yíng)到最后利益整合分配的流水作業(yè)模式,甚至完成了從作坊式個(gè)人生產(chǎn)到集團(tuán)化運(yùn)作的規(guī)模性轉(zhuǎn)變。2019年兩會(huì)期間,部分政協(xié)委員和人大代表再度聚焦個(gè)人隱私保護(hù),重申泄露隱私事件的頻發(fā)根本原因在于立法滯后、監(jiān)管力度不夠、司法保護(hù)薄弱等,呼吁加快個(gè)人信息保護(hù)法以及其他相關(guān)法律的立法進(jìn)程。要在法律層面保障發(fā)生泄露隱私信息事件時(shí),讓民眾投訴有門,提高網(wǎng)絡(luò)取證技術(shù)能力,加大對(duì)網(wǎng)絡(luò)犯罪的打擊力度,營(yíng)造一個(gè)安全綠色的網(wǎng)絡(luò)應(yīng)用環(huán)境,切實(shí)保障民眾的合法權(quán)益。

 

(原載于《保密科學(xué)技術(shù)》雜志2019年8月刊)