当前位置:网站首页 > 网络安全培训 > 正文

爱加密提醒您—APP存在的这些问题,你不得不小心

freebuffreebuf 2019-05-31 254 0

本文来源:爱加密123


9ba58623c1c440c796dcce1602e1973b.jpeg

随着大量的APP违规收集用户隐私信息事件被曝光,国家相关部门加强了对APP违规行为的检查和监管。APP违规收集用户个人隐私信息始终是广大消费者关注的重点,为此,爱加密愿为移动应用安全贡献一份绵薄之力。根据爱加密移动应用大数据中心的统计分析得出,移动应用主要存在以下这些问题。

01

超范围采集用户信息是普遍现象

众所周知,APP收集用户的信息,有部分是通过申请的权限来获取的,而权限是通过AndroidManifest.xml文件来向系统进行申请的。爱加密移动应用大数据平台产品负责人谢仰认为,AndroidManifest.xml文件只是向Android系统进行安装申请,并非真正向用户进行申请。这些申请,用户只能选择同意,否则就无法安装使用。而真正意义的用户声明,则是隐私条款中所列出的内容。

f4e92712833545b98710d07ad44fd217.JPG

大多数APP,在AndroidManifest.xml文件中申请的权限,实际上都会超出它的核心功能以及业务所需权限。很多开发者,希望尽可能的申请更多权限,或者促使用户填写更多信息。而这些行为都存在涉嫌超范围收集用户信息,甚至构成违法贩卖用户信息的黑色产业。如:社交类的APP,收集用户的真实姓名、银行卡信息、身份证信息、申请安装应用程序权限、通话记录权限等,都属于超范围采集。

02

SDK的权限和行为监管存在难点

从爱加密移动应用大数据中心数据来看,仍然有许多SDK在隐秘获取用户信息。这种问题大量存在,主要原因是APP开发者在引入SDK时,对其权限分析、潜在功能了解不够彻底,而盲目使用非官方或不正规的SDK,至此严重危害用户隐私安全。

据统计,超范围采集用户信息的APP中,绝大多数都嵌入了5种以上不同类型的SDK,让监管难以辨别出真正的元凶,增加查处难度。借助爱加密移动应用大数据平台的数据分析,能主动发现APP中存在的疑似SDK代码,对这些疑似SDK代码进行梳理、分析、判断,并识别出真正的SDK。这些功能是区别于其它平台的独特之处。爱加密认为,针对这些SDK的现象,需要给予更多关注,除此之外还有SO文件,都是需要加强核查的目标点。

d90789bfb5aa46dc856c73a30f5796a9.JPG

03

大量应用的隐私政策缺失或不规范

Android应用从开发到上架,从用户下载安装到使用,一直没有隐私政策的规范强制措施,以致大量应用都没有隐私政策或者随意编写一些内容。爱加密移动应用大数据中心对部分应用进行抽样调查发现,即便是大厂商的隐私政策,也存在含糊其辞、放大内容,逃避责任等相关的问题。当然,很多企业责任意识逐渐加强,对隐私政策的内容进行了重新调整,把隐私政策做成弹窗的形式,意在告知和提醒用户,同时共同维护移动应用安全生态圈的健康发展。

17871b2c52d64c26a1c01f05b509d45c.JPG

作为用户的我们,应养成良好的使用习惯,不要安装来路不明的应用程序,在正规的应用商店进行下载。对开发者而言,从APP开发阶段就应按照合规要求来进行,保障开发、测试、上线、运行全生命周期的应用安全。对应用商店来说,应该加强移动应用的审核,从渠道源头降低非法应用的安装。

而这些安全合规的实现,都离不开爱加密移动大数据平台。通过建设由下而上的资产监测与安全分析体系,从而为其提供智能态势感知服务。

e39b75fe10854ff1ba9cc8439c21e15b.JPG

04

爱加密移动应用大数据平台

爱加密移动应用大数据平台,采用大数据和人工智能技术对移动应用的基础数据、工商数据、个人隐私检测数据、内容检测数据、漏洞检测数据、病毒检测数据、用户行为数据等进行数据挖掘,分析出移动安全态势,为推动国家和行业发展奠定基础。

bab8d2bc5b7e41f09bf603916e4d7a6b.JPG

针对政府机构、企业客户不同的移动应用安全监管需求,定制化移动应用安全服务。以技术层面、数据层面为保障,建立多渠道数据源、多维度关联数据,为平台风险定级、威胁描述、检测详情、解决方案等提供强有力的支撑。

从内部数据与外部数据采集、9项检测引擎,到大数据分类与存储,再到大数据监控大屏、违规内容分析、数据服务。350+个渠道、30台服务器、日增30万个移动应用数据、150万+企业基础信息、1500万+移动应用(APK)、千万级资产数据及服务器集群。通过终端大屏形式动态展示恶意病毒、违规违法、违规IP、漏洞、资产等多维度动态数据展现,对态势发展情况进行预测评估,形成行业分析报告。

7d2269d0f7ea4ed3955b9a09d0ba074c.JPG

强大的数据监测及安全分析体系,通过利用大数据提高政府、企业监管能力,对构建公司移动安全产品体系和品牌曝光率有明显促进作用,为移动应用违规内容进行溯源取证和行政执法。推进我国移动应用安全的建设与发展,促进落实《网络安全法》《个人隐私信息安全法》的安全合规要求。

爱加密移动应用大数据平台,目前已为通管局、网信办、卫健委、教育部、银监会、CNERT等提供了移动安全服务,并赢得用户的一致好评。qrcode_for_gh_0e28cef7681c_258.jpg


转载请注明来自网盾网络安全培训,本文标题:《爱加密提醒您—APP存在的这些问题,你不得不小心》

标签:移动应用安全

关于我

欢迎关注微信公众号

关于我们

网络安全培训,黑客培训,渗透培训,ctf,攻防

标签列表