移動APP應用的信息安全問題及優(yōu)化建議

◆亓澤瑜 張敏 趙首花 張賞雪 孫蕊剛

移動APP應用的信息安全問題及優(yōu)化建議

◆亓澤瑜 張敏 趙首花 張賞雪 孫蕊剛

（陜西省網絡與信息安全測評中心 陜西 710065）

移動互聯(lián)網應用程序（APPlication，簡稱APP），是指通過下載安裝的方式并在移動智能設備上向用戶提供各類服務的應用軟件。隨著智能手機的普及，APP的快速發(fā)展成了豐富用戶生活的主要手段。但是，APP在為用戶提供網絡服務的同時，違法違規(guī)收集使用個人信息的問題也十分突出，如強制授權、過度竊取、超范圍收集個人信息等，不僅讓用戶的個人信息和利益受到危害，也給國家安全產生了嚴重威脅，移動APP應用存在的信息安全問題不容輕視。

信息安全；移動APP；隱私保護

1 移動APP應用現(xiàn)狀

據CNCERT統(tǒng)計，我國境內應用商店數(shù)量已超過200家，上架APP近500萬款，下載總量超過萬億次，還在以指數(shù)形式遞增[1]。在龐大的用戶群體和移動設備背景下，移動手機用戶平均使用的APP已經超過10款，例如微信、淘寶、瀏覽器、安全衛(wèi)士、應用商店、音樂等，利用APP進行購物支付、消遣娛樂，可見，移動APP的發(fā)展及普及將逐步代替?zhèn)鹘y(tǒng)的網站、系統(tǒng)，面向社會提供服務。因此，對智能設備的依賴性越來越強，留下的個人操作足跡和信息數(shù)據越來越豐富，形成的個人信息數(shù)據越來越全面。大面積安裝、使用APP，悄無聲息地對個人安全造成了不利影響。

2 移動APP應用的信息安全問題

2.1 技術方面的問題

正因APP的市場前景良好，開發(fā)門檻低，導致APP市場魚龍混雜，良莠不齊。在設計與制作APP時，運維開發(fā)者并沒有將信息安全作為軟件生命周期中的環(huán)節(jié)，所以APP應用業(yè)務邏輯處理效果不符合實際要求[2]。另外，應用中的集成功能模塊也存在缺陷，使得應用技術中對于信息安全的處理不能達到要求。除此之外，APP在上線前并沒有進行安全測試，APP運營商往往因技術專利等原因，拒絕提供源代碼，這就使得應用中可能存在后門或隱蔽通道。

目前，用戶在安裝APP時，大部分都需要獲取用戶權限，如果授權深度淺或禁止授權，APP將無法正常使用。例如，各類APP具備獲取實時物理位置的定位功能，其智能推薦服務通過大數(shù)據分析，在用戶以往消費偏好、地理區(qū)域等方面的數(shù)據基礎上作出判斷，可以使用戶獲得更良好的體驗。但是展現(xiàn)個人的位置信息，會使個人信息資料泄露，有可能會為個人的人身安全留下極大隱患。有些APP不需要獲取權限就應當正常使用，然而，APP往往未告知用戶獲取權限和收集信息的用途，“越界”“過度”甚至強制索要用戶權限，其中涉及敏感隱私信息，如身份證號、銀行卡號、手機號碼等，而APP自身存在的安全缺陷，會導致個人信息泄露的風險。個別無良APP運營商甚至將注冊用戶的信息作為資源進行售賣獲取灰色收入，其隱藏的危害可能會對用戶造成更大的傷害。

2.2 管理方面的問題

移動APP應用行業(yè)未形成完善的管理法規(guī)體系，相關管理部門職責不清，未明確移動APP的審核和監(jiān)督執(zhí)法權，該行業(yè)更重視技術的先進性和前瞻性，因而傳統(tǒng)的信息安全問題并不一定適用于移動APP的管理，從而造成惡性APP應用數(shù)量增多，嚴重制約安全管理工作。同時，缺乏對APP運營商的法律意識的教育，導致APP運營商的法律概念淡薄，沒有意識到隱私泄露造成的嚴重后果。

此外，APP審核不嚴格，導致用戶下載盜版APP。應用商店作為用戶下載APP的主要渠道，理應保障用戶的合法權益，對準入的APP進行惡意代碼檢測、隱私泄露檢查，并進行漏洞掃描、人工核查等操作，確保APP的安全使用。但部分應用商店未履行相關法律法規(guī)對APP的審核上線要求，使得個別明顯違法違規(guī)的APP能夠長期存在并可下載使用。越來越多的用戶開始關注手機應用是否會泄露隱私信息。而大部分安全檢測軟件只能簡單地給出應用是否為惡意、惡意程度如何，無法進一步提供給用戶更深層次的信息。

3 移動APP應用的信息安全優(yōu)化建議

3.1 建立機制，規(guī)范監(jiān)管

制定APP行業(yè)標準，規(guī)范體系，統(tǒng)一管理[3]。APP運營商應主動提交設計方案，告知APP的主要功能及獲取權限的用途。國家有關部門對APP開發(fā)階段的信息技術進行嚴格監(jiān)理，APP上線前需進行安全測試，其測試內容中要包含惡意代碼檢測和源代碼審計等。同時采用人工核查的方式，對應用程序的具體功能進行分辨。通過核實，即無安全問題以及其他標準問題方可進入應用商店。對安全審查不合格的APP不可發(fā)布上線，且定期抽查，對發(fā)現(xiàn)存在安全隱患的APP要及時下架處理并發(fā)布權威公告，構建良好的安全生態(tài)。

3.2 安全開發(fā)，完善加固

移動APP本身的完善也是十分重要的，通過研究解決終端安全問題，進而提升終端安全性，在研發(fā)APP的過程中，融入信息安全技術，提高應用的安全性，把隱患拒之網外。通過采用數(shù)字簽名技術，保證數(shù)據在網絡中傳輸過程中的完整性和保密性，避免網絡不法分子利用攻擊手段竊取信息。同時，基于權限最小化和權限分離原則，采用有效技術手段，對收集的用戶信息集中加密存儲于后臺中，使用高安全級別密碼策略，定期更換密碼，且設置專人管理，防止個人信息泄露。

3.3 增強意識，安全使用

網絡用戶群體較大，需要進行信息安全的知識宣傳，使移動用戶群體充分認識到信息安全的作用。加強安全防范意識，主動接受網絡安全、信息安全、數(shù)據安全等方面的知識，掌握基本的安全常識，提高警惕，培養(yǎng)良好的使用習慣，深刻認識到APP存在安全隱患，從正規(guī)渠道下載APP，防止下載高仿、不安全應用，安裝APP時仔細閱讀協(xié)議，對于應用獲取的權限，選擇性地進行設置，堅守“最小權限化”。

4 結語

總而言之，要想從根本上解決移動APP應用的信息安全問題，事關個人、國家和社會各界，必須要高度重視、共同參與，從法律法規(guī)體系制定、應用安全技術開發(fā)、個人正確操作使用等多方向、多層次建立安全體系，保護個人電子資產，規(guī)范移動APP應用市場，實現(xiàn)健康發(fā)展。

[1]周凱.移動智能終端APP用戶隱私數(shù)據的防范探討[J].科學咨詢（科技·管理），2016（02）：54-55.

[2]陶志強.移動APP的信息安全與防護方式[J].電子技術與軟件工程，2019（08）：203.

[3]周凱.移動智能終端APP用戶隱私數(shù)據的防范探討[J].科學咨詢（科技·管理），2016（02）：54-55.