移動應(yīng)用數(shù)據(jù)安全問題

中國信息通信研究院

移動應(yīng)用存在過度索取個(gè)人權(quán)限問題

我國互聯(lián)網(wǎng)產(chǎn)業(yè)普遍采用前端免費(fèi)、后端獲利的模式，隨著技術(shù)演進(jìn)，盈利的模式也從在線廣告向基于大數(shù)據(jù)的定向推送、精準(zhǔn)營銷轉(zhuǎn)型，用戶個(gè)人信息正在成為企業(yè)角力的核心。免費(fèi)的商業(yè)模式加劇了用戶權(quán)益侵害的風(fēng)險(xiǎn)。

數(shù)據(jù)采集環(huán)節(jié)中的安全問題

根據(jù)隱私政策，移動應(yīng)用運(yùn)營者應(yīng)告知用戶個(gè)人信息收集的主要途徑。移動應(yīng)用應(yīng)在用戶首次注冊、登錄移動應(yīng)用時(shí)以彈窗、超鏈接等明顯方式提醒用戶閱讀隱私政策，明示告知用戶收集使用個(gè)人信息的目的、方式、范圍，使用戶充分了解其個(gè)人信息如何被收集、存儲、使用、傳輸、共享、銷毀。部分移動應(yīng)用存在用戶首次登錄時(shí)要求用戶默許“打勾”同意隱私政策（即未要求用戶主動打勾同意），導(dǎo)致隱私政策難以起到告知和真正具有法律效力的“同意”作用，存在違規(guī)收集個(gè)人數(shù)據(jù)行為。除了前面的默認(rèn)打勾的違規(guī)行為，還包括如：通過“登錄/注冊即表示同意隱私政策”的方式強(qiáng)制用戶同意，且未提供拒絕選項(xiàng);移動應(yīng)用僅展示隱私政策但未征詢用戶同意。

移動應(yīng)用因業(yè)務(wù)功能需要向移動終端操作系統(tǒng)申請權(quán)限，收集使用用戶個(gè)人信息。移動應(yīng)用應(yīng)當(dāng)遵循最小夠用原則，僅收集使用業(yè)務(wù)功能必需的最少類型和數(shù)量的個(gè)人信息。但部分移動應(yīng)用申請權(quán)限數(shù)量多，所收集的個(gè)人信息遠(yuǎn)遠(yuǎn)超出全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布的《網(wǎng)絡(luò)安全實(shí)踐指南——移動互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息范圍》中規(guī)定的必要信息，存在超范圍獲取權(quán)限現(xiàn)象。其中包含違規(guī)申請“拍攝”“訪問粗略定位”“訪問精確定位”“讀取外置存儲器”“錄音”等危險(xiǎn)權(quán)限。移動應(yīng)用過度索權(quán)現(xiàn)象成常態(tài)，為違規(guī)收集用戶個(gè)人信息提供了渠道，一旦這些個(gè)人信息被不法分子獲取濫用，將嚴(yán)重危害用戶權(quán)益。

為了滿足移動應(yīng)用的快速迭代，解決成本效率問題，移動應(yīng)用中嵌入大量第三方SDK。第三方SDK自身存在大量安全漏洞，包括http誤用、SSL/TLS（安全套接字協(xié)議/安全傳輸層協(xié)議）不正確配置、敏感權(quán)限濫用、通過日志造成信息泄露、遠(yuǎn)程任意文件讀取漏洞、越權(quán)調(diào)用未導(dǎo)出組件等。第三方SDK成為病毒傳播新途徑，不法分子通過制作、發(fā)布、吸引App嵌入含有惡意代碼的第三方SDK，造成短時(shí)間、大范圍的病毒傳播和感染。第三方SDK隱蔽收集個(gè)人信息問題逐步顯現(xiàn)，第三方SDK具備收集個(gè)人信息的能力。第三方SDK收集了哪些個(gè)人信息，用戶往往難以感知，移動應(yīng)用開發(fā)者也未必完全知悉，因而導(dǎo)致多起第三方SDK隱蔽收集個(gè)人信息的安全事件。

數(shù)據(jù)傳輸環(huán)節(jié)中的安全問題

移動應(yīng)用客戶端與服務(wù)器間進(jìn)行個(gè)人敏感信息傳輸?shù)倪^程中，如果沒有采取有效的保護(hù)措施，存在用戶個(gè)人敏感信息泄露和篡改的風(fēng)險(xiǎn)。使用HTTP協(xié)議進(jìn)行明文個(gè)人敏感信息的傳輸，個(gè)人敏感信息在嗅探或者抓包等攻擊中會被泄露。使用HTTPS請求時(shí)以URL（統(tǒng)一資源定位器）的方式傳遞包含明文個(gè)人敏感信息的參數(shù)，URL被轉(zhuǎn)發(fā)或存儲時(shí)存在泄露場景。使用HTTPS傳輸明文個(gè)人敏感信息，如SSL版本錯(cuò)誤、使用不安全的密碼算法、非合法CA證書等場景下，存在中間人攻擊、降級攻擊、協(xié)議版本漏洞等攻擊場景，導(dǎo)致用戶個(gè)人敏感信息的泄露和篡改。

數(shù)據(jù)存儲環(huán)節(jié)中的安全問題

數(shù)據(jù)存儲是移動應(yīng)用運(yùn)營過程中的關(guān)鍵環(huán)節(jié)，移動應(yīng)用應(yīng)優(yōu)先在用戶個(gè)人終端內(nèi)加密存儲所收集的個(gè)人信息，確保用戶數(shù)據(jù)即使泄露也難以被破解。移動應(yīng)用會在用戶終端內(nèi)存儲運(yùn)行日志、設(shè)備信息、用戶信息等數(shù)據(jù)，存在明文存儲用戶個(gè)人信息的問題。移動應(yīng)用的服務(wù)端同樣會存儲個(gè)人敏感信息，包含：密碼、姓名、手機(jī)號碼、郵箱、身份號、銀行卡號等。這些個(gè)人敏感信息存儲在數(shù)據(jù)庫中，很容易受到外部Web攻擊以及內(nèi)部員工越權(quán)違規(guī)操作，需要對個(gè)人敏感信息進(jìn)行加密存儲。發(fā)生數(shù)據(jù)安全事件時(shí)，若未對個(gè)人敏感信息采取加密等保護(hù)措施，會對移動應(yīng)用運(yùn)營者和個(gè)人產(chǎn)生極大的風(fēng)險(xiǎn)。

數(shù)據(jù)備份是移動應(yīng)用運(yùn)營者日常運(yùn)維過程中非常重要的一環(huán)，數(shù)據(jù)的丟失，對于移動應(yīng)用運(yùn)營者是災(zāi)難性打擊。數(shù)據(jù)備份包含數(shù)據(jù)備份流程、數(shù)據(jù)備份策略、數(shù)據(jù)備份恢復(fù)等，必須嚴(yán)格執(zhí)行到位。

數(shù)據(jù)使用環(huán)節(jié)中的安全問題

由于移動應(yīng)用各行業(yè)屬性及標(biāo)準(zhǔn)的不同，沒有形成統(tǒng)一的數(shù)據(jù)分類分級方法或指引，對應(yīng)數(shù)據(jù)分類分級的安全技術(shù)要求尚不完善。不同行業(yè)、不同場景的數(shù)據(jù)的差異化保護(hù)要求存在落實(shí)困難，難以全面覆蓋。因此，移動應(yīng)用企業(yè)在執(zhí)行數(shù)據(jù)分類分級和安全防護(hù)實(shí)際工作中，多停留在紙面和理論層面，部門數(shù)據(jù)缺乏有效的安全防護(hù)措施，造成數(shù)據(jù)的非授權(quán)訪問、數(shù)據(jù)泄露等風(fēng)險(xiǎn)發(fā)生。

移動應(yīng)用運(yùn)營者使用海量數(shù)據(jù)來支撐業(yè)務(wù)和輔助決策，這些數(shù)據(jù)在創(chuàng)造著巨大的商業(yè)價(jià)值。但是，諸如身份信息、銀行賬戶信息、位置信息、醫(yī)療信息等重要的敏感信息在使用的過程中存在嚴(yán)重的安全風(fēng)險(xiǎn)。移動應(yīng)用運(yùn)營者需要減少敏感隱私數(shù)據(jù)被非法使用和獲得的可能性，消除對敏感數(shù)據(jù)不必要的訪問和復(fù)制。

對數(shù)據(jù)的訪問操作授權(quán)機(jī)制是保障數(shù)據(jù)安全的重要防線。操作用戶通過身份認(rèn)證即可進(jìn)入授權(quán)環(huán)節(jié)，此環(huán)節(jié)會根據(jù)權(quán)限控制表判斷操作用戶是否有權(quán)進(jìn)行數(shù)據(jù)訪問操作。企業(yè)內(nèi)數(shù)據(jù)源眾多，數(shù)據(jù)開放接口繁多，不可避免存在著數(shù)據(jù)授權(quán)粒度粗、數(shù)據(jù)訪問權(quán)限過大、內(nèi)部操作權(quán)限濫用等諸多問題。同時(shí)，企業(yè)缺乏有效的敏感數(shù)據(jù)的控制保護(hù)機(jī)制，如果不及時(shí)解決，數(shù)據(jù)的安全性難以充分保證。

移動應(yīng)用運(yùn)營過程中，需要對敏感數(shù)據(jù)的使用操作、運(yùn)行維護(hù)、開放共享進(jìn)行定期審計(jì)和制定異常行為告警規(guī)則，及時(shí)發(fā)現(xiàn)數(shù)據(jù)使用過程中的隱患和風(fēng)險(xiǎn)。目前移動應(yīng)用運(yùn)營者對數(shù)據(jù)的不當(dāng)授權(quán)和第三方濫用，缺乏有效的監(jiān)管審計(jì)機(jī)制。在數(shù)據(jù)應(yīng)用過程中，無法得知某個(gè)用戶對數(shù)據(jù)具體做了什么操作、是否有違規(guī)和誤操作，難以及時(shí)預(yù)警和追溯審計(jì)定責(zé)。

數(shù)據(jù)開放共享環(huán)節(jié)中的安全問題

數(shù)據(jù)開放共享擴(kuò)大了數(shù)據(jù)訪問的范圍，移動應(yīng)用數(shù)據(jù)資源跨領(lǐng)域、企業(yè)共享使用十分頻繁。如：互聯(lián)網(wǎng)電商平臺完成一次購物環(huán)節(jié)，訂單信息需要共享給商家、倉庫、物流、快遞查詢平臺、短信供應(yīng)商等多家企業(yè)。數(shù)據(jù)被各方調(diào)取、使用，或存儲到本地，存在共享管理責(zé)任不明確、數(shù)據(jù)超范圍共享、擴(kuò)大數(shù)據(jù)暴露面等安全風(fēng)險(xiǎn)和隱患。相關(guān)企業(yè)僅從業(yè)務(wù)出發(fā)，未針對應(yīng)用場景充分識別、評估影響，未對照法律法規(guī)和技術(shù)標(biāo)準(zhǔn)注意梳理共享開發(fā)要求的情況。任何一個(gè)數(shù)據(jù)使用方未按照要求共享數(shù)據(jù)、未嚴(yán)格控制數(shù)據(jù)空閑范圍，或防護(hù)措施不到位，都可能導(dǎo)致數(shù)據(jù)被未授權(quán)訪問、使用，進(jìn)而引發(fā)數(shù)據(jù)泄露或?yàn)E用事件。

數(shù)據(jù)開放共享為企業(yè)帶來商機(jī)與便利，也為數(shù)據(jù)安全保障工作帶來壓力。特別在開放場景下，數(shù)據(jù)平臺API接口的應(yīng)用部署面向外部用戶群體龐大、性質(zhì)復(fù)雜、需求不一等諸多挑戰(zhàn)，需時(shí)刻警惕數(shù)據(jù)安全的外部威脅。包含：API漏洞導(dǎo)致數(shù)據(jù)被非法獲取、網(wǎng)絡(luò)爬蟲通過API爬取大量數(shù)據(jù)、合作第三方非法留存接口數(shù)據(jù)、API請求參數(shù)易被非法篡改。應(yīng)對外部威脅的同時(shí)，API接口也面臨許多來自內(nèi)部的風(fēng)險(xiǎn)挑戰(zhàn)。API類型和數(shù)量隨著業(yè)務(wù)發(fā)展而擴(kuò)張，通常在設(shè)計(jì)初期未進(jìn)行整體規(guī)劃，缺乏統(tǒng)一規(guī)范，尚未形成體系化的安全管理機(jī)制。在身份驗(yàn)證、訪問控制、數(shù)據(jù)脫敏、審計(jì)監(jiān)控等方面存在安全缺陷。

數(shù)據(jù)銷毀環(huán)節(jié)中的安全問題

賬號注銷功能是用戶自主注銷權(quán)的重要保障，也是民眾關(guān)注的熱點(diǎn)。移動應(yīng)用賬號常與用戶銀行卡、身份證等敏感信息相關(guān)聯(lián)，若賬號無法注銷將導(dǎo)致用戶個(gè)人敏感信息長期被運(yùn)營者留存，增大數(shù)據(jù)泄露風(fēng)險(xiǎn)。部分App雖然提供了注銷功能，但注銷耗時(shí)長、流程煩瑣，還需比注冊時(shí)多提交額外非必要的個(gè)人敏感信息，如用戶真實(shí)姓名、住址、郵箱、身份證照片等，且移動應(yīng)用運(yùn)營者并未明確額外信息在注銷后是否會刪除。相比簡單的注冊流程，為用戶注銷賬號設(shè)置了大量不合理前置條件，阻礙用戶行使注銷權(quán)。無法注銷賬戶或者為完成注銷流程需要用戶額外提交個(gè)人信息的行為，均存在數(shù)據(jù)過度留存風(fēng)險(xiǎn)。

部分移動應(yīng)用使用云服務(wù)供應(yīng)商，為了優(yōu)化資源分配、實(shí)現(xiàn)定期備份，提高可用性，服務(wù)供應(yīng)商會移動或復(fù)制數(shù)據(jù)，這樣才能在多租戶環(huán)境中優(yōu)化資源的使用情況。且數(shù)據(jù)會在多個(gè)數(shù)據(jù)中心間共享，數(shù)據(jù)被數(shù)據(jù)所有者移動，或者是在公共云里被服務(wù)供應(yīng)商移動，原本位置的數(shù)據(jù)應(yīng)該要銷毀，如果有任何數(shù)據(jù)殘留，就有可能產(chǎn)生安全問題，也可能出現(xiàn)未經(jīng)授權(quán)訪問殘留數(shù)據(jù)的問題。

編輯：張程? 3567672799@qq.com