多款APP遭到安全“点名”:金山词霸、墨迹天气等涉超范围采集隐私
随着“互联网+”的深入发展,移动应用与人们的生活联系得日益紧密。增强用户生活便捷度和趣味性的同时,一些违法有害应用乘虚而入,给用户生活带来困扰。
9月15日,在由公安部网络安全保卫局、公安部新闻宣传局、天津市委网信办指导,天津市公安局网安总队、广东省公安厅网警总队共同主办的“2019年网络安全专题发布会”上,多款APP遭到“点名”。
检测结果显示,APP方面,家校看板、蜜蜂优选、拨号大师、碧桂园售楼等APP存在远程控制、恶意扣费等八大类恶意行为;果果分期、烈鸟APP被抓包检测出存在回传用户通讯录和短信的侵犯公民个人隐私行为;金山词霸、墨迹天气、分期宝等则涉嫌超范围采集公民个人隐私;NBA篮球大师、分钟天天红包等存在高危漏洞。
SDK方面,百度云推送、阿里云移动推送、现在支付、赢告横幅广告等SDK被检测出存在高危风险,容易被黑客利用。
发布会上,国家计算机病毒应急处理中心常务副主任,天津市公安局网安总队副总队长陈建民表示,为构建APP和SDK安全治理的长效机制,国家计算机病毒应急处理中心根据公安部的统一部署和要求,推出加强APP和SDK治理的六项举措,包括建立扁平化快速处置联动机制、加强法律法规的解读和宣贯、加强相关标准的制定工作、开展APP和SDK的检验认证工作、开展APP和SDK安全服务工作、提供移动互联网安全社会化服务。
值得一提的是,当下,超范围采集个人隐私的现象十分普遍。前不久,广东省公安机关曝光了42款超范围收集用户信息的App,其中包括“芒果TV”、“贝壳找房”、“西瓜视频”等下载量较大的知名App。
据悉,“西瓜视频”“贝壳找房”“芒果TV”等42款App,存在超范围读取用户通话记录、短信或彩信,收集用户通讯录、用户设备上已知账号,超权限使用用户设备麦克风,以及无用户协议、隐私政策或未说明业务逻辑、权限与获取用户隐私信息用途等突出安全问题。
互联网时代,APP在我们的生活中扮演着不可或缺的角色。但伴随超范围采集隐私等问题的泛滥,整治刻不容缓。
8月8日,全国信息安全标准化技术委员会秘书处就《移动互联网应用(App)收集个人信息基本规范(草案)》公开征求意见。
标准明确了移动互联网应用收集个人信息时应满足的基本要求,用以规范移动互联网应用运营者收集个人信息的行为。本标准适用于移动互联网应用的开发和运营,也可用于移动互联网应用的技术评估、监督检查。
规范要求:App运营者应履行个人信息保护义务,采取必要安全措施,保障用户个人信息安全;当用户同意App收集某服务类型的最少信息时,App不得因用户拒绝提供最少信息之外的个人信息而拒绝提供该类型服务;对外共享、转让个人信息前,App应事先征得用户明示同意等。
目前,App忽视隐私问题频发,这次App收集个人信息的国标草案亮相,无疑将极大改善公众个人隐私信息在部分App中“裸奔”的问题。