【51CTO.com原创稿件】 2月16日,有网友称京东金融APP在安卓端存在窃取用户敏感信息的问题。随后,京东金融称排查后的确发现安卓版本存在缓存手机截屏图片问题,但绝无收集用户隐私的操作,目前APP已定位问题并修复。
在智能手机大行其道的今天,用户隐私保护一直是一根非常敏感的神经,不论是国家监管部门还是应用服务提供商、APP安全公司都在努力营造一个安全可信赖的应用环境。截屏缓存事件在短时间内迅速引发业内关注,业界也纷纷表达了自己的观点,51CTO邀请梆梆安全技术总监刘舒骐谈谈对本次事件的看法。
51CTO:从用户角度看,在APP应用时,应该有哪些APP应用的安全意识可以保护自己的隐私?
梆梆安全技术总监刘舒骐:首先,建议用户只从可信任的应用分发渠道去下载、安装手机应用。对于iOS用户来讲,AppStore是下载应用的不二之选,对于安卓用户来讲,从官网直接下载,通过主流应用商店下载应用都可以保障安全。避免安装来历不明的应用,防止因安装了含有恶意代码的应用造成隐私信息丢失。
其次,现在的手机操作系统均有权限管理系统,通过权限管理可以限制应用访问用户的敏感信息,比如摄像头、麦克风、通讯录、定位等,对于不常使用的权限要进行关闭,在一定程度上可以保护自己的隐私。
51CTO:从APP应用角度看,目前市场是否有针对窃取APP用户隐私现象的监测功能呢?从技术角度如何操作?目前APP应用厂商普遍对于用户隐私的保护是否重视?
梆梆安全技术总监刘舒骐:应用安全测评平台之类的产品已经可以自动化的分析App权限调用情况,基于污点跟踪等技术可以定位到具体哪行代码调用了哪一类权限,便于人工二次审核App的隐私数据调用情况。我国在《GB/T 35273-2017 信息安全技术个人信息安全规范》中明确了何为个人信息,何为个人敏感信息,一些机构、组织也在定期通过人工+自动化监测的方式分析市场上应用对于个人信息的获取情况。但从公开媒体报道以及梆梆安全监测的情况来看,总体而言国内的App开发者更多的还是在以业务优先,对于用户隐私的保护仍处于比较初级的阶段。随着国家相关法律法规的落地,相信未来国家对于用户隐私的保护要求会越来越严格,相关开发者要提前做好准备。
51CTO:京东金融呼吁APP安全厂商对自己APP进行监督,是否有有效的监测手段?操作的可行性如何?
梆梆安全技术总监刘舒骐:通过成熟的App安全监测监管平台能够很有效实现对App的安全监管,近年来,国家和地方相关监管部门都在使用类似平台产品对各行业App实施越来越严格的监督检查。这类平台自动化程度较高、较为成熟,但梆梆安全建议对于用户隐私方面的保护,需要“人+技术”综合进行,特别是在App开发者的业务设计阶段,就要保持最小权限原则,不必要的数据不取,通过技术检测机制,自动化分析App索取的各类权限,对于意外的权限提出预警,同时检测对于必要信息的获取、存储、传输是否遵循业界安全***实践,多维度的保护用户数据。内外结合,避免类似事件的再次发生。
【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】