APP個(gè)人信息安全威脅及防范對(duì)策分析

李俊磊，鄒同浩

（廣東司法警官職業(yè)學(xué)院，廣東 廣州 510520）

客戶端應(yīng)用程序（Application program，APP）主要指運(yùn)行在移動(dòng)終端設(shè)備平臺(tái)上的第三方應(yīng)用程序，其種類覆蓋人民生活的每一個(gè)角落，小到社交通信、新聞閱讀、影音娛樂、美食購(gòu)物、出行導(dǎo)航等，大到教育商務(wù)、金融理財(cái)、運(yùn)動(dòng)健康等，個(gè)人的一天活動(dòng)基本可依賴APP完成，人們的生活走向了數(shù)字化。

1 APP帶來的個(gè)人信息安全威脅

據(jù)CNCERT統(tǒng)計(jì)，我國(guó)境內(nèi)應(yīng)用商店數(shù)量已超過200家，上架APP近500萬款，下載總量超過萬億次，還在以指數(shù)形式遞增[1]。在龐大的用戶群體和移動(dòng)設(shè)備背景下，用戶每天都在利用APP進(jìn)行購(gòu)物支付、消遣娛樂，對(duì)智能設(shè)備的依賴性越來越強(qiáng)，留下的個(gè)人操作足跡和信息數(shù)據(jù)越來越豐富，形成的個(gè)人信息數(shù)據(jù)越來越全面。

智能設(shè)備上幾乎保存著個(gè)人全部隱私數(shù)據(jù)，涉及以下幾個(gè)方面：（1）個(gè)人信息隱私，如身份證號(hào)、銀行卡號(hào)、家庭住址、網(wǎng)絡(luò)活動(dòng)的綜合信息（IP地址、瀏覽蹤跡、活動(dòng)內(nèi)容）。（2）通信隱私，包括電話、短信、聊天通信平臺(tái)中的信息等。（3）空間隱私，個(gè)人在智能設(shè)備上出入特定空間或區(qū)域。（4）身體隱私，即身體健康狀況信息等。甚至，還有很多信息并不一定涉及個(gè)人隱私，但是在大數(shù)據(jù)時(shí)代，通過數(shù)據(jù)挖掘分析技術(shù)對(duì)信息進(jìn)行重組，就包含了涉及用戶個(gè)人隱私的信息。

琳瑯滿目的APP在為用戶生活帶來前所未有的指尖快樂時(shí)，也給用戶的個(gè)人信息安全帶來了新威脅和新風(fēng)險(xiǎn)。安全問題值得重視，APP正悄無聲息地對(duì)個(gè)人安全造成不利影響，如強(qiáng)制授權(quán)、過度竊取、超范圍收集個(gè)人信息等現(xiàn)象大量存在，使用戶的個(gè)人信息在網(wǎng)絡(luò)中處于“透明狀態(tài)”，違法違規(guī)使用個(gè)人信息的問題十分突出，不僅讓用戶的個(gè)人信息和利益受到危害，也給國(guó)家安全產(chǎn)生了嚴(yán)重威脅。在當(dāng)前的移動(dòng)互聯(lián)網(wǎng)時(shí)代下，APP的大面積安裝、使用，對(duì)個(gè)人造成的安全威脅不容輕視，常見的個(gè)人信息安全威脅包括以下方面。

1.1 用戶群體素質(zhì)不一，安全意識(shí)薄弱

工業(yè)和信息化部發(fā)布的數(shù)據(jù)顯示，我國(guó)三大運(yùn)營(yíng)商移動(dòng)電話用戶總數(shù)接近16億戶，4G用戶規(guī)模為12.3億戶，可見，我國(guó)的用戶群體龐大，現(xiàn)在全國(guó)上下出現(xiàn)大到老人、小至嬰兒，都基本上人均一部智能設(shè)備，完全達(dá)到APP應(yīng)用普及化。然而，用戶群體的素質(zhì)不一，有些用戶連什么是網(wǎng)絡(luò)安全、個(gè)人信息安全的概念和意識(shí)都不清楚，特別年長(zhǎng)的和年幼的兩大用戶群，在使用智能設(shè)備安裝應(yīng)用時(shí)，直接盲目點(diǎn)擊下載，對(duì)于應(yīng)用存在的風(fēng)險(xiǎn)、要獲取的權(quán)限、相關(guān)協(xié)議內(nèi)容等全然不知。

對(duì)于有安全意識(shí)的絕大數(shù)用戶而言，由于生活節(jié)奏快，有些APP雖然在安裝的過程中會(huì)提醒用戶查看《用戶協(xié)議》，但是協(xié)議條款過長(zhǎng)，用戶為了省事，抱著相信的心態(tài)，手指一點(diǎn)同意該協(xié)議，使用過程中APP需要提供個(gè)人隱私數(shù)據(jù)和權(quán)限毫不猶豫地操作，加劇了風(fēng)險(xiǎn)和威脅。

1.2 APP市場(chǎng)魚龍混雜，缺乏統(tǒng)一平臺(tái)約束

正因APP市場(chǎng)的空前利好，很多開發(fā)商都關(guān)注到了這一市場(chǎng)，各種各樣的APP如雨后春筍般被開發(fā)出來，APP商城作為用戶下載APP的主要渠道，理應(yīng)保障用戶的利益，對(duì)上線的APP進(jìn)行惡意軟件檢測(cè)、隱私泄露檢查、安裝漏洞掃描、人工審核等安全管理，確保APP的安全性能，但由于缺乏統(tǒng)一平臺(tái)約束，導(dǎo)致APP市場(chǎng)魚龍混雜。市場(chǎng)上有大量的惡意APP存在，隨時(shí)可能被用戶下載安裝，給用戶的生命財(cái)產(chǎn)造成安全隱患。CNCERT統(tǒng)計(jì)數(shù)據(jù)顯示，我國(guó)2016年7月1日—2019年10月31日，累計(jì)發(fā)現(xiàn)違法有害惡意APP高達(dá)19 538款[2]。

1.3 APP強(qiáng)制、越界濫用權(quán)限

目前，用戶在安裝時(shí)，大多數(shù)APP都需要獲取用戶的權(quán)限，如果獲取的權(quán)限過低，會(huì)導(dǎo)致APP運(yùn)行異常，甚至無法使用；如果權(quán)限過高，則會(huì)導(dǎo)致APP權(quán)限濫用，無法保障用戶的合法權(quán)益。有些APP沒有必要獲取用戶權(quán)限和收集用戶個(gè)人信息，然而，開發(fā)者或者開發(fā)商盲目跟風(fēng)，“越界”“過度”甚至強(qiáng)制、超范圍索要用戶權(quán)限。

APP沒有明顯告知用戶獲取權(quán)限的信息及用途，甚至通過“越界”方式收集用戶設(shè)備上的照片、通信信息、生物識(shí)別信息（人臉、指紋）、交易賬號(hào)信息、各購(gòu)物APP上的賬號(hào)密碼及收件地址、行程等個(gè)人隱私和敏感信息，讓個(gè)人信息時(shí)刻處于危險(xiǎn)狀態(tài)。比如，APP對(duì)用戶的操作記錄和行為習(xí)慣進(jìn)行“畫像”，提供個(gè)性化服務(wù)[3]，進(jìn)行定向推送和營(yíng)銷，而用戶卻無法拒絕。另外，有些APP存在“用戶進(jìn)來了就別出去”的怪象，用戶注冊(cè)和使用后，想注銷和清空個(gè)人信息時(shí)卻困難重重，甚至連操作入口都沒有。

1.4 泄露用戶隱私信息，導(dǎo)致用戶利益受損

在使用APP的過程中，個(gè)人用戶隱私信息數(shù)據(jù)庫(kù)容易被泄露出去，包括APP平臺(tái)本身的安全性不強(qiáng)、管理人員非法處理用戶信息利益鏈；黑客入侵和平臺(tái)漏洞等導(dǎo)致信息泄露。同時(shí)，當(dāng)前病毒泛濫，有網(wǎng)絡(luò)的地方就有可能存在病毒的風(fēng)險(xiǎn)，近年來，病毒對(duì)智能移動(dòng)設(shè)備的侵害行為越來越多，病毒感染導(dǎo)致用戶信息處于不可控狀態(tài)，危害不斷。

2 APP個(gè)人信息安全防范對(duì)策

2.1 建立體系，規(guī)范管理

APP的安全問題事關(guān)個(gè)人和國(guó)家，必須要高度重視，社會(huì)各界要共同參與，從國(guó)家、行業(yè)層面建立法律保護(hù)體系，保護(hù)用戶的個(gè)人信息安全，構(gòu)建良好的安全生態(tài)；制定APP行業(yè)標(biāo)準(zhǔn)，規(guī)范管理，對(duì)APP的上線實(shí)行統(tǒng)一管理，加強(qiáng)安全性檢測(cè)，規(guī)范審核流程；在相關(guān)標(biāo)準(zhǔn)、指南中進(jìn)一步細(xì)化APP運(yùn)營(yíng)者收集用戶個(gè)人信息規(guī)范，持續(xù)優(yōu)化用戶隱私政策，并將個(gè)人信息保護(hù)貫徹APP的規(guī)劃、開發(fā)、運(yùn)營(yíng)等各個(gè)環(huán)節(jié)，做到“最小化”授權(quán)。

相關(guān)政府部門將建立 APP個(gè)人信息安全認(rèn)證制度，對(duì)APP的上線、版本升級(jí)前均開展安全評(píng)估工作，同時(shí)，鼓勵(lì)搜索引擎和應(yīng)用商店優(yōu)先推薦認(rèn)證APP，切實(shí)、有效地維護(hù)好用戶的合法權(quán)益。

2.2 安全開發(fā)，加固防護(hù)

從技術(shù)上解決APP的安全性問題，在研發(fā)APP的過程中，融入信息安全技術(shù)，提高應(yīng)用的安全性，把隱患拒之網(wǎng)外。通過運(yùn)用數(shù)字簽名技術(shù)，保證數(shù)據(jù)在網(wǎng)絡(luò)中傳輸過程中數(shù)據(jù)的完整性、防篡改和不可偽造，避免網(wǎng)絡(luò)不法分子利用攻擊手段竊取信息。同時(shí)，要加強(qiáng)對(duì)APP緩存進(jìn)行加密處理，對(duì)用戶賬號(hào)密碼進(jìn)行加密，區(qū)分不同角色的操作權(quán)限。

開發(fā)者應(yīng)將安全編碼原則貫穿整個(gè)軟件開發(fā)周期，采用高級(jí)API和安全SDK，并采用身份認(rèn)證、電子簽章、區(qū)塊鏈等技術(shù)措施對(duì)應(yīng)用進(jìn)行必要的安全加固，采用安全存儲(chǔ)和傳輸技術(shù)保障用戶敏感信息安全，通過完善的身份認(rèn)證機(jī)制保障通信過程安全。

在研發(fā)前期，重視安全需求調(diào)研，對(duì)數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)傳輸都采用加密算法編碼，對(duì)APP接口進(jìn)行加密隱藏，以防止第三方應(yīng)用程序進(jìn)行反編譯操作，充分做好上線前的測(cè)試工作，特別是針對(duì)APP的安全性能進(jìn)行測(cè)試。引入?yún)^(qū)塊鏈技術(shù)對(duì)APP生命周期中的各過程管理，加強(qiáng)隨機(jī)抽查，對(duì)達(dá)不到安全標(biāo)準(zhǔn)的APP，下架處理。對(duì)于下線的APP應(yīng)要求及時(shí)刪除銷毀所有用戶數(shù)據(jù)。利用大數(shù)據(jù)、人工智能技術(shù)、態(tài)勢(shì)感知技術(shù)對(duì)個(gè)人信息泄露等安全事件進(jìn)行預(yù)警。

2.3 增強(qiáng)意識(shí)，安全使用APP

廣大的市民用戶應(yīng)該加強(qiáng)安全防范意識(shí)，主動(dòng)接受網(wǎng)絡(luò)安全、信息安全、數(shù)據(jù)安全等方面的學(xué)習(xí)，掌握基本的安全常識(shí)，提高警惕，培養(yǎng)良好的使用習(xí)慣，深刻認(rèn)識(shí)到APP存在安全隱患，對(duì)APP獲取的權(quán)限做到心中有數(shù)，從正規(guī)渠道下載APP，防止下載高仿、不安全應(yīng)用，安裝APP時(shí)仔細(xì)閱讀協(xié)議，對(duì)于應(yīng)用獲取的權(quán)限，選擇性的進(jìn)行設(shè)置，在不影響正常使用的情況下，沒有特殊要求不將設(shè)備進(jìn)行ROOT處理，禁用不必要的高權(quán)限如手機(jī)號(hào)碼聯(lián)系人、短信等，堅(jiān)守“最小權(quán)限化”。在設(shè)備上安裝殺毒軟件，定期對(duì)軟件應(yīng)用進(jìn)行清查。

3 結(jié)語

在APP“滿天飛”的數(shù)字化生活時(shí)代，每一個(gè)市民用戶都應(yīng)加強(qiáng)安全防范意識(shí)，從制定法律法規(guī)、應(yīng)用安全開發(fā)技術(shù)、安裝殺毒軟件和個(gè)人正確操作使用等多層次建立安全體系，在設(shè)備安全、應(yīng)用安全、數(shù)據(jù)安全等多方面保障APP用戶的個(gè)人信息安全，不要讓個(gè)人信息成為不法分子的獵物，保護(hù)好個(gè)人的電子資產(chǎn)，用戶才能在移動(dòng)互聯(lián)網(wǎng)上享受APP的便捷功能。