佛中资讯>科技>CVERC:陌陌涉超范围收集隐私,小米推送向境外传输数据

CVERC:陌陌涉超范围收集隐私,小米推送向境外传输数据

2019-11-17 13:08:38 3940人参与  3940条评论

杜南新闻记者姜林9月15日在天津举行了“2019年网络安全专题会议”。国家计算机病毒应急中心(cverc)执行副主任陈建民表示,目前应用软件开发工具包(sdk)存在六大问题,如恶意扣款和收集超出范围的个人信息。其中,非盟旗下的英美烟草(bat)、奥罗拉(Aurora)和sdk存在高风险漏洞,而小米Push sdk则直接向新加坡传输敏感数据。

近年来,移动互联网发展迅速。据统计,截至2019年6月,中国手机用户已达8.47亿。与此同时,手机应用的强制授权、过度维权和个人信息超范围收集现象大量存在,个人信息的非法使用问题十分突出。

来自杜南的记者了解到,国家计算机病毒应急响应中心承担了监控和处理全国范围内移动应用安全的任务,包括应用发布平台的技术监控和应用与sdk安全测试标准的起草,旨在打造世界上最先进、最权威的移动安全测试平台。

陈建民指出,app和sdk存在的主要问题包括:远程控制和恶意扣款等八种恶意行为,如“家校广告牌”和“拨号主机”APP;也有涉嫌侵犯公民个人隐私的行为,如“水果摊”和“火烈鸟”被发现将用户的地址簿和短信内容返还给服务器。

不久前,广东省公安机关曝光了42种收集用户信息超出范围的应用,包括“芒果电视”、“壳牌找房子”、“西瓜视频”等下载量大的知名应用。

据陈建民介绍,收集个人隐私超出范围的现象确实非常普遍——“金山词霸”、“腾讯爱玩”、“墨水天气”、“陌生人”、“今日头条”、“京东财经”和“云闪支付”都有类似的问题。

除了应用程序之外,国家计算机病毒应急中心还梳理和分析了市场上3000多个sdk。陈建民指出,有问题的sdk比例“相对较高”,主要表现为高风险或中风险漏洞,容易被黑客攻击。

他说:“包括百度云推、极光推、当前支付以及优盟和腾讯等主流应用软件公司拥有的sdk,我们发现了大量这样的问题。”

此外,许多应用程序和sdk违反了收集个人信息的“最低限度”原则。陈建民说,“包括sdk在内的许多应用程序已经申请了大量权限,但它们可能与其功能无关。或者它只需要五个权限。他可以申请15到25岁,甚至55岁。”

例如,“云感知语音”应用程序过度获取了三种系统权限:读取联系人、访问准确的位置信息和更改wlan状态。“阿里云移动推送”sdk过度获得了重启程序和安装/卸载文件系统的权限。“立即支付”sdk过度获得了发送短信或彩信的权利。

今年6月,国家互联网信息办公室发布了《个人信息出境安全评估办法(征求意见稿)》,规定个人信息出境前,网络运营商应向当地省级网络信息部门报告个人信息出境安全评估情况。

然而,陈建民表示,他们通过分析发现,“小米推送”sdk直接向新加坡传输敏感数据,“立即支付”sdk直接向香港传输敏感数据。“这种跨境传播是我国严格禁止的,”他强调说。

为了建立app和sdk安全管理的长效机制,国家计算机病毒应急中心推出了六项措施,包括建立统一快速的响应联动机制,加强法律法规的解释和传播,加强相关标准的制定,开展app和sdk及安全服务的检查和认证,为移动互联网安全提供社会服务。

云南十一选五 高频彩app下载 pk10下注 快乐十分 内蒙古十一选五