關於隱私許可權檢測,你可能需要一個工具
默默拿起手機關掉了社交App的推薦好友選項
今天在《南方都市報》看到一篇文章,某法學博士小凌(化名)對兩款熱門App發起訴訟,要求兩款App立即停止侵犯他的隱私權,並告知如何獲取“好友關係”,賠償經濟損失6萬元。緣由是兩款App向他精準推薦了多位“好友”,甚至有“前女友”。本來就是刷著玩的,不想讓別人知道,結果卻還是被“偷窺”了。
雖然個人使用者相對於整個市場環境依然是弱勢群體,但是我還是默默打開了手機上所有有社交功能的App,並且把隱私選項中的通過手機號碼找到我、允許給我推薦通訊錄好友之類的選項通通給關閉了。真是不看不知道,一看嚇一跳,幾乎所有的App這些選項都是預設開啟的。
App索要這麼多許可權都用來做什麼了?
1、業務需要:有些App業務功能需要獲取對應許可權才能正常使用;
2、預留使用:有些App業務在開發時會盡可能多地獲取許可權以備他用;
3、獲取個人資訊:奔著這個目的而去的無疑就是為了精準營銷或者非法售賣。
如何判斷許可權是否是業務需要的,這個可不是App說了算的。如果還不是特別清楚,可以閱讀下《網路安全法》、《資訊保安技術 個人資訊保安規範》、《App違法違規收集使用個人資訊自評估指南》相關的條款說明,或者看下文末小劇場,然後就知道該怎麼做了。
怎麼知道App申請並使用了哪些許可權?
App圈人都知道,2019年1月,中央網信辦、工信部、公安部、市場監管總局四部門聯合釋出《關於開展App違法違規收集使用個人資訊專項治理的公告》,怎麼判斷App違法違規收集使用了個人資訊呢?
這是一個業界難題。不同App,涉及到的業務型別多種多樣,試圖“一刀切”來判斷App是否違法違規收集個人資訊,這在當前環境下可以說是非常困難且存在很大侷限性的。
難道只能坐以待斃嗎?當然不是,作為一個求知慾強,又力求有問題就用技術手段解決的IT人,當然就要著眼於隱私許可權檢測技術了。專業的檢測技術可以全面、準確地發現App到底涉足了哪些許可權資訊,又有多少是可能對使用者隱私造成很大風險。
梆梆安全在安全檢測技術的積累和沉澱下,不斷創新和完善App靜態程式碼檢測技術、動態行為分析技術、自動化脫殼技術以及隱私許可權檢測技術等。
聽起來很硬核實力的隱私許可權檢測技術能夠做什麼呢?
1、200+項許可權覆蓋,全面檢測各種應用的隱私許可權使用情況;
2、許可權等級劃分明確,危害程度、授權方式一目瞭然;
3、怎麼檢測你說了算,基本檢測+深入檢測,多層次分析,可以告訴你申請了哪些許可權,使用了哪些許可權;
Tips:從合規角度而言,如果App申請且使用了過多的危險許可權,就該認真做下自查了。
4、單獨輸出隱私許可權檢測報告。
除了隱私許可權檢測,App安全還需要關注什麼?
當然,作為一個負責任的App運營者,除了隱私許可權檢測,你還需要關注App的其他安全,比如App自身安全、原始碼安全、資料傳輸及儲存安全、惡意攻擊防範能力、加密安全、第三方SDK等。作為一個負責任的網路安全企業,梆梆安全提供了上述所有檢測內容超過100個檢測項的全面檢測功能,而且可以自動化輸出專業安全檢測報告。
E. 常見App動態攻擊檢測 F. 移動應用是否進行加固的判斷及加固類別識別 G.市場上新曝漏洞的及時響應與排查,如2018年曝出的應用克隆、寄生推SDK等
如果說有一個行業是最與時俱進的,那無疑就是網路安全行業了。梆梆安全作為其中一份子,以“保護智慧生活”為使命,期望產品的每一次創新和進步都可以給使用者帶來更大的安全價值。
小劇場
老闆:小張啊,你看到四部門發的《關於開展App違法違規收集使用個人資訊專項治理的公告》了嗎?
小張:當然看到了,App圈人都知道啊
老闆:那你覺得下一步我們該怎麼辦呢?這315都曝光個人資訊洩露啦,別到時候我們的App再出問題啊
小張:老闆,我覺得我們得評估下我們的App了,但是您知道吧,光Android的許可權各種版本加起來就有200多項
老闆:這麼多項,那有沒有什麼工具可以用
小張:梆梆安全新發布了一項技術——隱私許可權檢測
老闆:哦,說來聽聽
小張:據說覆蓋了200多項許可權,而且許可權等級劃分明確,可以檢測到App申請了哪些許可權,連申請以後有沒有使用許可權都能檢測出來
老闆:那你還不趕緊檢測下
小張:老闆,我已經上傳完APK、而且已經檢測完了,您看,這是從他們平臺下載的報告
老闆:這份報告很清楚呀,檢測項也很全啊,以後就用它了
小張:好的,老闆~!