建议用户只从可信任的应用分发渠道去下载, 安装手机应用. 对于 iOS 用户来讲, AppStore 是下载应用的不二之选, 对于安卓用户来讲, 从官网直接下载, 通过主流应用商店下载应用都可以保障安全. 避免安装来历不明的应用, 防止因安装了含有恶意代码的应用造成隐私信息丢失.
2 月 16 日, 有网友称京东金融 App 在安卓端存在窃取用户敏感信息的问题. 随后, 京东金融称排查后的确发现安卓版本存在缓存手机截屏图片问题, 但绝无收集用户隐私的操作, 目前 App 已定位问题并修复.
在智能手机大行其道的今天, 用户隐私保护一直是一根非常敏感的神经, 不论是国家监管部门还是应用服务提供商, App 安全公司都在努力营造一个安全可信赖的应用环境. 截屏缓存事件在短时间内迅速引发业内关注, 业界也纷纷表达了自己的观点, 51CTO 邀请梆梆安全技术总监刘舒骐谈谈对本次事件的看法.
51CTO: 从用户角度看, 在 App 应用时, 应该有哪些 App 应用的安全意识可以保护自己的隐私?
梆梆安全技术总监刘舒骐: 首先, 建议用户只从可信任的应用分发渠道去下载, 安装手机应用. 对于 iOS 用户来讲, AppStore 是下载应用的不二之选, 对于安卓用户来讲, 从官网直接下载, 通过主流应用商店下载应用都可以保障安全. 避免安装来历不明的应用, 防止因安装了含有恶意代码的应用造成隐私信息丢失.
其次, 现在的手机操作系统均有权限管理系统, 通过权限管理可以限制应用访问用户的敏感信息, 比如摄像头, 麦克风, 通讯录, 定位等, 对于不常使用的权限要进行关闭, 在一定程度上可以保护自己的隐私.
51CTO: 从 App 应用角度看, 目前市场是否有针对窃取 App 用户隐私现象的监测功能呢? 从技术角度如何操作? 目前 App 应用厂商普遍对于用户隐私的保护是否重视?
梆梆安全技术总监刘舒骐: 应用安全测评平台之类的产品已经可以自动化的分析 App 权限调用情况, 基于污点跟踪等技术可以定位到具体哪行代码调用了哪一类权限, 便于人工二次审核 App 的隐私数据调用情况. 我国在《GB/T 35273-2017 信息安全技术个人信息安全规范》中明确了何为个人信息, 何为个人敏感信息, 一些机构, 组织也在定期通过人工 + 自动化监测的方式分析市场上应用对于个人信息的获取情况. 但从公开媒体报道以及梆梆安全监测的情况来看, 总体而言国内的 App 开发者更多的还是在以业务优先, 对于用户隐私的保护仍处于比较初级的阶段. 随着国家相关法律法规的落地, 相信未来国家对于用户隐私的保护要求会越来越严格, 相关开发者要提前做好准备.
51CTO: 京东金融呼吁 App 安全厂商对自己 App 进行监督, 是否有有效的监测手段? 操作的可行性如何?
梆梆安全技术总监刘舒骐: 通过成熟的 App 安全监测监管平台能够很有效实现对 App 的安全监管, 近年来, 国家和地方相关监管部门都在使用类似平台产品对各行业 App 实施越来越严格的监督检查. 这类平台自动化程度较高, 较为成熟, 但梆梆安全建议对于用户隐私方面的保护, 需要 "人 + 技术" 综合进行, 特别是在 App 开发者的业务设计阶段, 就要保持最小权限原则, 不必要的数据不取, 通过技术检测机制, 自动化分析 App 索取的各类权限, 对于意外的权限提出预警, 同时检测对于必要信息的获取, 存储, 传输是否遵循业界安全最佳实践, 多维度的保护用户数据. 内外结合, 避免类似事件的再次发生.
来源: http://netsecurity.51cto.com/art/201902/592254.htm