中关村在线

热点资讯

防止APP窃取用户隐私问题 OPPO安全在行动

在2020年3·15晚会所曝光的问题中,手机APP窃取用户隐私的情况再度出现。根据央视报道称,部分APP中集成的SDK存在未经过授权窃取用户的个人敏感信息的情况。

OPPO作为一家软硬服一体化的科技公司,软件安全与互联网应用安全是其在安全领域的重要建设部分。OPPO安全团队从实际出发,防止APP窃取用户隐私问题,切实保证用户的隐私及数据安全。

发现底层问题:APP为什么要集成三方的SDK?

一般来讲,一款APP涉及内容非常多,比如外卖类的APP,为了提供更好的服务,就需要获取用户的设备位置权限,同时还要获取用户周边所有餐饮店的位置信息,这样就可以基于用户的设备位置,向用户推送周边的一些美食信息。除此之外,为了让用户可以实时看到骑手送餐的路径和位置,还需要实时获取骑手位置及地图信息。

就这些功能而言,其实是涉及到了另外一个非常专业的领域-地图,外卖类APP开发者要么选择自己做地图,要么就和地图类软件合作。一般情况下,大家都会选择合作模式,由于找地图类合作的APP太多,所以地图类软件商干脆把自己的定位、导航等功能做成了一个软件开发工具包,其他APP如果想使用地图类功能,直接引用这个功能包就可以具备相关的地图功能啦。这个软件开发工具包,就是SDK。

根据2019年7月中国金融认证中心(CFCA)发布的《常用第三方SDK收集使用个人信息测评报告》所述,其检测的60款国内常用APP中,平均每款APP使用的SDK数目为19.3个,所以,在APP中引入别人家SDK是一个非常普遍的事情。

找到解决问题的难点:APP安全隐私检测的难点在哪里?

作为APP下载的平台提供方,负有对其平台上APP安全、APP合规性的监督责任,但是绝大多数平台在实际审核过程中依然存在以下几个难点:

难点一:利益诱惑大。由于移动互联网的蓬勃发展,移动终端是一个利益诱惑非常大的一个入口,几乎所有的黑色产业都会盯住这块蛋糕,目前的黑色产业都是成系统化的,分工明确,技术“过硬”。

难点二:SDK的黑盒检测。SDK由于是第三方厂商开发、封装的,对于APP而言SDK只开放了部分口子,内部代码、逻辑等都是不透明的,相当于一个黑盒子,这种黑盒的安全检测的难度非常大。

难点三:恶意行为的动态下发。目前很多的APP/SDK表明看没有任何问题,但是他的恶意行为都是通过云端随机下发,可以根据不同地区,不同人群,不同时间随机下发,这给检测工作带来非常大的挑战。

解决底层问题:OPPO安全做了什么?

OPPO安全从用户的利益出发,早在2020年初就已经在筹备对APP安全及隐私检测平台的建设-OPPO天境。OPPO天境基于静态分析、动态分析、污点分析等多引擎技术实现对APP的自动化研判分析。

OPPO天境于2020年7月顺利上线,并同步也更新了软件商店APP的审核规范,本次的重大变更点就是增加对APP安全风险及隐私保护的检测内容,覆盖以下几个方面:

恶意行为的检测。OPPO从保护用户信息完整、保密出发,防止APP通过恶意行为破坏手机系统,包括静默下载安装、远程控制、权限滥用、动态加载恶意插件等。

黑灰产行为。OPPO坚决保护用户的账户及各类资产安全,不允许通过黑灰产行为窃取用户资金或资产,破坏应用生态以及非法牟利,包括利用漏洞或欺骗行为、后台模拟广告点击或下载软件、利用用户手机CPU、内存从事电子货币计算等恶意行为。

欺骗行为。OPPO不允许有欺骗用户的行为。APP不得通过伪装来自可信来源或者其他应用,欺骗用户点击、安装、输入或跳转,进而获取用户的身份认证凭据,或者更改系统配置等。

隐私保护。OPPO珍视用户信任,将保护用户隐私作为重要的使命,严禁开发者侵害用户隐私的行为,包括尊重用户的选择,最小化收集用户的个人信息,在用户授权范围使用和分享个人信息等。

OPPO安全始终发自内心地尊重并保护用户隐私及数据安全,致力于让用户安全、流畅、便捷地享受产品和服务,在这条道路上,存在不同势力及利益的对抗,OPPO安全将始终秉持OPPO的本分企业文化价值观,一切以用户为中心。一起为了用户,OPPO安全在行动!

展开全文
人赞过该文
内容纠错

相关电商优惠

评论

更多评论
还没有人评论~ 快来抢沙发吧~

读过此文的还读过

点击加载更多
说点什么吧~ 0

发评论,赚金豆

收藏 0 分享
首页查报价问答论坛下载手机笔记本游戏硬件数码影音家用电器办公打印 更多

更多频道

频道导航
辅助工具