聚焦“315” | 一文總結(jié)“3.15晚會(huì)”網(wǎng)絡(luò)安全大事件

摘要： “3.15晚會(huì)”網(wǎng)絡(luò)安全大事件

又是一年“315消費(fèi)者權(quán)益日”，本次備受矚目的2022年央視“315晚會(huì)”圍繞著食品安全、醫(yī)療安全、網(wǎng)絡(luò)信息安全等多個(gè)領(lǐng)域展開，值得關(guān)注的是，今年的315晚會(huì)首次設(shè)立315信息安全實(shí)驗(yàn)室，重點(diǎn)關(guān)注網(wǎng)絡(luò)信息安全、個(gè)人隱私保護(hù)和兒童互動(dòng)產(chǎn)品的信息安全。
 

---

免費(fèi)Wifi是餡餅還是陷阱
今年的315晚會(huì)首次設(shè)立315信息安全實(shí)驗(yàn)室，“免費(fèi)Wifi”成了第一件測(cè)試品。315信息安全實(shí)驗(yàn)室對(duì)“免費(fèi)Wifi連接”服務(wù)展開專門測(cè)試，測(cè)試人員嘗試了所有羅列的Wifi資源，沒有一個(gè)能連上。連接測(cè)試結(jié)束后，兩個(gè)陌生的應(yīng)用程序正自動(dòng)下載到手機(jī)里，連接時(shí)點(diǎn)擊過的“確認(rèn)”和“打開”字樣的彈窗，都是偽裝的廣告鏈接。最終，用戶手機(jī)里多了一堆莫名其妙的應(yīng)用程序。這類免費(fèi)Wifi的應(yīng)用程序還在后臺(tái)大量違規(guī)收集用戶信息。
 
一款叫“雷達(dá)Wifi”的應(yīng)用程序，一天之內(nèi)收集測(cè)試手機(jī)的位置信息，竟然高達(dá)67899次。這意味著什么？就是用戶從早到晚、包括睡覺，這些應(yīng)用程序都在不斷定位，用戶的生活軌跡、行蹤，甚至是職業(yè)、喜好都會(huì)被曝光。更可怕的是，多了這些應(yīng)用程序后，手機(jī)間歇性抽瘋風(fēng)，各種廣告自動(dòng)彈出，不看夠5秒還關(guān)不上，用戶躲也躲不掉。
 
瀏覽網(wǎng)頁 就能泄露手機(jī)號(hào)
手機(jī)只是瀏覽了某些網(wǎng)站，就接到推銷電話？杭州以漁公司總經(jīng)理介紹，每個(gè)人手機(jī)上對(duì)應(yīng)著一個(gè)MAC號(hào)（手機(jī)識(shí)別碼）匹配該手機(jī)，該公司以每條三元的費(fèi)用出售此類數(shù)據(jù)。融營(yíng)通信公司馮經(jīng)理介紹，很多電銷公司通過他們的系統(tǒng)撥打騷擾電話，該系統(tǒng)可隱藏真正的主叫號(hào)碼，防止被投訴，該公司一年純?cè)捹M(fèi)收入近一個(gè)億。容聯(lián)七陌是上市企業(yè)容聯(lián)云通訊旗下子公司，為電銷公司提供外呼系統(tǒng)和線路，應(yīng)對(duì)用戶的投訴和監(jiān)管。
 
低配兒童智能手表成為行走偷窺器
315信息安全實(shí)驗(yàn)室工程師對(duì)一款10萬+銷量的兒童智能手表進(jìn)行測(cè)試，將惡意程序植入手表后，工程師能夠?qū)⒆訉?shí)時(shí)定位，不間斷收集移動(dòng)軌跡，圈定活動(dòng)范圍。為什么兒童智能手表會(huì)成為一雙時(shí)刻偷窺的眼睛？測(cè)試人員發(fā)現(xiàn)，該手機(jī)使用的安卓4.4操作系統(tǒng)距今已近10年。廠家出于壓低成本考慮，選用低版本操作系統(tǒng)，意味著在這樣的兒童手表上，各種APP安裝后，無需用戶授權(quán)就能開啟多種敏感權(quán)限，輕易獲得孩子的位置、人臉圖像、錄音等隱私信息，還能實(shí)時(shí)聽到孩子和家人的聊天內(nèi)容。孩子的安全隱患可想而知。
 
軟件平臺(tái)強(qiáng)迫捆綁下載
315信息安全實(shí)驗(yàn)室檢測(cè)發(fā)現(xiàn)，PC6、騰牛網(wǎng)、ZOL等軟件下載平臺(tái)使用百助旗下公司研發(fā)的下載器，將其標(biāo)注為“高速下載”，以誘導(dǎo)點(diǎn)擊。
用戶選擇后，這些下載器將默認(rèn)勾選其他軟件同時(shí)下載，且用戶難以找到設(shè)置得極為隱蔽的拒絕選項(xiàng)。
下載器還會(huì)跳出彈窗廣告，將軟件下載鏈接設(shè)置為關(guān)閉按鈕，用戶如習(xí)慣性地點(diǎn)擊右上角試圖關(guān)閉廣告，下載器將會(huì)靜默下載應(yīng)用軟件。
 

---

 自2019年起，工信部已持續(xù)開展App侵害用戶權(quán)益整治行動(dòng)近3年，2021年全年通報(bào)了1549款違規(guī)APP，下架了514款拒不整改的APP，并將整治范圍擴(kuò)展至SDK、應(yīng)用商店等全鏈條。
 
《個(gè)人信息保護(hù)法》第5條規(guī)定，處理個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠信原則。企業(yè)如未經(jīng)同意獲取個(gè)人信息且不具備《個(gè)保法》第13條第二項(xiàng)至第七項(xiàng)規(guī)定的情形，則可能被認(rèn)定為違法收集個(gè)人信息，而上述案例中所獲用戶授權(quán)的方式亦不符合《個(gè)人信息保護(hù)法》所設(shè)定的有效同意之規(guī)則（“充分知情、自主明確、便捷撤回、避免捆綁”）。
 
相關(guān)企業(yè)應(yīng)當(dāng)結(jié)合《個(gè)人信息保護(hù)法》、《常見類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》等法律法規(guī)對(duì)自身產(chǎn)品進(jìn)行評(píng)估和自查，參照《信息安全技術(shù) 個(gè)人信息安全規(guī)范》、《APP收集使用個(gè)人信息最小必要評(píng)估規(guī)范》、《App違法違規(guī)收集使用個(gè)人信息自評(píng)估指南》、《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（App）系統(tǒng)權(quán)限申請(qǐng)使用指南》等國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)進(jìn)行整改。
 
關(guān)于APP侵害用戶權(quán)益整治“回頭看”發(fā)現(xiàn)問題的通報(bào)（2022年第2批，總第22批）
 
工業(yè)和信息化部高度重視用戶權(quán)益保護(hù)工作，持續(xù)開展APP侵害用戶權(quán)益專項(xiàng)整治行動(dòng)。“3·15”國(guó)際消費(fèi)者權(quán)益日來臨前夕，為鞏固治理成效，營(yíng)造共同維護(hù)消費(fèi)者權(quán)益的良好環(huán)境，我部開展APP侵害用戶權(quán)益整治“回頭看”，組織第三方檢測(cè)機(jī)構(gòu)對(duì)前期用戶反映問題較多的內(nèi)存清理類、手機(jī)優(yōu)化類APP進(jìn)行重點(diǎn)檢測(cè)，并對(duì)去年發(fā)現(xiàn)問題的APP進(jìn)行抽測(cè)，共發(fā)現(xiàn)14款A(yù)PP（詳見附件）仍然存在問題。上述APP應(yīng)在3月21日前完成整改，逾期不整改或整改不到位的，我部將依法依規(guī)嚴(yán)厲處置。
 
工業(yè)和信息化部信息通信管理局
2022年3月14日
 

---

 基于以上網(wǎng)絡(luò)安全隱患，海云安作為一家深耕隱私合規(guī)領(lǐng)域多年的網(wǎng)絡(luò)安全公司，積極謀求規(guī)避風(fēng)險(xiǎn)和解決問題的方案，針對(duì)隱私泄露等亂象層出不窮的現(xiàn)狀，推出了“APP隱私合規(guī)檢查工具”，助力企業(yè)安全穩(wěn)定發(fā)展，解決隱私泄露問題。
 
APP隱私合規(guī)檢查工具是深圳海云安網(wǎng)絡(luò)安全技術(shù)有限公司基于對(duì)WEB安全領(lǐng)域和移動(dòng)應(yīng)用安全領(lǐng)域多年的專注研究和技術(shù)積累，面對(duì)新的移動(dòng)應(yīng)用網(wǎng)絡(luò)威脅形勢(shì)研發(fā)出來的產(chǎn)品。產(chǎn)品采用移動(dòng)應(yīng)用App動(dòng)態(tài)模糊測(cè)試技術(shù)、運(yùn)行時(shí)行為監(jiān)測(cè)技術(shù)、移動(dòng)應(yīng)用App漏洞智能識(shí)別技術(shù)，實(shí)現(xiàn)對(duì)移動(dòng)應(yīng)用App的安全漏洞、運(yùn)行行為、運(yùn)行數(shù)據(jù)監(jiān)測(cè)。
 
產(chǎn)品支持App安全漏洞、違法違規(guī)、個(gè)人信息安全、SDK安全、合規(guī)項(xiàng)目的自動(dòng)化檢測(cè)和定期監(jiān)測(cè)，全自動(dòng)化快速識(shí)別App潛在的安全風(fēng)險(xiǎn)、隱藏違法違規(guī)行為，包括個(gè)人信息竊取、個(gè)人信息出境、惡意扣費(fèi)等行為等。可為企業(yè)、測(cè)評(píng)機(jī)構(gòu)、公安和實(shí)驗(yàn)室等提供全面的App檢測(cè)分析檢測(cè)能力。產(chǎn)品提供支持服務(wù)器版本和便攜版本，服務(wù)器版本應(yīng)用于企業(yè)、測(cè)評(píng)機(jī)構(gòu)、安全實(shí)驗(yàn)室等進(jìn)行App安全測(cè)試、合規(guī)測(cè)評(píng)、App安全研究工作，便攜版本用于現(xiàn)場(chǎng)監(jiān)督檢查、企業(yè)內(nèi)部日常設(shè)備巡檢等工作。

檢測(cè)方式

檢測(cè)內(nèi)容

海云安基于信息安全領(lǐng)域和移動(dòng)應(yīng)用安全領(lǐng)域多年的專注研究和技術(shù)積累，在移動(dòng)APP領(lǐng)域的技術(shù)研發(fā)基本達(dá)到了國(guó)內(nèi)領(lǐng)先的水平，研發(fā)出國(guó)內(nèi)首套移動(dòng)應(yīng)用安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)，具有移動(dòng)安全檢測(cè)技術(shù)綜合運(yùn)用能力強(qiáng)、高度自動(dòng)化測(cè)試技術(shù)、全面自動(dòng)加固對(duì)抗脫殼技術(shù)、隱私合規(guī)深度檢測(cè)技術(shù)等多項(xiàng)核心技術(shù)優(yōu)勢(shì)，此外，目前正在融合人工智能技術(shù)，針對(duì)App分析數(shù)據(jù)進(jìn)行深層次的數(shù)據(jù)關(guān)聯(lián)分析，增強(qiáng)敏感信息識(shí)別能力、加密算法破解能力和數(shù)據(jù)關(guān)聯(lián)分析能力，全面增強(qiáng)測(cè)試深度和分析顆粒度。