聚焦“315” | 一文总结“3.15晚会”网络安全大事件

又是一年“315消费者权益日”,本次备受瞩目的2022年央视“315晚会”围绕着食品安全、医疗安全、网络信息安全等多个领域展开,值得关注的是,今年的315晚会首次设立315信息安全实验室,重点关注网络信息安全、个人隐私保护和儿童互动产品的信息安全。

免费Wifi是馅饼还是陷阱

今年的315晚会首次设立315信息安全实验室,“免费Wifi”成了第一件测试品。315信息安全实验室对“免费Wifi连接”服务展开专门测试,测试人员尝试了所有罗列的Wifi资源,没有一个能连上。连接测试结束后,两个陌生的应用程序正自动下载到手机里,连接时点击过的“确认”和“打开”字样的弹窗,都是伪装的广告链接。最终,用户手机里多了一堆莫名其妙的应用程序。这类免费Wifi的应用程序还在后台大量违规收集用户信息。

一款叫“雷达Wifi”的应用程序,一天之内收集测试手机的位置信息,竟然高达67899次。这意味着什么?就是用户从早到晚、包括睡觉,这些应用程序都在不断定位,用户的生活轨迹、行踪,甚至是职业、喜好都会被曝光。更可怕的是,多了这些应用程序后,手机间歇性抽疯风,各种广告自动弹出,不看够5秒还关不上,用户躲也躲不掉。

浏览网页就能泄露手机号

手机只是浏览了某些网站,就接到推销电话?杭州以渔公司总经理介绍,每个人手机上对应着一个MAC号(手机识别码)匹配该手机,该公司以每条三元的费用出售此类数据。融营通信公司冯经理介绍,很多电销公司通过他们的系统拨打骚扰电话,该系统可隐藏真正的主叫号码,防止被投诉,该公司一年纯话费收入近一个亿。容联七陌是上市企业容联云通讯旗下子公司,为电销公司提供外呼系统和线路,应对用户的投诉和监管。

低配儿童智能手表成为行走偷窥器

315信息安全实验室工程师对一款10万+销量的儿童智能手表进行测试,将恶意程序植入手表后,工程师能够对孩子实时定位,不间断收集移动轨迹,圈定活动范围。为什么儿童智能手表会成为一双时刻偷窥的眼睛?测试人员发现,该手机使用的安卓4.4操作系统距今已近10年。厂家出于压低成本考虑,选用低版本操作系统,意味着在这样的儿童手表上,各种APP安装后,无需用户授权就能开启多种敏感权限,轻易获得孩子的位置、人脸图像、录音等隐私信息,还能实时听到孩子和家人的聊天内容。孩子的安全隐患可想而知。

软件平台强迫捆绑下载

315信息安全实验室检测发现,PC6、腾牛网、ZOL等软件下载平台使用百助旗下公司研发的下载器,将其标注为“高速下载”,以诱导点击。

用户选择后,这些下载器将默认勾选其他软件同时下载,且用户难以找到设置得极为隐蔽的拒绝选项。

下载器还会跳出弹窗广告,将软件下载链接设置为关闭按钮,用户如习惯性地点击右上角试图关闭广告,下载器将会静默下载应用软件。

自2019年起,工信部已持续开展App侵害用户权益整治行动近3年,2021年全年通报了1549款违规APP,下架了514款拒不整改的APP,并将整治范围扩展至SDK、应用商店等全链条。

《个人信息保护法》第5条规定,处理个人信息应当遵循合法、正当、必要和诚信原则。企业如未经同意获取个人信息且不具备《个保法》第13条第二项至第七项规定的情形,则可能被认定为违法收集个人信息,而上述案例中所获用户授权的方式亦不符合《个人信息保护法》所设定的有效同意之规则(“充分知情、自主明确、便捷撤回、避免捆绑”)。

相关企业应当结合《个人信息保护法》、《常见类型移动互联网应用程序必要个人信息范围规定》等法律法规对自身产品进行评估和自查,参照《信息安全技术 个人信息安全规范》、《APP收集使用个人信息最小必要评估规范》、《App违法违规收集使用个人信息自评估指南》、《移动互联网应用程序(App)系统权限申请使用指南》等国家标准、行业标准进行整改。

关于APP侵害用户权益整治“回头看”发现问题的通报(2022年第2批,总第22批)

工业和信息化部高度重视用户权益保护工作,持续开展APP侵害用户权益专项整治行动。“3·15”国际消费者权益日来临前夕,为巩固治理成效,营造共同维护消费者权益的良好环境,我部开展APP侵害用户权益整治“回头看”,组织第三方检测机构对前期用户反映问题较多的内存清理类、手机优化类APP进行重点检测,并对去年发现问题的APP进行抽测,共发现14款APP(详见附件)仍然存在问题。上述APP应在3月21日前完成整改,逾期不整改或整改不到位的,我部将依法依规严厉处置。

工业和信息化部信息通信管理局

2022年3月14日

基于以上网络安全隐患,海云安作为一家深耕隐私合规领域多年的网络安全公司,积极谋求规避风险和解决问题的方案,针对隐私泄露等乱象层出不穷的现状,推出了“APP隐私合规检查工具”,助力企业安全稳定发展,解决隐私泄露问题。

APP隐私合规检查工具是深圳海云安网络安全技术有限公司基于对WEB安全领域和移动应用安全领域多年的专注研究和技术积累,面对新的移动应用网络威胁形势研发出来的产品。产品采用移动应用App动态模糊测试技术、运行时行为监测技术、移动应用App漏洞智能识别技术,实现对移动应用App的安全漏洞、运行行为、运行数据监测。

产品支持App安全漏洞、违法违规、个人信息安全、SDK安全、合规项目的自动化检测和定期监测,全自动化快速识别App潜在的安全风险、隐藏违法违规行为,包括个人信息窃取、个人信息出境、恶意扣费等行为等。可为企业、测评机构、公安和实验室等提供全面的App检测分析检测能力。产品提供支持服务器版本和便携版本,服务器版本应用于企业、测评机构、安全实验室等进行App安全测试、合规测评、App安全研究工作,便携版本用于现场监督检查、企业内部日常设备巡检等工作。

检测方式

检测内容

海云安基于信息安全领域和移动应用安全领域多年的专注研究和技术积累,在移动APP领域的技术研发基本达到了国内领先的水平,研发出国内首套移动应用安全风险评估系统,具有移动安全检测技术综合运用能力强、高度自动化测试技术、全面自动加固对抗脱壳技术、隐私合规深度检测技术等多项核心技术优势,此外,目前正在融合人工智能技术,针对App分析数据进行深层次的数据关联分析,增强敏感信息识别能力、加密算法破解能力和数据关联分析能力,全面增强测试深度和分析颗粒度。

前一篇2018年高校网站安全脆弱性白皮书
后一篇2022年网络安全与风险管理七大趋势预测