返回顶部

在线解答

如何避免APP的“越权”行为?要靠制定相关法律法规

日期:2019-11-01 点击:     关键词:APP,网络安全

2019-11-01

现在人都有智能手机,在使用智能手机时,各种APP是我们绕不开的。淘宝、微信、微博、知乎、游戏等等,都有各自的APP,有的APP很正规,基本上不要求不合适的权限。但很大一部分APP都有“越权”行为,严重侵犯了用户的隐私,对用户造成了一定的危害,解决这类问题靠用户自身是解决不了的,只能让国家层面制定法规来解决。


(网络安全)

2019年,中央网信办、工业和信息化部、公安部、市场监管总局在北京举行“APP违法违规收集使用个人信息专项治理”新闻发布会,发布《关于开展APP违法违规收集使用个人信息专项治理的公告》,体现了监管部门对当前愈演愈烈的APP越权问题日益重视。通付盾移动应用态势感知平台监测数据显示,目前90%以上APP“越界”获取用户隐私权限,大部分APP都要求获取读取位置信息、访问联系人、读取短信记录等权限,甚至图像处理、电子书等应用也要求位置定位权限,权限读取极其不合理。

面对APP越权问题,我们认为,当前监管部门的整顿难点在于举证过程。例如,据有媒体报道,某款大众化APP被怀疑存在窃听用户信息的行为,用户在通话记录中提到“牙痛”这个词,该APP就给用户推送牙痛相关广告,用户即便发现这一问题并进行举报,整个事件过程中举证仍然十分困难接下来也要面临十分困难的举证过程,需要它要求用户将APP的敏感权限调用情况,无论是静态或动态情况下,按照标准给出证据。

目前,移动应用合规检查产品中的权限检测技术可以解决这类问题,权限检测技术专门针对APP/SDK使用全过程的权限进行检测,该技术基于以符号执行为核心的静态分析引擎和以运行态沙盒为核心的动态检测引擎,旨在快速、准确地检测APP/SDK中存在的敏感权限调用。

目前通付盾权限检测系统能够基于全局权限申请调用进行检测;基于应用启动权限申请进行检测;基于应用运行过程权限进行检测;基于应用静默运行权限进行监测,提供支持判定结果的检测依据,包括运行中截图及抓包数据文件等,全面掌握应用及第三方SDK权限调用情况,解决用户举证难题。

400-0806-056