“守门人”视角下的移动互联网生态安全
2021-08-20 14:56:25 Author: www.aqniu.com(查看原文) 阅读量:44 收藏

从《网络安全法》、《App违法违规收集使用个人信息行为认定方法》、《信息安全技术个人信息安全规范》、《常见类型移动互联网应用程序必要个人信息范围规定》、《党委(党组)网络安全工作责任制实施办法》到将于2021年9月1日起施行的《中华人民共和国数据安全法》再到2021年8月下旬刚刚表决通过的《个人信息保护法》,不难看出网络安全建设在顶层设计层面越趋完善。

移动互联网时代,移动互联网应用程序(以下简称“APP”)成为网络世界大舞台的中心,截至2020年12月,我国网民规模为9.89亿,其中手机网民规模为9.2亿,网民中使用手机上网的比例为99.7%,APP是移动互联网的重要入口,几乎所有民众的生活、工作都与APP息息相关。因此,移动互联网生态安全、APP安全应当是网络安全主战场之一。

(一)移动互联网生态安全“守门人”是谁?

控制移动互联网生态关键环节的人是“守门人”。

APP无法独立于技术环境和运营环境而单独存在,因此这两个环境决定、制约了APP接入互联网和手机处理个人信息的能力。

1.技术环境

APP需要运行在智能终端设备上,操作系统自然是约束APP的底层技术环境。目前,移动智能终端搭载的操作系统以Android和iOS为主,我们以Android操作系统为例,探究操作系统在技术环境方面对APP的制约。

在Android系统的设计理念中,每个APP实际都可以理解为Android操作系统的不同用户:默认情况下,Android系统会为每个应用分配一个唯一的Linux用户ID;同时,APP运行在独立的安全沙盒内,Android系统对其中所有文件设置权限,只有对应用户ID的APP才可访问。简言之,APP作为Android操作系统的用户,使用操作系统提供的各种资源,才能正常运作;此外,Android系统还能够实现对APP所使用系统权限的控制。因此,APP为了业务功能的需要,需要向Android系统申请系统权限,在操作系统的设计框架下,APP需要调用移动终端及操作系统所定义和提供的各种系统权限,才能获取运行所需的特定技术资源。

2.运营环境

基于设计理念和安全考虑,不论是Android系统还是iOS系统均不倡导用户直接从APP官方网页下载APP,而是推荐用户从应用商店下载APP, iOS更是仅允许通过苹果官方应用商店AppStore下载安装。由此,应用商店所提供的应用分发服务是APP运营环境的关键节点。主流应用商店有三个类型:一是系统运营商的应用商店,如iOS用户端的App Store和Android用户端的Google Play;二是手机厂商的应用商店,如小米、华为、OPPO、VIVO等应用商店;三是第三方应用商店,如360、应用宝、豌豆荚等。可以看出,如果不通过应用软件分发服务,APP很难触达大量用户并被下载。

综上所述,技术环境和运营环境是APP运行的关键环节,在移动互联网生态中,控制了技术环境和运营环境的人就是“守门人”,其对APP安全的技术设置和具体行为控制具有决定性作用。

(二)移动互联网生态安全“守门人”有哪些?

移动互联网生态安全“守门人”是控制移动互联网生态关键环节(技术环境和运营环境)、有资源、有技术或有能力保护APP安全的互联网运营者。结合当下移动互联网生态的现实环境来看,“守门人”主要包括以下三类:一是应用程序分发平台,为海量用户提供应用分发服务;二是移动终端操作系统,制约APP可调用的系统权限;三是APP运营者, APP运营者本身在技术资源、运营环境和业务场景等方面决定了APP的形态。

(三)移动互联网生态安全“守门人”应该怎么守?

通付盾作为新一代数字化技术服务商,始终致力于构筑安全可信的数字化产品与服务。下文结合通付盾在做好移动互联网生态安全“守门人”过程中,支撑APP运营者对其APP安全加固和合规检测方面的案例经验讨论:

移动应用安全一直是一个需要被重视的问题,APP被破解、被二次打包、业务被入侵、终端用户被侵犯、APP被通报整改等等这些安全问题直接危害APP运营者和用户的利益。因此,APP运营者自身必须加强APP安全加固保护和合规检测。

(1)APP安全加固保护技术发展趋势

2012年,安全厂商开始推出安卓加固服务;2014年,防调试、验签名等安全措施开始出现、动态加载机制得到广泛使用、各种dump整体加密的工具发挥作用;2015年,出现了指令抽取方案、二代指令抽取方案等;2018年,VMP保护方案被应用在Android上;到2021年,行业技术达到了一定高度,能够满足APP保护需要,各大移动应用安全厂商的安全加固保护技术也基本相似。 因此,APP运营者可以放心选择移动安全厂商的加固产品为自身的APP安全保护做技术支撑。

(通付盾Android应用保护方案)

(通付盾iOS应用保护方案)

(2)APP安全合规检测的要点

2019年中央网信办等四部门联合成立的App违法工作组牵头的APP专项整治工作在全国范围开展以来,问题应用被曝光要求整改的通报时常出现,如何保证APP合法合规,不成为负面典型。APP运营者需要提前做好、做实APP安全检测和合规检测。检测要点应当围绕:APP/SDK安全漏洞检测、恶意行为检测、内容安全检测、权限信息检测;APP个人信息隐私保护全局权限调用检测、应用启动权限检测、运行过程权限检测、静默运行权限检测。具体包括:信息收集检测,APP获取系统权限静态检测、APP获取信息行为动态检测、APP收集的个人信息内容检测、APP个人信息收集频率检测;信息保存传输,APK中SDK使用情况检测;APP收集信息在本地存储时是否采取必要的加密措施检测;APP收集的数据在传送过程中是否采取加密传输检测。

(通付盾应用动态检测分析方案)

在移动互联网生态中,通付盾将依靠移动安全技术、移动安全产品和服务积极持续地做好具有影响力的APP安全“守门人”, 为每一个APP提供适合自身的安全策略,与APP运营者共同守护移动互联网生态安全,为用户营造一个纯净、清朗的移动互联网生态环境。

现邀您体验(增强级)APP加固、检测服务,免费试用,数量有限!

领用请戳:https://cloud.tongfudun.com/#/user/E-mail


文章来源: https://www.aqniu.com/tools-tech/76823.html
如有侵权请联系:admin#unsafe.sh