移動應用數據安全問題

中國信息通信研究院

移動應用存在過度索取個人權限問題

我國互聯網產業普遍采用前端免費、后端獲利的模式，隨著技術演進，盈利的模式也從在線廣告向基于大數據的定向推送、精準營銷轉型，用戶個人信息正在成為企業角力的核心。免費的商業模式加劇了用戶權益侵害的風險。

數據采集環節中的安全問題

根據隱私政策，移動應用運營者應告知用戶個人信息收集的主要途徑。移動應用應在用戶首次注冊、登錄移動應用時以彈窗、超鏈接等明顯方式提醒用戶閱讀隱私政策，明示告知用戶收集使用個人信息的目的、方式、范圍，使用戶充分了解其個人信息如何被收集、存儲、使用、傳輸、共享、銷毀。部分移動應用存在用戶首次登錄時要求用戶默許“打勾”同意隱私政策（即未要求用戶主動打勾同意），導致隱私政策難以起到告知和真正具有法律效力的“同意”作用，存在違規收集個人數據行為。除了前面的默認打勾的違規行為，還包括如：通過“登錄/注冊即表示同意隱私政策”的方式強制用戶同意，且未提供拒絕選項;移動應用僅展示隱私政策但未征詢用戶同意。

移動應用因業務功能需要向移動終端操作系統申請權限，收集使用用戶個人信息。移動應用應當遵循最小夠用原則，僅收集使用業務功能必需的最少類型和數量的個人信息。但部分移動應用申請權限數量多，所收集的個人信息遠遠超出全國信息安全標準化技術委員會發布的《網絡安全實踐指南——移動互聯網應用基本業務功能必要信息范圍》中規定的必要信息，存在超范圍獲取權限現象。其中包含違規申請“拍攝”“訪問粗略定位”“訪問精確定位”“讀取外置存儲器”“錄音”等危險權限。移動應用過度索權現象成常態，為違規收集用戶個人信息提供了渠道，一旦這些個人信息被不法分子獲取濫用，將嚴重危害用戶權益。

為了滿足移動應用的快速迭代，解決成本效率問題，移動應用中嵌入大量第三方SDK。第三方SDK自身存在大量安全漏洞，包括http誤用、SSL/TLS（安全套接字協議/安全傳輸層協議）不正確配置、敏感權限濫用、通過日志造成信息泄露、遠程任意文件讀取漏洞、越權調用未導出組件等。第三方SDK成為病毒傳播新途徑，不法分子通過制作、發布、吸引App嵌入含有惡意代碼的第三方SDK，造成短時間、大范圍的病毒傳播和感染。第三方SDK隱蔽收集個人信息問題逐步顯現，第三方SDK具備收集個人信息的能力。第三方SDK收集了哪些個人信息，用戶往往難以感知，移動應用開發者也未必完全知悉，因而導致多起第三方SDK隱蔽收集個人信息的安全事件。

數據傳輸環節中的安全問題

移動應用客戶端與服務器間進行個人敏感信息傳輸的過程中，如果沒有采取有效的保護措施，存在用戶個人敏感信息泄露和篡改的風險。使用HTTP協議進行明文個人敏感信息的傳輸，個人敏感信息在嗅探或者抓包等攻擊中會被泄露。使用HTTPS請求時以URL（統一資源定位器）的方式傳遞包含明文個人敏感信息的參數，URL被轉發或存儲時存在泄露場景。使用HTTPS傳輸明文個人敏感信息，如SSL版本錯誤、使用不安全的密碼算法、非合法CA證書等場景下，存在中間人攻擊、降級攻擊、協議版本漏洞等攻擊場景，導致用戶個人敏感信息的泄露和篡改。

數據存儲環節中的安全問題

數據存儲是移動應用運營過程中的關鍵環節，移動應用應優先在用戶個人終端內加密存儲所收集的個人信息，確保用戶數據即使泄露也難以被破解。移動應用會在用戶終端內存儲運行日志、設備信息、用戶信息等數據，存在明文存儲用戶個人信息的問題。移動應用的服務端同樣會存儲個人敏感信息，包含：密碼、姓名、手機號碼、郵箱、身份號、銀行卡號等。這些個人敏感信息存儲在數據庫中，很容易受到外部Web攻擊以及內部員工越權違規操作，需要對個人敏感信息進行加密存儲。發生數據安全事件時，若未對個人敏感信息采取加密等保護措施，會對移動應用運營者和個人產生極大的風險。

數據備份是移動應用運營者日常運維過程中非常重要的一環，數據的丟失，對于移動應用運營者是災難性打擊。數據備份包含數據備份流程、數據備份策略、數據備份恢復等，必須嚴格執行到位。

數據使用環節中的安全問題

由于移動應用各行業屬性及標準的不同，沒有形成統一的數據分類分級方法或指引，對應數據分類分級的安全技術要求尚不完善。不同行業、不同場景的數據的差異化保護要求存在落實困難，難以全面覆蓋。因此，移動應用企業在執行數據分類分級和安全防護實際工作中，多停留在紙面和理論層面，部門數據缺乏有效的安全防護措施，造成數據的非授權訪問、數據泄露等風險發生。

移動應用運營者使用海量數據來支撐業務和輔助決策，這些數據在創造著巨大的商業價值。但是，諸如身份信息、銀行賬戶信息、位置信息、醫療信息等重要的敏感信息在使用的過程中存在嚴重的安全風險。移動應用運營者需要減少敏感隱私數據被非法使用和獲得的可能性，消除對敏感數據不必要的訪問和復制。

對數據的訪問操作授權機制是保障數據安全的重要防線。操作用戶通過身份認證即可進入授權環節，此環節會根據權限控制表判斷操作用戶是否有權進行數據訪問操作。企業內數據源眾多，數據開放接口繁多，不可避免存在著數據授權粒度粗、數據訪問權限過大、內部操作權限濫用等諸多問題。同時，企業缺乏有效的敏感數據的控制保護機制，如果不及時解決，數據的安全性難以充分保證。

移動應用運營過程中，需要對敏感數據的使用操作、運行維護、開放共享進行定期審計和制定異常行為告警規則，及時發現數據使用過程中的隱患和風險。目前移動應用運營者對數據的不當授權和第三方濫用，缺乏有效的監管審計機制。在數據應用過程中，無法得知某個用戶對數據具體做了什么操作、是否有違規和誤操作，難以及時預警和追溯審計定責。

數據開放共享環節中的安全問題

數據開放共享擴大了數據訪問的范圍，移動應用數據資源跨領域、企業共享使用十分頻繁。如：互聯網電商平臺完成一次購物環節，訂單信息需要共享給商家、倉庫、物流、快遞查詢平臺、短信供應商等多家企業。數據被各方調取、使用，或存儲到本地，存在共享管理責任不明確、數據超范圍共享、擴大數據暴露面等安全風險和隱患。相關企業僅從業務出發，未針對應用場景充分識別、評估影響，未對照法律法規和技術標準注意梳理共享開發要求的情況。任何一個數據使用方未按照要求共享數據、未嚴格控制數據空閑范圍，或防護措施不到位，都可能導致數據被未授權訪問、使用，進而引發數據泄露或濫用事件。

數據開放共享為企業帶來商機與便利，也為數據安全保障工作帶來壓力。特別在開放場景下，數據平臺API接口的應用部署面向外部用戶群體龐大、性質復雜、需求不一等諸多挑戰，需時刻警惕數據安全的外部威脅。包含：API漏洞導致數據被非法獲取、網絡爬蟲通過API爬取大量數據、合作第三方非法留存接口數據、API請求參數易被非法篡改。應對外部威脅的同時，API接口也面臨許多來自內部的風險挑戰。API類型和數量隨著業務發展而擴張，通常在設計初期未進行整體規劃，缺乏統一規范，尚未形成體系化的安全管理機制。在身份驗證、訪問控制、數據脫敏、審計監控等方面存在安全缺陷。

數據銷毀環節中的安全問題

賬號注銷功能是用戶自主注銷權的重要保障，也是民眾關注的熱點。移動應用賬號常與用戶銀行卡、身份證等敏感信息相關聯，若賬號無法注銷將導致用戶個人敏感信息長期被運營者留存，增大數據泄露風險。部分App雖然提供了注銷功能，但注銷耗時長、流程煩瑣，還需比注冊時多提交額外非必要的個人敏感信息，如用戶真實姓名、住址、郵箱、身份證照片等，且移動應用運營者并未明確額外信息在注銷后是否會刪除。相比簡單的注冊流程，為用戶注銷賬號設置了大量不合理前置條件，阻礙用戶行使注銷權。無法注銷賬戶或者為完成注銷流程需要用戶額外提交個人信息的行為，均存在數據過度留存風險。

部分移動應用使用云服務供應商，為了優化資源分配、實現定期備份，提高可用性，服務供應商會移動或復制數據，這樣才能在多租戶環境中優化資源的使用情況。且數據會在多個數據中心間共享，數據被數據所有者移動，或者是在公共云里被服務供應商移動，原本位置的數據應該要銷毀，如果有任何數據殘留，就有可能產生安全問題，也可能出現未經授權訪問殘留數據的問題。

編輯：張程? 3567672799@qq.com