移動互聯網應用程序（APP）檢測處置平臺設計與研究

韋芹余

江蘇省通信管理局

0 引言

APP（應用程序，Application的縮寫）是指安裝在手機等智能終端上的應用程序的代名詞。根據第47次《中國互聯網絡發展狀況統計報告》，截至2020年12月，全國監測到的APP數量為345萬款。APP作為移動終端重要內容的載體，為互聯網用戶生活、工作、學習、社交提供豐富的使用體驗，在促進經濟社會發展、服務民生等方面發揮了不可替代的作用。互聯網用戶安裝使用APP主要的下載渠道是通過應用商店，其他一些下載渠道還包括官方網站、二維碼、網盤、廣告推廣等方式。APP本身存在網絡安全隱患，例如遠程命令執行、數據未加密存儲、明文傳輸等，將導致用戶數據泄露、財產損失。在個人信息保護方面，APP違法違規收集使用個人信息的問題十分突出。

目前APP行業存在一些亂象亟需規范管理：APP為了增大分發量，會盡可能多的在不同應用商店上架，一些小的應用商店為增加樣本數據，未經開發者授權就轉發APP為用戶提供下載，導致同一款APP多個版本并存，版本管理混亂；APP開發者受限于技術水平或缺乏網絡安全防護意識，程序未做代碼審計和風險評估，存在網絡安全隱患即投向市場；有些APP未做加固或只做了簡單加固，程序容易被逆向破解，導致被抄襲模仿與山寨；APP強制授權、過度索權、超范圍收集個人信息的現象也普遍存在。

1 建設目標

2019年1月份，國家多部門聯合開展APP違法違規收集使用個人信息專項治理，拉開了APP行業亂象治理的序幕。研究建設移動互聯網應用程序（APP）檢測處置平臺，提升信息化監管水平，以技術管技術，檢測通報APP網絡安全隱患，支撐管理部門打擊APP違法違規收集使用個人信息的行為，保護公民個人信息安全，強化企業合規經營、守法經營意識。

移動互聯網應用程序（APP）檢測處置平臺要建設基于工作流技術的任務管理平臺，將信息匯聚、技術檢測、通報處置等各項工作定制成規范的業務流程，各流程可溯源、進度可查看、證據可存檔，簡化人工操作，提高工作效率。平臺整合APP運營者、應用商店、網絡安全廠商、第三方檢測機構等多方資源，建成省級APP資源庫，聚類分析APP信息，引入APP自動化檢測引擎和沙箱分析模型，對APP進行自動化、標準化、批量化的檢測，形成線上通報處置的工作機制。

2 系統架構

2.1 平臺總體架構

規劃建設APP檢測處置平臺，應充分考慮系統可擴展性，各模塊之間充分解耦，根據現有資源和條件，實現按需進行模塊封裝。總體架構可分為數據采集匯入、數據存儲資源庫、檢測分析引擎、在線處置等模塊，整體架構如圖1所示，各層功能說明如下：

圖1 APP檢測處置平臺整體架構

數據采集匯入：通過多種渠道采集、收集APP臺賬信息，可包括應用商店報送在架的APP信息；APP運營者登記報備APP信息；通過網絡爬蟲技術收集APP信息；在項目建設過程中，可引入第三方廠家的分析數據。

數據存儲資源庫：建成APP信息、運營者信息、應用商店信息、APP文件庫，還包括檢測報告、安全隱患、違規問題清單等數據。

檢測分析：平臺建立自動化檢測流水線，對新入庫的APP進行網絡安全檢測、違法違規收集使用個人信息檢測，支持第三方機構導入人工檢測報告。

在線處置：建立APP通報處置電子化、處置流程可視化的工作流，形成通報、在線反饋、復測、審核的閉環管理。

2.2 系統角色及功能權限

平臺分為管理員、APP運營者、應用商店、第三方機構4種角色，每種角色在平臺里的功能權限如圖2所示。

圖2 系統角色及功能權限

3 核心功能

3.1 建立省級APP資源庫

目前累計發現江蘇省內共有15.6萬款APP，按照版本去重后共有2.1萬款，涉及運營單位6900余家。按照屬地管理原則開展APP治理，可通過多種渠道，不斷更新、擴充省內APP臺賬信息，建立省級APP資源庫，優化APP數據臺賬更新機制，一方面結合增值電信企業名單、已有運營者名單，進行新版本APP、新增APP數據的精準爬取；另一方面聯系對接應用商店、第三方廠家，匯入APP數據。

探索開展APP登記報備，通過建立APP線上報備系統，鼓勵省內APP開發運營者自主報送APP。平臺支持用戶注冊，填報企業信息、聯系人信息、APP信息，并上傳程序文件。平臺自動化解析出上傳程序文件的應用名稱、版本號、包名、MD5、個人隱私權限申請等信息。在平臺登記的企業信息、聯系人信息，后續可以用于開展線上的通報處置。

3.2 自動化技術檢測

（1）網絡安全檢測。按照《網絡安全法》規定，APP運營者作為網絡服務的提供者，應當落實網絡安全主體責任。根據《移動互聯網惡意程序描述格式》、《移動應用軟件安全評估方法》，平臺部署自動化分析引擎，從程序代碼安全、組件安全、通信安全、數據存儲安全、內部數據交互安全、業務交互安全、安全策略和漏洞檢測八個方面對APP是否存在惡意行為、網絡安全隱患等方面進行檢測和評估，評判是否符合移動互聯網應用程序（APP）網絡安全相關標準要求，生成網絡安全檢測報告。

（2）收集使用個人信息檢測。APP違法違規收集使用個人信息檢測主要是依據《APP違法違規收集使用個人信息行為認定方法》、《常見類型移動互聯網應用程序必要個人信息范圍規定》、《信息安全技術 個人信息安全規范》，平臺通過動態沙箱、靜態引擎結合語義分析子引擎對APP進行全方位的自動化檢測，并生成檢測報告。自動化的檢測方式主要是通過動態沙箱提取APP隱私政策、靜態引擎提取APP權限，基于語義分析對隱私政策、權限進行對比來確定APP是否存在越權、超范圍收集個人信息等問題，通過監測調用隱私權限頻次來確定是否存在高頻采集、頻繁索權的問題，通過動態沙箱的回傳數據監控來檢測APP是否存在數據出境的情況。

（3）深度關聯分析。提供對指定搜索規則的APP進行深度的關聯分析，對APP通聯地址歸屬地、家族名稱、開發者、通聯地址等多個維度進行關聯分析，通過更加精準、更加細化的聚類分析，形成特征庫、家族庫，有利于后期的網絡安全事件溯源排查；對重點監測的APP進行沙箱養殖，提供長時間的動態運行，讓APP盡可能多的展現出自身的行為，研究APP的傳播特點，運行機理等，形成APP的文件行為、網絡行為，通信行為、系統行為的動態監控。

3.3 線上通報處置

建立APP線上通報處置的工作流，將極大提升處置的時效性、工作效率。平臺檢測發現存在網絡安全隱患、違法違規收集使用個人信息的APP后，生成處置工單，包括：整改要求、檢測報告、問題清單。之后，系統管理員將處置工單派發給APP運營者，并進行短信提醒。運營者登錄平臺查看整改通知，并對照問題進行排查，在線反饋處置報告。對APP進行下架、恢復上架，平臺對接應用商店派發工單，完成上架、下架處置。被下架的APP，運營者完成整改后，可申請恢復上架。

4 結束語

本文主要從技術、業務功能層面探索如何建設APP檢測處置平臺，形成技術檢測體系和處置流程，支撐做好APP管理工作，例如：開展APP違法違規收集使用個人信息檢測及處置，APP惡意程序檢測及處置，APP行業分類數據統計，各設區市APP及運營者信息統計等。在平臺設計階段，還需要進一步研究如何提升APP檢測的標準化和智能化，對匯聚的數據做好全生命周期管理，系統配套建設網絡安全防護措施。