基于隱私權保護的移動應用安全檢測技術探討

楊淑琴

摘要：移動互聯網時代，移動App承擔了人們越來越多的日常需求。但App過度授權、漏洞等問題已成為個人信息泄露的重災區。該文通過分析App面臨的各種安全問題，結合用戶隱私的法律與技術保護不足，在網絡空間安全應用型人才培養現狀的基礎上，探索在移動開發實踐課程中構建安全檢測App，挖掘用戶隱私的技術與法律之間的關聯，設計技術開發與實踐教學相融合的研教一體化教學模式，進而構建新專業實踐教學環境。

關鍵詞：App;用戶隱私;安全檢測;教學環境

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2022）06-0071-02

開放科學（資源服務）標識碼（OSID）：

1 研究背景

1.1 移動App面臨的安全問題

隨著通訊技術與智能終端的發展，人們開始通過網絡利用各種App處理工作、生活中的問題，移動App應用得到了爆發式增長，帶來了生活方式的質變——一機在手，萬事不愁。但一些App一旦裝上，用戶幾乎就成了透明人，沒有任何隱私可言，用戶隱私保護面臨著嚴峻考驗。如下載安裝一個手電筒App，竟然要求獲得用戶通訊錄、位置、錄音、短信等數十項與主要功能無關的手機權限。據中國消費者協會去年發布《App個人信息泄露情況調查報告》顯示，超八成受訪者曾遭遇個人信息泄露問題。2018年12月以來，國家網信辦針對惡意程序、違規游戲、不良學習類等移動App開展專項整治行動，關停下架33638個App。工信部點名一些金融App非法收集用戶信息，也建議第三方機構對200款主流App的數據進行安全檢查。

1.2 App用戶隱私權保護技術與法律現狀

部分App“越權”獲取的用戶信息與移動系統的安全漏洞，是公民個人信息泄露的主要渠道。由于技術的快速發展和法律條文的滯后性，導致現行的法律存在很多漏洞。如美國一款健身App將用戶鍛煉數據在網絡上公布，涉嫌泄露美國涉密軍事信息，與其移動設備管理條例存在漏洞有關。美國海軍陸戰隊規定：個人佩戴設備不能帶有“電信通訊、無線網、拍照、攝像、麥克風和錄音”等功能，并且“即便關閉上述功能，也不能使用具備這些功能的設備”。但是根據條例，士兵可以使用有藍牙以及GPS功能的設備，而斯特拉瓦公司正是通過GPS獲得的數據[1]。

隱私權是一項公民基本權利，需要完善的法律與成熟的技術共同來保護。如我國《網絡安全法》、歐盟的GDPR（歐洲通用數據保護條例）都明確規定網絡產品和服務提供者保護個人隱私的安全義務。但如何界定服務提供者的義務與權利邊界，如何落實App用戶的知情權，如何設置用戶數據的安全技術邊界，是目前法律和技術面臨的共同問題。

1.3 移動App安全檢測技術的現狀

與傳統的web服務具有系統完善的防御技術、人機協防和措施，擁有深不見底的縱深防御體系不同，移動App一般通過API方式與服務器交互，保護措施不完善，同時移動用戶保護意識與專業知識欠缺，難以使用傳統技術來保護自己的隱私。

當前App安全研究主要集中在客戶端、服務器端和通信端三個方面，尤其是集中在服務器端。如，北京郵電大學劉軍的《基于HTML5的Web應用安全漏洞檢測工具的設計與實現》是站在攻擊者的角度探討web應用安全的漏洞檢測方案，Jasmeen Saini的Security Protocol of Social Payment Apps討論協議安全問題，Neha Mudgal的SteganoCrypt： An App for Secure Communication[2]討論LBS中的通信安全問題，PowerUpSQL可以導出windows登錄密碼，但它依賴于.NET空間環境來執行，移動終端難以使用這種龐大的環境。許多對基于移動端內容安全的研究還局限于理論上，如高攀《深入分析 HTML 5 在信息安全上的優化》[3]探討HTML5新標簽的應用和在搜索引擎中的優化，張舒《2018 年度國內外網絡空間安全形勢回顧》[1]，司春磊《新時代我國網絡空間安全面臨的挑戰及應對》[4]都是一種綜述性文章，主要是從理論層面、法律層面和國家層面來探討網絡安全。

2 安全檢測技術與隱私權保護統一性研究

2.1 移動應用安全檢測App研究與開發的意義

移動應用App對隱私安全方面的威脅主要體現在本地，讓每個人都知曉安全并利用帶有安全檢測技術的App（簡稱移動應用安全檢測App）為用戶提供全方位、智能化安全檢測技術和傻瓜化、簡單易用的隱私安全保護措施，保護用戶的數據隱私，具有一定的學術價值和較好的實踐意義。

移動應用安全檢測App的開發需要一個動態的、不斷完善的進程。首先，需要建立開放平臺，動態跟蹤開發App安全檢測技術，探索網絡檢測安全新技術在普通院校教學中的落地與實施，開發出滿足一般民眾需要的安全檢測App，持續不斷地適應社會的新需求與變化。其次，網絡安全與用戶隱私保護，人是第一位的。2015年6月，國務院學位委員會決定在“工學”門類下增設“網絡空間安全”一級學科。據統計，目前網絡安全人才總需求高達70萬，但高校相關的安全人才僅3萬余人。2018年全國有126所高校設立143個網絡安全相關專業，但也僅有30所院校開設了網絡空間安全專業，培養數量和質量遠遠都不能滿足社會需求，網絡空間安全人才缺口巨大[5]。

2.2 開發移動安全檢測App的研究與開發的可行性

山東政法學院是一所具有法律特色的院校，有得天獨厚的法律專業人才和資源優勢，其所下設的網絡空間安全學院理應依托學院法律特色，充分利用學校的人才和資源優勢，努力探索網絡安全實戰應用型人才培養的新模式，承擔起重點培養具有法律專長的網絡空間安全人才的重任。

2.2.1 探索all-in-one移動安全內容框架

在安全檢測、功能分析和準確性驗證基礎上，參照開源MobSF（mobile security framework）移動安全測試框架，進行檢測安全的理論分析，探索all-in-one移動安全檢測框架的構建。

2.2.2 促進技術與法律法規的融合，探索具有政法院校特色的網絡空間專業辦學環境

人才培養不僅僅需要理論上的傳授，還需要大量的動手實踐，需要進行案例教學、對抗磨煉、知識融合，讓學生在HTML5開發實踐中分析安全威脅;通過安全檢測App的實現，還能進一步打通基礎知識之間的壁壘，提升學生的系統認知和系統分析能力，開辟學生成長的新路徑。

為了更好地體現政法學院法學背景，利用學院的法律法規數據庫資源，開發動態驗證App法律許可情況的數據庫。App中可以將需要安裝的App與國家法律法規庫相連接，動態實時驗證是否通過了國家相關法規的認證或許可。

3 移動App安全檢測技術的實現與實踐教學環境的構建

3.1 傳統的網絡安全教學方式與社會需求之間的矛盾

網絡安全教學跟不上社會需求的變化，如數據庫應用主要講關系模型的SQL基本技術，而在移動環境下NoSQL盛行，造成傳統的數據庫開發與移動資源整合能力不足。軟件開發環境已經向移動化方向深入發展，如互聯網超級英雄flash到2020年便不再更新，Flash Builder更名為Adobe Animate CC，加入對HTML5的支持。HTML5移動開發技術與傳統的Flash相比，具有效率更高、安全性更好、不需安裝插件就可運行，對設備支持更加友好，具有廣泛的適應性[6-7]。這些都說明移動平臺開發環境都在發生改變。

學生實踐教學環節需要移動開發環境。每年網絡空間安全學院的學生完成畢業設計時，往往缺乏合適的平臺環境支持，如數據庫安全方向的平臺需要VS+SQL環境，但該環境不僅體積龐大、配置困難，也難以向移動端遷移。適應社會需求和教學實際需要，網絡空間安全學院的教學體系和實驗室環境應該向以App應用、App安全為主體轉移。

3.2 網絡安全應用型人才實踐教學的技術實現模塊

依托山東政法學院的法律背景，在引進《HTML5移動開發》課程的基礎上，結合《基于H5的應用安全檢測App的開發研究》項目，分析HTML5面臨的安全威脅與移動App內容檢測的功能需求，進一步建立App應用的邏輯框架和功能模塊，如圖1所示。

1） 漏洞安全檢測模塊：提供漏洞檢測、分析、統計與補救措施。

2） 入侵滲透測試模塊：模擬最常見的網絡滲透技術，識別連接設備并獲取設備的細節，檢測安全性的薄弱環節，關閉不安全開放端口等。

3） 本地數據安全分析模塊：通過代碼審計、配置驗證、內容安全保護等技術，對本地數據存儲進行驗證和自動檢測。

4） 代碼安全測試模塊：提供App源碼加固措施，比如APK加密、代碼混淆等措施。

5） 運行權限檢測、保護與修復模塊，自動進行用戶權限獲取情況檢測、保護和修復。

6） 簡單易用的可視化報告模塊：一鍵生成可視化的安全威脅報告，讓用戶了解需要安裝APK和正在運行的App基本情況。

采用模塊化的設計，動態跟蹤各種安全隱患的變化，提供完善的移動App安全檢測、修復功能，并提供可視化的檢測結果。一款App在安裝前就要檢驗軟件的安全性并在運行時實時監測其權限獲取情況。

3.3 安全檢測App可能存在問題及解決思路

先期主要開發Android和ios主流版本應用，利用HTMl5跨平臺性的優勢，逐步修改推廣到PAD或其他系統中，解決App在不同類型智能終端的適應性問題。其次，根據硬件系統API接口，搜集可用信息，獲取用戶最大授權權限。最后，根據對漏洞、入侵檢測等修復后的結果，反復調整系統功能，提升軟件的運行效率和準確性，修復App的運行準確性和效率問題。

4 移動應用安全檢測App實踐教學模式探討

將開發App融入教學體系中，不僅能讓教學貼近實際業務，提升學生的學習興趣，培養學生的動手能力，還能進一步讓學生加深對安全理論和安全原理的理解。

4.1 科教融合的教學環境

借助于科研項目的框架體系，跟蹤最前沿的社會需求和技術發展，讓學生通過某一功能模塊的開發和接口匯總，形成功能強大的安全檢測App，探索寓學于研教學模式在網絡空間安全課程中的應用，進一步促進科研與教學融合[8]。

4.2 知識融合與遷移的教學環境

安全開發涉及內容眾多，在傳統理論中各安全理論是相互分離的，比如漏洞挖掘、滲透攻擊是攻防類知識;程序開發是開發類的知識，管理運維也需要專門的知識支撐，通過一個集成各功能的App，可以打通知識間的壁壘，促進學生的知識遷移與融合，同時也有利于將傳統的PC服務向移動端擴展、轉移，與專業培養目標一致，符合學生個性化發展的需要，更好地滿足社會發展需求，支持學生的專業發展與就業。

4.3 以技能比賽引領專業課程環境構建

引導學生參加安全競賽，通過“人人對抗”“人機對抗”的方式，更好地跟蹤安全技術的新發展，探索競賽模式在網絡空間安全課程中的應用，進一步促進社會需求與實踐教學的交互融合，更好地滿足社會的新需求[9]。

參考文獻：

[1] 張舒，李淼.2018年度國內外網絡空間安全形勢回顧[J].信息安全與通信保密，2019，17（1）：32-42.

[2] Mudgal N.SteganoCrypt：An App for Secure Communication[J].Soft Computing： Theories and Applications，2018，584：59-66.

[3] 高攀，施蔚然.深入分析HTML5在信息安全上的優化[J].信息安全與技術，2012，3（8）：83-84，87.

[4] 司春磊，陳晶晶.新時代我國網絡空間安全面臨的挑戰及應對[J].人民法治，2019（3）：11-16.

[5] 李建華，邱衛東，孟魁，等.網絡空間安全一級學科內涵建設和人才培養思考[J].信息安全研究，2015，1（2）：149-154.

[6] Dwivedi H，Clark C，Thiel D.移動應用安全[M].李祥軍，羅熊，譯.北京：電子工業出版社，2012.

[7] 劉軍.基于HTML5的Web應用安全漏洞檢測工具的設計與實現[D].北京：北京郵電大學，2017.

[8] 伍前紅，王明明，劉建偉，等.寓學于研教學模式在“網絡空間安全”課程中的應用探索[J].工業和信息化教育，2019（4）：71-75.

[9] 吳燕.以技能比賽引領中職網絡與信息安全專業課程設置的研究[J].電子世界，2019（8）：39-40.

【通聯編輯：代影】