在 2020 年3· 15 晚會所曝光的問題中,手機APP竊取用戶隱私的情況再度出現。根據央視報導稱,部分APP中集成的SDK存在未經過授權竊取用戶的個人敏感信息的情況。
OPPO作為一家軟硬服一體化的科技公司,軟體安全與網際網路應用安全是其在安全領域的重要建設部分。OPPO安全團隊從實際出發,防止APP竊取用戶隱私問題,切實保證用戶的隱私及數據安全。
發現底層問題:APP為什麼要集成三方的SDK?
一般來講,一款APP涉及內容非常多,比如外賣類的APP,為了提供更好的服務,就需要獲取用戶的設備位置權限,同時還要獲取用戶周邊所有餐飲店的位置信息,這樣就可以基於用戶的設備位置,向用戶推送周邊的一些美食信息。除此之外,為了讓用戶可以實時看到騎手送餐的路徑和位置,還需要實時獲取騎手位置及地圖信息。
就這些功能而言,其實是涉及到了另外一個非常專業的領域-地圖,外賣類APP開發者要麼選擇自己做地圖,要麼就和地圖類軟體合作。一般情況下,大家都會選擇合作模式,由於找地圖類合作的APP太多,所以地圖類軟體商乾脆把自己的定位、導航等功能做成了一個軟體開發工具包,其他APP如果想使用地圖類功能,直接引用這個功能包就可以具備相關的地圖功能啦。這個軟體開發工具包,就是SDK。
根據 2019 年 7 月中國金融認證中心(CFCA)發布的《常用第三方SDK收集使用個人信息測評報告》所述,其檢測的 60 款國內常用APP中,平均每款APP使用的SDK數目為19. 3 個,所以,在APP中引入別人家SDK是一個非常普遍的事情。
找到解決問題的難點:APP安全隱私檢測的難點在哪裡?
作為APP下載的平臺提供方,負有對其平臺上APP安全、APP合規性的監督責任,但是絕大多數平臺在實際審核過程中依然存在以下幾個難點:
難點一:利益誘惑大。由於移動網際網路的蓬勃發展,移動終端是一個利益誘惑非常大的一個入口,幾乎所有的黑色產業都會盯住這塊蛋糕,目前的黑色產業都是成系統化的,分工明確,技術「過硬」。
難點二:SDK的黑盒檢測。SDK由於是第三方廠商開發、封裝的,對於APP而言SDK只開放了部分口子,內部代碼、邏輯等都是不透明的,相當於一個黑盒子,這種黑盒的安全檢測的難度非常大。
難點三:惡意行為的動態下發。目前很多的APP/SDK表明看沒有任何問題,但是他的惡意行為都是通過雲端隨機下發,可以根據不同地區,不同人群,不同時間隨機下發,這給檢測工作帶來非常大的挑戰。
解決底層問題:OPPO安全做了什麼?
OPPO安全從用戶的利益出發,早在 2020 年初就已經在籌備對APP安全及隱私檢測平臺的建設-OPPO天境。OPPO天境基於靜態分析、動態分析、汙點分析等多引擎技術實現對APP的自動化研判分析。
OPPO天境於 2020 年 7 月順利上線,並同步也更新了軟體商店APP的審核規範,本次的重大變更點就是增加對APP安全風險及隱私保護的檢測內容,覆蓋以下幾個方面:
惡意行為的檢測。OPPO從保護用戶信息完整、保密出發,防止APP通過惡意行為破壞手機系統,包括靜默下載安裝、遠程控制、權限濫用、動態加載惡意插件等。
黑灰產行為。OPPO堅決保護用戶的帳戶及各類資產安全,不允許通過黑灰產行為竊取用戶資金或資產,破壞應用生態以及非法牟利,包括利用漏洞或欺騙行為、後臺模擬廣告點擊或下載軟體、利用用戶手機CPU、內存從事電子貨幣計算等惡意行為。
欺騙行為。OPPO不允許有欺騙用戶的行為。APP不得通過偽裝來自可信來源或者其他應用,欺騙用戶點擊、安裝、輸入或跳轉,進而獲取用戶的身份認證憑據,或者更改系統配置等。
隱私保護。OPPO珍視用戶信任,將保護用戶隱私作為重要的使命,嚴禁開發者侵害用戶隱私的行為,包括尊重用戶的選擇,最小化收集用戶的個人信息,在用戶授權範圍使用和分享個人信息等。
OPPO安全始終發自內心地尊重並保護用戶隱私及數據安全,致力於讓用戶安全、流暢、便捷地享受產品和服務,在這條道路上,存在不同勢力及利益的對抗,OPPO安全將始終秉持OPPO的本分企業文化價值觀,一切以用戶為中心。一起為了用戶,OPPO安全在行動!