惡意收費、流量耗費、侵害個人信息安全……你是不是也擔心裝個手機App,就「全裸」了?4月16日,現代快報記者了解到,江蘇預計在近期發布《智能終端應用軟體安全性測評技術要求》(以下簡稱《技術要求》)地方標準,目前已在國標委備案完成。收集或修改用戶數據、信息洩露、費用損失等方面都有了測評方法和標準。
現代快報/ZAKER南京記者 徐岑
部分App擅自收集
消費者隱私信息
此次地方標準由江蘇省軟體工程標準化技術委員會提出,南京市質檢院、國家軟體產品質量監督檢驗中心(江蘇)、江蘇蘇測軟體檢測技術有限公司、南京大學、國網電力科學研究院、南京慕測信息科技有限公司為主要起草單位。
「這兩年院裡承擔了部分手機產品的風險監測任務,對智慧型手機預置軟體的卸載,收集消費者通訊錄、通話信息、簡訊、位置信息情況,流量耗費,信息洩露方面進行檢測。」南京市質檢院、國家軟體產品質檢中心工程師劉豔介紹,結果顯示,部分批次的手機預置軟體不可卸載,存在未向用戶明示並經用戶同意,擅自收集信息以及擅自調用終端通信功能,造成用戶流量耗費和信息洩露的風險。
「我們也在應用商店抽了部分App進行下載測試,也存在擅自收集消費者各類隱私信息的風險。」劉豔表示,這些問題會佔用大量手機內存,影響手機運行速度,偷跑手機流量,洩露用戶隱私。
國家尚無App安全管理規範和檢測標準
如何解決這個問題?此次標準的主要起草人之一、國家軟體產品質檢中心副主任劉曉波介紹,目前國家層面還沒有相應App軟體安全的管理規範和檢測標準。「以Android系統為例,它的系統開放程度較高,降低了開發者的門檻;但另一方面由於下載數量很多,對應用軟體的質量監測力度就比較低,容易導致惡意應用軟體下載、傳播。」他表示,雖然各家應用商店有App上架規定,但規則不一,對用戶的安全保護也比較弱。
劉曉波表示,此次江蘇發布地方標準,就是希望為App開發商(個人)、應用商店、行業管理提供一個App上架發布前檢測技術標準參考,保證用戶數據的安全存儲,確保用戶數據不被非法訪問、不被非法獲取、不被非法篡改。
未經授權不得擅自修改和調用用戶數據
根據《技術要求》,惡意吸費,未經授權的修改、刪除、向外傳送用戶數據等行為,都是不允許的。合格的應用軟體本身不應該存在信息安全漏洞,不應該存在超出其功能範圍收集手機用戶隱私數據、故意偷跑流量、惡意消耗手機資源等安全隱患。
具體測評方式是,當智能終端應用軟體處於正常工作狀態時,使用基於特徵碼掃描、靜態原始碼分析、動態行為監測等檢測方法進行檢測。若在用戶沒有確認的情況下,開啟通話錄音、本地錄音、拍照/攝像和定位的行為,則測評結果為「不符合要求」。同樣,若在測試中發現擅自調用終端通信功能,造成信息洩露的行為,也「不符合要求」。
此外,安裝卸載也有檢測標準,不能捆綁下載其他應用軟體。卸載要非常徹底,不能在系統中留下應用軟體的臨時文件和活動程序或模塊。
合格的App上架時帶有檢測機構標誌
「技術測評有一定難度,需要專業檢測機構檢測。如果沒有達到標準裡的安全要求,建議暫停上架各類應用商店,經整改複測合格後再上架。」劉曉波表示,地方標準並不是強制標準,主要針對沒有國家標準和行業標準的產品,效力低於國家標準與行業標準。他建議,經信部門、質量技術監督部門實施監管。
對於消費者來說,由於目前移動應用軟體暫無安全性標誌,無法判斷所用軟體是否符合要求。他建議標準正式實施後,對經檢測機構檢測符合標準要求的應用軟體,在應用商店上架或安裝時向消費者展示帶有檢測機構logo的標誌信息,告知消費者該應用軟體已通過檢測。
此外,質監部門提醒消費者,不要在應用商店下載無名App、不要在USB模式下直接安裝App、看到涉及隱私的危險權限要謹慎安裝。同時,可以關閉位置信息訪問權限,禁用後臺進程,也可以藉助第三方軟體禁止廣告。