APP個人信息安全威脅及防范對策分析

李俊磊，鄒同浩

（廣東司法警官職業(yè)學院，廣東 廣州 510520）

客戶端應用程序（Application program，APP）主要指運行在移動終端設備平臺上的第三方應用程序，其種類覆蓋人民生活的每一個角落，小到社交通信、新聞閱讀、影音娛樂、美食購物、出行導航等，大到教育商務、金融理財、運動健康等，個人的一天活動基本可依賴APP完成，人們的生活走向了數(shù)字化。

1 APP帶來的個人信息安全威脅

據(jù)CNCERT統(tǒng)計，我國境內(nèi)應用商店數(shù)量已超過200家，上架APP近500萬款，下載總量超過萬億次，還在以指數(shù)形式遞增[1]。在龐大的用戶群體和移動設備背景下，用戶每天都在利用APP進行購物支付、消遣娛樂，對智能設備的依賴性越來越強，留下的個人操作足跡和信息數(shù)據(jù)越來越豐富，形成的個人信息數(shù)據(jù)越來越全面。

智能設備上幾乎保存著個人全部隱私數(shù)據(jù)，涉及以下幾個方面：（1）個人信息隱私，如身份證號、銀行卡號、家庭住址、網(wǎng)絡活動的綜合信息（IP地址、瀏覽蹤跡、活動內(nèi)容）。（2）通信隱私，包括電話、短信、聊天通信平臺中的信息等。（3）空間隱私，個人在智能設備上出入特定空間或區(qū)域。（4）身體隱私，即身體健康狀況信息等。甚至，還有很多信息并不一定涉及個人隱私，但是在大數(shù)據(jù)時代，通過數(shù)據(jù)挖掘分析技術對信息進行重組，就包含了涉及用戶個人隱私的信息。

琳瑯滿目的APP在為用戶生活帶來前所未有的指尖快樂時，也給用戶的個人信息安全帶來了新威脅和新風險。安全問題值得重視，APP正悄無聲息地對個人安全造成不利影響，如強制授權、過度竊取、超范圍收集個人信息等現(xiàn)象大量存在，使用戶的個人信息在網(wǎng)絡中處于“透明狀態(tài)”，違法違規(guī)使用個人信息的問題十分突出，不僅讓用戶的個人信息和利益受到危害，也給國家安全產(chǎn)生了嚴重威脅。在當前的移動互聯(lián)網(wǎng)時代下，APP的大面積安裝、使用，對個人造成的安全威脅不容輕視，常見的個人信息安全威脅包括以下方面。

1.1 用戶群體素質(zhì)不一，安全意識薄弱

工業(yè)和信息化部發(fā)布的數(shù)據(jù)顯示，我國三大運營商移動電話用戶總數(shù)接近16億戶，4G用戶規(guī)模為12.3億戶，可見，我國的用戶群體龐大，現(xiàn)在全國上下出現(xiàn)大到老人、小至嬰兒，都基本上人均一部智能設備，完全達到APP應用普及化。然而，用戶群體的素質(zhì)不一，有些用戶連什么是網(wǎng)絡安全、個人信息安全的概念和意識都不清楚，特別年長的和年幼的兩大用戶群，在使用智能設備安裝應用時，直接盲目點擊下載，對于應用存在的風險、要獲取的權限、相關協(xié)議內(nèi)容等全然不知。

對于有安全意識的絕大數(shù)用戶而言，由于生活節(jié)奏快，有些APP雖然在安裝的過程中會提醒用戶查看《用戶協(xié)議》，但是協(xié)議條款過長，用戶為了省事，抱著相信的心態(tài)，手指一點同意該協(xié)議，使用過程中APP需要提供個人隱私數(shù)據(jù)和權限毫不猶豫地操作，加劇了風險和威脅。

1.2 APP市場魚龍混雜，缺乏統(tǒng)一平臺約束

正因APP市場的空前利好，很多開發(fā)商都關注到了這一市場，各種各樣的APP如雨后春筍般被開發(fā)出來，APP商城作為用戶下載APP的主要渠道，理應保障用戶的利益，對上線的APP進行惡意軟件檢測、隱私泄露檢查、安裝漏洞掃描、人工審核等安全管理，確保APP的安全性能，但由于缺乏統(tǒng)一平臺約束，導致APP市場魚龍混雜。市場上有大量的惡意APP存在，隨時可能被用戶下載安裝，給用戶的生命財產(chǎn)造成安全隱患。CNCERT統(tǒng)計數(shù)據(jù)顯示，我國2016年7月1日—2019年10月31日，累計發(fā)現(xiàn)違法有害惡意APP高達19 538款[2]。

1.3 APP強制、越界濫用權限

目前，用戶在安裝時，大多數(shù)APP都需要獲取用戶的權限，如果獲取的權限過低，會導致APP運行異常，甚至無法使用；如果權限過高，則會導致APP權限濫用，無法保障用戶的合法權益。有些APP沒有必要獲取用戶權限和收集用戶個人信息，然而，開發(fā)者或者開發(fā)商盲目跟風，“越界”“過度”甚至強制、超范圍索要用戶權限。

APP沒有明顯告知用戶獲取權限的信息及用途，甚至通過“越界”方式收集用戶設備上的照片、通信信息、生物識別信息（人臉、指紋）、交易賬號信息、各購物APP上的賬號密碼及收件地址、行程等個人隱私和敏感信息，讓個人信息時刻處于危險狀態(tài)。比如，APP對用戶的操作記錄和行為習慣進行“畫像”，提供個性化服務[3]，進行定向推送和營銷，而用戶卻無法拒絕。另外，有些APP存在“用戶進來了就別出去”的怪象，用戶注冊和使用后，想注銷和清空個人信息時卻困難重重，甚至連操作入口都沒有。

1.4 泄露用戶隱私信息，導致用戶利益受損

在使用APP的過程中，個人用戶隱私信息數(shù)據(jù)庫容易被泄露出去，包括APP平臺本身的安全性不強、管理人員非法處理用戶信息利益鏈；黑客入侵和平臺漏洞等導致信息泄露。同時，當前病毒泛濫，有網(wǎng)絡的地方就有可能存在病毒的風險，近年來，病毒對智能移動設備的侵害行為越來越多，病毒感染導致用戶信息處于不可控狀態(tài)，危害不斷。

2 APP個人信息安全防范對策

2.1 建立體系，規(guī)范管理

APP的安全問題事關個人和國家，必須要高度重視，社會各界要共同參與，從國家、行業(yè)層面建立法律保護體系，保護用戶的個人信息安全，構建良好的安全生態(tài)；制定APP行業(yè)標準，規(guī)范管理，對APP的上線實行統(tǒng)一管理，加強安全性檢測，規(guī)范審核流程；在相關標準、指南中進一步細化APP運營者收集用戶個人信息規(guī)范，持續(xù)優(yōu)化用戶隱私政策，并將個人信息保護貫徹APP的規(guī)劃、開發(fā)、運營等各個環(huán)節(jié)，做到“最小化”授權。

相關政府部門將建立 APP個人信息安全認證制度，對APP的上線、版本升級前均開展安全評估工作，同時，鼓勵搜索引擎和應用商店優(yōu)先推薦認證APP，切實、有效地維護好用戶的合法權益。

2.2 安全開發(fā)，加固防護

從技術上解決APP的安全性問題，在研發(fā)APP的過程中，融入信息安全技術，提高應用的安全性，把隱患拒之網(wǎng)外。通過運用數(shù)字簽名技術，保證數(shù)據(jù)在網(wǎng)絡中傳輸過程中數(shù)據(jù)的完整性、防篡改和不可偽造，避免網(wǎng)絡不法分子利用攻擊手段竊取信息。同時，要加強對APP緩存進行加密處理，對用戶賬號密碼進行加密，區(qū)分不同角色的操作權限。

開發(fā)者應將安全編碼原則貫穿整個軟件開發(fā)周期，采用高級API和安全SDK，并采用身份認證、電子簽章、區(qū)塊鏈等技術措施對應用進行必要的安全加固，采用安全存儲和傳輸技術保障用戶敏感信息安全，通過完善的身份認證機制保障通信過程安全。

在研發(fā)前期，重視安全需求調(diào)研，對數(shù)據(jù)存儲、數(shù)據(jù)傳輸都采用加密算法編碼，對APP接口進行加密隱藏，以防止第三方應用程序進行反編譯操作，充分做好上線前的測試工作，特別是針對APP的安全性能進行測試。引入?yún)^(qū)塊鏈技術對APP生命周期中的各過程管理，加強隨機抽查，對達不到安全標準的APP，下架處理。對于下線的APP應要求及時刪除銷毀所有用戶數(shù)據(jù)。利用大數(shù)據(jù)、人工智能技術、態(tài)勢感知技術對個人信息泄露等安全事件進行預警。

2.3 增強意識，安全使用APP

廣大的市民用戶應該加強安全防范意識，主動接受網(wǎng)絡安全、信息安全、數(shù)據(jù)安全等方面的學習，掌握基本的安全常識，提高警惕，培養(yǎng)良好的使用習慣，深刻認識到APP存在安全隱患，對APP獲取的權限做到心中有數(shù)，從正規(guī)渠道下載APP，防止下載高仿、不安全應用，安裝APP時仔細閱讀協(xié)議，對于應用獲取的權限，選擇性的進行設置，在不影響正常使用的情況下，沒有特殊要求不將設備進行ROOT處理，禁用不必要的高權限如手機號碼聯(lián)系人、短信等，堅守“最小權限化”。在設備上安裝殺毒軟件，定期對軟件應用進行清查。

3 結(jié)語

在APP“滿天飛”的數(shù)字化生活時代，每一個市民用戶都應加強安全防范意識，從制定法律法規(guī)、應用安全開發(fā)技術、安裝殺毒軟件和個人正確操作使用等多層次建立安全體系，在設備安全、應用安全、數(shù)據(jù)安全等多方面保障APP用戶的個人信息安全，不要讓個人信息成為不法分子的獵物，保護好個人的電子資產(chǎn)，用戶才能在移動互聯(lián)網(wǎng)上享受APP的便捷功能。