近年来,个人信息合规情况不容乐观,移动应用过度采集个人信息事件频发,消费者对这些存在诸多担忧,但往往缺乏足够有效的应对手段。保护消费者个人信息和个人信息安全工作亟待加强。
国家、行业等不同层级的监管机构都出台了一系列的法律法规和行业规范,整治个人信息合规问题,“3·15”晚会作为消费者权益保护前沿阵地,多年来也在持续报道个人信息合规问题,本次特筛选2020-2023年期间315晚会曝光的部分个人信息合规问题。
2020
APP插件窃取用户隐私
据央视报道,技术人员检测了50多款手机软件,均包含2家企业发布的问题SDK,不但读取用户设备的IMEI、IMSI、运营商信息、电话号码、短信记录 、通讯录、应用安装列表和传感器信息,还会悄悄地将数据传送到指定的服务器存储起来。
央视检测人员称:“会未经用户同意,收集用户的联系人、短信、位置、设备信息等等。尤其短信,短信内容被全部传走,这个是很严重的。因为SDK能够收集用户的短信,以及应用安装信息,一旦用户有网络交易的验证码被获取,极有可能造成严重的经济损失。”
除本次送检的50余款App外,还有众多知名App涉及此类问题,自2020年起SDK安全性逐渐走入大众视野,监管部门与企业对SDK安全加大重视度,恪守合规底线的企业与日俱增。
2021
谁在偷我的“脸”?
记者在全国多地先后调查了20多家装有人脸识别系统的商户,所到之处,人脸识别信息均被偷偷获取,国家市场监管总局发布的《个人信息安全规范》明确规定,收集人脸信息时应获得个人信息主体的授权同意。但并没有一个商家明确告知此行为,征得同意更是无从谈起。
随着国家对个人信息安全的愈发重视,国家、行业等不同层级的监管机构都出台了一系列的法律法规和行业规范,用于保护个人信息安全,其中包括:《中华人民共和国网络安全法》、《消费者权益保护法》、《人脸识别技术应用安全管理规定(试行)(征求意见稿)》等相关文件,为如何收集、使用、存储、传输、销毁个人信息数据进行了规定。同时定义了个人信息安全条款的必要标准和格式以及在第三方使用数据时必要的流程。相关法律法规也为监管机构和检测机构等给出了合规检测标准,为相关检测工具定义了检测依据。
2022
“免费WiFi”暗藏陷阱、儿童手表成“偷窥器”
在2022年315晚会上爆出”免费WiFi“类App暗藏陷阱导致个人隐私泄露,其中一款应用程序,一天之内收集测试手机的位置信息,竟然达到惊人的67899次。
在儿童手表方面,不少低配版的儿童智能手表在各大电商平台畅销热卖。315信息安全实验室对此展开了专门的测试。通过恶意程序下载二维码,工程师实现了对手表的远程控制,将如位置、通讯录、通话记录等打包实时发送出去,可轻松获得孩子的活动范围、聊天内容、周边对话内容等严重涉及个人隐私的信息。因低配儿童手表采用安卓系统,部分早期系统无权限管理要求,同时也有众多App存在强制索权问题。
为积极保护儿童个人信息、保障儿童网络权益,中国电子技术标准化研究院联合爱加密等企业共同编写的T/CCIA 003—2022《儿童智能手表个人信息和权益保护指南》,对儿童手表制造者及相关应用程序提供者提出了7大方面24个关注点,通过制定《指南》规范行业生态,帮助更多家庭和儿童。
2023
永不消失的追踪器
目前各种盗版App极为猖狂,用户一旦使用了有问题的盗版App,如同给手机安了“监控”,315信息安全实验室技术人员对十余款常用的视频、音乐、小说等应用软件的盗版版本,进行了实时监测,发现了不少的猫腻。
某款视频App的破解版,测试人员发现它被额外嵌入了3款和官方版本毫不相关的第三方插件,即SDK软件包。只要运行,这3款多出来的SDK包就能悄悄地偷走用户手机里的个人信息,只要用户安装打开,包括设备串码、网络地址等敏感信息在内的数据就会被上传到远端服务器。只要掌握其中2-3种信息,即使用户更换了手机或电话号码,它也能精准锁定用户,实时捕捉和追踪用户动态,形成用户的精准画像,从而推送大量的广告,实现流量变现。更有甚者,一款盗版音乐App还可以监听用户的通话状态。
爱加密深耕于移动应用安全领域多年,漏洞检测、恶意程序检测、个人信息检测等检测技术沉淀多年,技术成熟。在盗版仿冒监测领域,基于爱加密移动应用大数据平台自建正版应用库,通过应用MD5值、文件及源代码比对,分析识别市场渠道中的盗版仿冒应用,并实时监测及下发整改通知,可协助监管部门及企业从源头避免盗版应用侵犯用户个人信息问题。
针对SDK带来的个人信息泄露风险,爱加密通过静态分析与动态运行两种方式,并通过爱加密SDK数据库进行匹配分析,将代码中引用的第三方SDK进行解析,获取SDK基本信息,并对SDK使用的权限及使用次数、通信IP及次数进行统计记录。
结合爱加密个人信息检测平台的众多功能,针对移动应用的基本信息、漏洞信息、收集和使用个人信息行为、通讯传输行为、软件和技术供应链情况、技术脆弱性、隐私政策规范性等进行多维度安全检测和合规检测,并出具专业的个人信息安全报告。
可帮助监管机构准确、有效地提供行政执法依据;帮助测评机构出具专业的个人信息测评报告;帮助应用开发企业在应用发布前评估个人信息的安全性和合规性。有效降低APP、小程序违规收集使用个人信息的风险,助力APP、小程序和平台长久运营。