一面是用戶對手機的依賴越來越強,另一面是當下復雜的互聯網安全環境中各種問題頻出。人們在享受數字化便利的同時,也在承受著網絡安全和隱私保護方面的隱憂及危害。這中間,需要值得信任的平臺為用戶當好“守門人”,讓用戶更安心、更省心。
手機已經成為人類最親密的伙伴,在生活中的重要性日益提升。一方面,用戶日均使用手機時長在不斷增長,中國互聯網絡信息中心(CNNIC)報告顯示我國網民人均每周上網時長達到28.5個小時;另一方面,人們吃穿住行醫等生活的方方面面都離不開手機,手機已經與生活緊密耦合。
當手機成為我們不可或缺的“伙伴”,那么手機的安全問題也就愈發重要。今年央視“315晚會”中多個曝光事件都與信息安全相關,這也讓很多用戶對手機的安全問題更為重視。
針對公眾對互聯網應用安全問題的高度關注,華為應用市場于今年3月25日發布了《華為應用市場2021年度安全隱私報告》(以下簡稱“報告”)。報告結合全方位安全審核保障體系、數據、專項及案例等,透過華為應用市場在去年的這些數據和案例,我們可以更加清晰地了解當下移動應用生態的安全態勢。
-01-
無論能否看見,風險就在那里
現在,人們每天都會有幾個小時在使用手機,看視頻、買商品、聽音樂、讀書、打車、社交……我們在使用一些涉嫌違規的手機應用的時候,可能在不知不覺間已經被盜走了個人信息,或是被別有用心的商家利用個人數據牟利,或是悄悄地被推送了商業廣告。一般情況下,用戶對這些行為并不敏感,也無法識別惡意應用,只有真正出現大的問題后,才會意識到手機里存在諸多安全隱患。
央視315晚會曝出來的幾件事,向用戶再次敲響了警鐘:315信息安全實驗室對“免費Wi-Fi連接”進行測試,結果不僅沒有連上Wi-Fi資源,在測試結束后反而有兩個陌生應用程序自動下載到了手機里。通過測試發現,這類應用打著“免費”的幌子,有的往用戶手機里安裝未知應用,有的則是在后臺違規收集用戶信息。
另一款叫“雷達Wi-Fi”的應用程序,甚至可以定位用戶一整天的行為軌跡。一款銷量超10萬支的低配兒童智能手表,被植入了惡意程序,商家可以輕易獲得使用者的位置、人臉圖像、錄音等隱私信息,還能實時聽到孩子和家人的聊天內容,安全隱患可想而知。
這么多與手機安全相關的安全問題曝光,無疑是在向給用戶鄭重提醒,在體驗手機帶來的便利性同時,更要重視手機信息安全。
事實上,315曝光出來的只是冰山一角。信息安全問題涉及方方面面,從系統安全到帳號安全,從內容合規到隱私合規,從數據安全到支付安全……正是因為問題的嚴重性,工信部一直在持續推進App個人信息保護專項整治:2021年全年組織對208萬款APP進行了技術檢測,通報違規1549款,下架514款。在這樣的整治力度下,依然有違規APP不斷“翻新”,工信部在今年一季度又對61萬款App進行檢測,發現并通報了134款違規App。
無論你是否看見,風險就在那里。除了用戶已知的,還有很多未知的風險和不斷變臉翻新的新風險。這些問題有些影響可大可小,有的非常直觀,有的又極為隱秘,但最終都會影響用戶的個人權益。
針對各種風險,業內人士給出一些善意的提醒,比如盡量選擇官方渠道,特別是投資理財、銀行類APP,不要下載來歷不明的山寨APP;在使用APP時,如若遇到麥克風/攝像頭/位置提供“授權”和“僅使用期間允許”功能,要盡量取消授權和使用位置功能;不再使用APP時應徹底退出,如果退出不徹底會給后臺運行的惡意程序以可乘之機;謹慎授予APP“發送短信”、“讀取短信”、“讀取聯系人”、“讀取位置信息”等權限。
對于絕大多數用戶而言,最省心、省力的方式就是選擇有技術能力、有責任擔當的大平臺。
-02-
產業協同解決復雜且持久的難題
這些不安全的應用,究竟是怎么“跑”到用戶手機里的呢?
有些,是下載渠道的問題,開放的生態在帶來便捷的同時,也會帶來各種各樣的下載安裝渠道,很多入口得不到監管,各類平臺、搜索引擎、信息流對有關部門指示落實的程度也有區別。
其次,有些渠道雖然管理規范,但是黑產或灰產過于狡猾,善于隱藏和變身誘使用戶上當。比如“變臉應用”,白天打開是正規界面,晚上就跳轉到買賣帳號的界面;公司所在地的用戶打開是正規界面,在平臺買賣過帳號的用戶打開就是非法界面。所以,即使平臺有很嚴格的審核,也還需要更有責任心、更嚴格的機制,對應用進行復檢。
據《報告》顯示,去年華為應用市場在應用復測中發現的涉嫌違規TOP3問題分別為:隱私問題、廣告問題、未成年人保護問題。針對各類涉嫌違規的應用,華為應用市場工作人員經核實確認后,都會第一時間對其進行整改/下架等相應處理。
就以上這些問題來分析,當前安全隱私領域的形勢具有廣泛、復雜、多變、影響大等特征。這有點像當年PC時代的病毒,只要有利益的誘惑,安全和隱私問題就很難徹底杜絕,病毒不斷進化,殺毒軟件也要不斷升級,這將是一場持久戰。
面對這樣復雜的持久戰,用戶很難以一己之力來解決,這需要產業各方共同努力。
首先,監管部門對互聯網用戶安全隱私保護非常重視,出臺了相關法律法規,更加明晰邊界,從宏觀層面加強監管。去年相繼出臺的《數據安全法》《個人信息保護法》,還有此前的《網絡安全法》,都是我國數據治理方面的“基本法”。此外,各政府部門還會針對重點問題展開專項檢查,比如去年工信部開展了APP侵害用戶權益專項整治行動。
同時,只有政策的支持恐怕還不夠,智能手機作為現在人們最重要的智能設備,從個人用戶層面應該更加重視,避免出現不可挽回的損失。無論是315曝光,還是華為的《安全隱私報告》,都是對用戶群體的主動提醒。
此外,需要產業界各方一起努力。開發者需要自覺自省,手機廠商需要在產品上通過軟硬件進行防控,以及應用分發平臺也需要承擔履行相應的管理責任。
在這場持久戰中,應用分發平臺將是一個關鍵的“守門人”。平臺不僅要監管、審核,還要充分做好溝通、宣傳、引導,以及平臺的技術保障。
一是要與開發者保持溝通,引導開發者了解上架審核規則和標準,按要求公開隱私、權限等信息;二是要恰到好處地對用戶進行引導,引導用戶從正規途徑獲得服務,確保個人利益;三是要有很強的安全技術儲備,并且在機制設置上更嚴謹,確保用戶的利益不受損害。
-03-
構建立體防護體系,為用戶提供安心、省心的平臺
安全隱私問題防不勝防,應用市場在解決安全隱私問題時起到舉足輕重的作用——向下連接數以億計的用戶,向上連接百萬開發者,同時承載法律、法規的落地實施。
今年1月5日,國家互聯網信息辦公室公布《移動互聯網應用程序信息服務管理規定(征求意見稿)》,明確應用程序分發平臺應當建立分類管理制度,對上架的應用程序實施分類管理,對申請上架的應用程序進行認證和審核等。此后國家網信辦表示將針對應用程序信息服務亂象問題開展專項行動,以應用程序內容審核和分發平臺上架審核為切入點,推動形成“平臺管程序、程序管賬號”的管理鏈條。顯然,平臺的責任越來越重大。
作為“守門人”的角色,華為應用市場連續四年發布安全隱私年度報告,這是一個平臺的責任感,也是技術能力的自信。從這份報告中,我們看到華為應用市場建立了一個立體防護體系,理念+機制+體驗+技術,多個維度構建起一道相對穩固的“大門”。
首先從理念上,華為將安全隱私問題視為企業的最高綱領。所謂最高綱領就是高于商業利益,是一道不可逾越的紅線。
其次在機制上,華為應用市場在應用的全生命周期都設置了嚴格的檢測機制和隱私保護功能,從開發者資質審核,到應用上架前安全檢測,到應用下載和使用期間的管理,再到應用上架后的定期復測和用戶反饋跟蹤,通過四重檢測守護應用的全生命周期隱私安全。
這一套機制有兩大特點,一是嚴,二是全。其中特別值得一提的是復檢機制,一些“變臉”應用在應用市場上架前的層層審核中通常都合規合矩,但在披上正規應用的外衣上架之后,便會通過云控開關或APP內部推送更新版本等手段玩“變臉”,侵犯用戶的隱私和權益,甚至開展違法活動。
持續的應用復測,正是華為應用市場嚴防“變臉”應用偽裝的一項重要保護性舉措。
《報告》顯示,華為應用市場對隱私政策、游戲防沉迷系統、應用內廣告、未成年人保護、應用“變臉”等專項展開復測,復測應用超過20萬款,主動處置問題應用超過了6萬款,高效而顯著地降低了使用的應用風險,讓用戶下載應用時更放心。
對于普通用戶而言,體驗也是重要一環。一些APP會向用戶要求開放數據,很多用戶在不知情的情況下就把自己的隱私授權出去。華為應用市場在 2021 年正式上線“隱私標簽”,通過標簽化、瀑布流的方式,優化信息呈現方,將 App 在運行過程中可能收集的個人信息類別和用途清晰地呈現,這樣用戶更容易理解和做出選擇。
此外,華為應用市場還新增了“第三方共享信息清單”、“第三方 SDK 列表”和“個人信息收集清單”,用戶可以隨時查看自己的數據被哪些應用調用,做到了然于心。這樣一來不僅降低了操作難度,還讓更多用戶可以做到對自己的隱私透明可控。
最后還有一點就是技術能力。華為應用市場目前已經獲得 CSA STAR、ISO/IEC 27001、ISO/IEC 27701、ISO/IEC 27018 和ePrivacyseal 等多項國內國際權威隱私安全認證,網絡安全和隱私保護能力處于全球領先水平。
其中 ISO/IEC 27701 認證的獲得,意味著華為應用市場在產品設計、研發、運營和運維服務等環節,已經擁有相對完備的個人信息保護管理體系,在個人信息安全管理、透明性和隱私合規等方面可靠性更強。
可以看到,理念+機制+體驗+技術,華為應用市場的這一嚴密立體防護體系將讓用戶更安心,也更省心。
