歡迎訪問中國軟件評測中心!

聯系方式

010-88559349/9272
010-88559226/9347

010-88559238/9239
010-88559372/9373
 

官方微信公衆号

京東金融事件凸顯加強APP監管緊迫性

2019-03-04

        2月16日,微博用戶“瘦出的肋骨已經消失的大俠阿木”曝光Android版本的京東金融APP會在後台竊取用戶手機上其他金融APP的截圖和用戶拍照照片。此事迅速引起媒體和大量網友關注,有媒體報道京東金融APP偷偷竊取用戶敏感數據并上傳。

  京東金融方面對此事件迅速做出反應,于2月17日發布相關聲明,該聲明稱對微博發布的京東金融APP安全問題進行了調查,并組織技術人員進行了排查,聲明重點内容包括:

  1.安全團隊确認Android版京東金融5.0.5版本後的APP存在微博曝光的情況,其目的是方便用戶向在線客服反饋問題;

  2.該功能通過第三方庫實現截屏本地緩存和預覽縮略圖快速顯示,本地緩存的圖片并未上傳;

  3.承認京東金融APP存在問題,在切換到後台後,繼續對截圖、拍照等新增圖片進行緩存,屬于需求錯誤開發。

  京東金融在聲明中表示,将邀請權威機構對其APP進行全面的安全檢測,及時公告檢測結果,并邀請問題發現者、外部安全專家、媒體等人員組成信息安全顧問小組,對其APP産品、服務等進行長期檢查監督。

  目前該事件還沒有明确的結論,京東金融方的聲明也表達正視問題、解決問題的姿态。從當前公開的信息來看,京東金融APP即便最終證明其并未竊取和上傳用戶敏感信息,其對截圖進行緩存的行為也可能導緻用戶敏感信息洩露。希望此事件能引起相關監管機構的重視,及時組織權威公正的第三方進行調查,給出公正的結論。

  此事件也凸顯了加強APP監管的緊迫性。手機涉及使用者的大量個人敏感信息,包括個人信息、賬号口令、隐私以及用戶偏好和行為數據等,這些信息的巨大價值必然會讓黑色産業鍊觊觎。

  中國軟件評測中心網絡空間安全測評工程技術中心建議從以下幾方面加強APP監管,保護用戶合法權益。

  一是加強對APP的管理,對存在侵犯用戶合法權益的惡意APP進行嚴厲打擊。竊取用戶個人信息等行為已經違反了國家相關法律規定,應對相關責任主體追究責任并嚴懲,對APP開發者形成威懾,使其不敢觸碰紅線。我國《刑法》、《網絡安全法》等法律都具有個人信息保護相關條款,此外,《移動互聯網應用程序信息服務管理規定》明确規定,“未向用戶明示并經用戶同意,不得開啟收集地理位置、讀取通訊錄、使用攝像頭、啟用錄音等功能,不得開啟與服務無關的功能,不得捆綁安裝無關應用程序” 。2019年1月25日,中央網信辦、工信部、公安部、市場監管總局四部門聯合發布《關于開展App違法違規收集使用個人信息專項治理的公告》,決定自2019年1月至12月,在全國範圍組織開展App違法違規收集使用個人信息專項治理。App運營者收集使用個人信息時,不得收集與所提供服務無關的個人信息,不得以默認、捆綁、停止安裝使用等手段變相強迫用戶授權。建議能形成長效機制,對APP持續監管,對惡意APP形成高壓态勢。

  二是形成對移動應用程序惡意行為定義、檢測等的國家級規範,指導APP開發者和第三方檢測機構相關工作。目前相關國家标準有2018年5月實施的GB/T 35273-2017《信息安全技術個人信息安全規範》、工信部行業标準YD/T 2439-2012《移動互聯網惡意程序描述格式》,但這些标準還沒有形成完整體系,無法全面發揮作用。

  三是形成對移動應用程序APP的第三方檢測機制。相關法律法規的完善和惡意APP治理都屬于事後處置,還應該加強對APP的事前檢測。一方面強化檢測标準完善和工具開發,另一方面強化第三方檢測能力建設,形成完善的檢測體系。對使用人數巨大或涉及用戶金融數據等重大敏感信息的APP,采取強制檢測後上架和持續監測的機制,防患于未然。

報道鍊接:#

 
http://m.juhua458686.cn|http://wap.juhua458686.cn|http://www.juhua458686.cn||http://juhua458686.cn