通付盾北斗團隊通付盾北斗團隊（負責安全合規產品）于2013年成立，10年來專注于移動應用全生命周期的安全研究，積累了豐富的移動應用安全實戰經驗，不斷保持技術研發與創新，致力于為企業提供移動應用全生命周期安全工程解決方案。自研了符號執行、動態沙箱、大數據分析、VMP虛擬機保護、iPA動態殼保護等多個核心技術。團隊所研發產品已服務于上千家各行業客戶，深入到政府、軍工、能源、金融、運營商、教育、傳媒、交通、互聯網等行業，為數十億級移動終端提供了移動應用安全保障。其中移動應用安全合規檢測成功服務國測、軍測、公安和工信部，實現測評機構全覆蓋。通付盾北斗團隊的理念:“技術、安全、創新”。前言當前，以數字經濟為代表的新經濟成為經濟增長新引擎。作為數字經濟時代核心生產要素的數據呈爆炸式增長，體現其基礎戰略資源的地位，數據安全的基礎保障作用日益凸顯。而APP作為移動網絡中數據的載體,其承載的數據對維護國家安全、企業安全及個人隱私，乃至數據合規都提出了更高要求。在2023年1月11日的全國工業和信息化工作會議上提及， 2023年的工作重點上，將完善電信業務市場發展政策，強化APP全流程、全鏈條治理，加強個人信息保護、用戶權益保護。增強網絡和數據安全保障能力，加快安全產業創新發展。本白皮書（或本報告）以《數據安全法》、《個人信息保護法》、《網絡安全法》等法律陸續施行背景下編制，從個人隱私信息安全和APP安全為切入點，梳理了當下APP安全發展面臨的挑戰與機遇，綜合分析APP安全的當前態勢及后期發展趨勢，結合區塊鏈分布式數字身份技術，尋找APP治理方向與策略，探索移動安全可持續發展道路。本白皮書旨在幫助打造集開發測試、發布、運行、運營全鏈路保障APP安全的移動合規應用發布平臺，對存在中高風險漏洞和隱私違規問題的應用在上架前及時阻斷，結合區塊鏈分布式數字身份技術為平臺上架APP頒發在鏈上的數字身份憑證，對盜版、仿冒等應用進行定期安全監測和風險識別。正文：一、APP安全現狀概述 當前，以數字經濟為代表的新經濟成為經濟增長新引擎。數據作為數字經濟時代核心生產要素呈爆炸式增長，體現其基礎戰略資源的地位，數據安全的基礎保障作用日益凸顯。而APP作為移動網絡中數據的載體,其承載的數據對維護國家安全、企業安全及個人隱私，乃至數據合規都提出了更高要求。1.1APP安全現狀在手機APP的日常使用中，可以直觀地感受到個人信息保護的水平。在日常網絡社區瀏覽、游戲以及購物時，是否頻繁彈窗提醒，在申請獲取位置、設備信息等權限前是否告知使用目的，隱私政策更新是否有提醒……2022年以來，工業和信息化部持續開展APP侵害用戶權益“回頭看”專項整治行動，先后6批次對存在違規推送彈窗信息、APP過度索取權限、移動互聯網應用程序（APP）及第三方軟件開發工具包（SDK）信息收集不規范等問題進行重點抽測，共累計發現約791款APP存在問題，并對202款逾期不整改或整改不到位的予以通報。近年來，在國家相關部門的APP治理強監管下，頭部APP的隱私信息安全不斷提高，但是尾部APP因為合規成本等問題，在個人信息保護方面的動力不足，依然與頭部 APP存在較大差距。尾部APP的個人信息安全保護工作，仍需加大治理力度，從而提升APP整體的個人信息保護水平。1.2年度相關政策法規自2021年11月1日《個人信息保護法》正式施行以來，關于網絡安全的相關政策法規相繼出臺。2022年1月，國務院《“十四五”數字經濟發展規劃》，部署了八項重點任務，在數字經濟安全體系方面，提出了三個方向的要求，一是增強網絡安全防護能力、二是提升數據安全保障水平、三是切實有效防范各類風險，系統闡述了網絡安全對于數字經濟的獨特作用及重要性。2022年4月26日，工業和信息化部發布《移動互聯網應用程序個人信息保護管理暫行規定（征求意見稿）》?！墩髑笠庖姼濉穼PP開發運營者、APP分發平臺、APP第三方服務提供者、移動智能終端生產企業、網絡接入服務提供者提出了一系列在個人信息的收集、存儲、使用、加工、傳輸過程中的相應要求，同時也明確了相應的整改期限和責任。2022年5月26日，全國信息安全標準化技術委員會發布了《信息安全技術 互聯網平臺及產品服務隱私協議要求》的征求意見稿。該要求規定了互聯網平臺及產品服務隱私協議編制程序、具體內容、發布形式，增加隱私協議的可讀性、透明性，以及處理隱私協議相關的爭議糾紛等方面的要求。2022年9月14日，國家互聯網信息辦公室發布關于公開征求《關于修改〈中華人民共和國網絡安全法〉的決定（征求意見稿）》意見的通知。擬調整違反網絡運行安全保護義務等行為的行政處罰種類和幅度，完善相關法律責任制度。數據安全法、個人信息保護法與網絡安全法構成我國網絡法律體系的“三駕馬車”，共同保障公民的個人信息安全。在2023年1月11日的全國工業和信息化工作會議上提及， 2023年的工作重點為完善電信業務市場發展政策，強化APP全流程、全鏈條治理，加強個人信息保護、用戶權益保護。增強網絡和數據安全保障能力，加快安全產業創新發展。APP安全合規檢測概述依據《數據安全法》、《個人信息保護法》、《網絡安全法》等相關相關法律法規，通過檢測目的、檢測對象、檢測方法以及檢測內容四個層面對APP安全檢測的具體實施方案進行闡述。2.1 檢測目的以用戶信息安全和APP安全為切入點，從隱私政策、權限申請、權限收集、權限使用、APP漏洞安全等方面進行檢測，檢測APP中存在的違規問題及安全漏洞。法律依據如下:《中華人民共和國個人信息保護法》《中華人民共和國網絡安全法》《中華人民共和國數據安全法》其他參考的國家標準、指南、團體標準包括:《常見類型移動互聯網應用程序必要個人信息范圍規定》GB/T 35273-2020《信息安全技術 個人信息安全規范》《APP違法違規收集使用個人信息自評估指南》《APP違法違規收集使用個人信息治理評估要點》GB/T 41391-2022《信息安全技術 移動互聯網應用程序（APP）個人信息安全測評規范》《網絡安全標準實踐指南—移動互聯網應用程序（APP）中的第三方軟件開發工具包（SDK）安全指引》《APP違法違規收集使用個人信息行為認定方法》《移動APP安全檢測基準》等2.2 檢測對象抽調了各大移動應用市場各類型活躍度前200的安卓應用共計約8607款進行安全合規檢測。類別囊括了地圖導航、網絡約車、即時通訊、新聞資訊、網絡支付、在線購物等共計39個類別。2.3 檢測流程APP安全合規檢測基于動靜雙引擎檢測技術，利用靜態代碼分析引擎和動態沙箱監測引擎，對移動應用潛在安全合規問題進行全面、深度的檢測。通過插樁技術進行動態行為捕獲，將行為內容傳遞到后臺進行處理分析，有效應對不同APP、不同場景的用戶個人信息化采集風險監測需求。通過代碼分析引擎對應用中集成的第三方SDK進行檢測分析，解析SDK列表，并將各SDK的權限申請及動態調用狀況、風險漏洞情況、敏感數據存儲情況等信息進行歸類，明確問題源頭。通過網絡捕獲技術，進行網絡流量捕獲記錄，并根據流量數據識別并提取相應的資產信息，分析數據流，監測違規數據的收集和共享。2.4 檢測內容1、APP隱私違規檢測內容：（1）檢測是否存在未公開收集使用規則問題；（2）檢測是否存在未明示收集使用個人信息的目的、方式和范圍問題；（3）檢測是否存在未經用戶同意收集使用個人信息問題；（4）檢測是否存在違反必要原則，收集與其提供的服務無關的個人信息問題；（5）檢測是否存在未經同意向他人提供個人信息問題；（6）檢測是否存在未按法律規定提供刪除或更正個人信息功能或未公布投訴、舉報方式等信息問題；2、APP漏洞風險檢測內容：（1）檢測是否存在編碼規范安全問題；（2）檢測是否存在代碼安全問題；（3）檢測是否存在數據安全問題；（4）檢測是否存在常見安全漏洞；（5）檢測是否存在發布規范安全問題；APP安全合規檢測結果及分析3.1 APP隱私違規檢測3.1.1 個人信息收集合規情況依據《APP違法違規收集使用個人信息行為認定方法》、《個人信息保護法》及其他相關政策法規，從“未公開收集使用規則”、“未明示收集使用個人信息的目的、方式和范圍”、“未經用戶同意收集使用個人信息”、“違反必要原則，收集與其提供的服務無關的個人信息”、“未經同意向他人提供個人信息”、“未按法律規定提供刪除或更正個人信息功能或未公布投訴、舉報方式等信息”這6個層面過對這8607款應用進行抽調檢測。經檢測發現，其中存在“未明示收集使用個人信息的目的、方式和范圍”占比高，達62.7%；其次是“未經用戶同意收集使用個人信息”占52%。3.1.2 常見違規收集個人信息分析1. 未經用戶同意收集使用個人信息在存在未經用戶同意收集使用個人信息方面問題的APP中，主要存在的問題包括：APP隱私政策等收集使用規則是否難以閱讀，如文字過小過密、顏色過淡、模糊不清，或未提供簡體中文版等。如下圖所示APP中的閱讀政策即存在文字過小，難以閱讀的問題。APP隱私政策需要對APP運營者基本情況進行描述，至少包括組織或公司名稱、注冊地址或常用辦公地址、個人信息保護工作機構或相關負責人聯系方式。如下圖所示APP中即存在未對APP運營者組織或公司名稱、注冊地址或常用辦公地址等進行描述的問題。2. 未明示收集使用個人信息的目的、方式和范圍在未明示收集使用個人信息的目的、方式和范圍方面問題的APP中，主要存在的問題包括：APP未逐一列出APP(包括委托的第三方或嵌入的第三方代碼、插件)收集使用個人信息的目的、方式、范圍等等。如下圖所示APP中，極光SDK在描述其所采集的個人信息（左圖）時與實際收集情況（右圖）有缺失，少了收集獲取位置信息等的相關說明。APP在申請打開可收集個人信息的權限，或申請收集用戶身份證號、銀行賬號、行蹤軌跡等個人敏感信息時，是否同步告知用戶其目的，或者目的不明確、難以理解。如下圖所示APP中，在申請獲取位置、設備等信息前未告知用戶其目的。3. 未經用戶同意收集使用個人信息在未經用戶同意收集使用個人信息方面問題的APP中，主要存在的問題包括：APP以默認選擇同意隱私政策等非明示方式征求用戶同意。如下圖所示APP中，在登錄時以默認選擇同意隱私政策的方式征求用戶同意。APP未向用戶提供撤回同意收集個人信息的途徑、方式。如下圖所示APP中，在隱私政策及APP中均未提供撤回同意收集個人信息的途徑、方式。4. 違反必要原則，收集與其提供的服務無關的個人信息在違反必要原則，收集與其提供的服務無關的個人信息方面問題的APP中，主要存在的問題包括：APP收集的個人信息類型或打開的可收集個人信息權限與現有業務功能無關。如下圖所示APP中，在登錄操作時要求獲取與當前登錄服務無關的位置權限。因用戶不同意收集非必要個人信息或打開非必要權限，拒絕提供業務功能。如下圖所示APP中，在用戶不同意打開攝像頭權限后，拒絕提供如上傳本地圖片作為頭像業務。5. 未按法律規定提供刪除或更正個人信息功能或未公布投訴、舉報方式等信息在未按法律規定提供刪除或更正個人信息功能或未公布投訴、舉報方式等信息息方面問題的APP中，主要存在的問題包括：更正、刪除個人信息或注銷用戶賬號等用戶操作已執行完畢，但APP后臺并未完成的。如下圖所示APP中，注銷賬戶完畢后用戶手機號等信息未立即同步刪除。雖提供了更正、刪除個人信息及注銷用戶賬號功能，但未及時響應用戶相應操作，需人工處理的，未在承諾時限內完成核查和處理。如下圖所示APP中，承諾期限超過了規定要求的15個工作日。3.2 APP風險漏洞檢測使用代碼反編譯技術，進行代碼層的應用安全檢測，從編碼規范、發布規范、代碼安全、環境安全、組件安全、數據安全和安全漏洞7各層面，分析應用存在的漏洞風險，共采集應用安全風險80余項。3.2.1 編碼規范檢測情況3.2.2 代碼安全檢測情況3.2.3 數據安全檢測情況3.2.4 常見安全漏洞檢測情況3.2.5 發布規范檢測情況治理展望針對目前的APP安全現狀，我們發現基于片面的APP安全防護甚至忽視安全防護無法達到有效的APP治理效果，有必要從APP全生命周期的角度出發，打造一套集開發測試、發布、運行、運營環節于一體的APP合規應用發布平臺。APP合規應用發布平臺的實現總體可以分為兩個子平臺，將面向終端用戶的業務平臺和開發者平臺分開。業務平臺包括：合規應用展示下載、實時行業資訊和業務管理等；開發者平臺包括：業務模塊和引擎組件兩部分。業務模塊包括：安全服務、數字身份憑證管理、監測服務和定期發布盡職調查報告等功能。APP盡職調查報告深入全面透視APP市場數據及安全狀況，監測300+APP分發渠道，向開發者和用戶提供便利的APP市場數據分析服務，包括APP在各渠道版本、下載量、評論及評分、是否存在盜版仿冒等情況，幫助開發者和用戶全面掌握APP信息。引擎組件包括：安全加固引擎、隱私檢測引擎、漏洞檢測引擎、爬蟲引擎等。全流程解決方案具體如下：（1）開發測試階段：提供APP安全合規檢測，包括：APP風險漏洞檢測、SDK檢測、APP權限檢測、APP隱私合規檢測等；針對存在的安全問題提供完善的解決方案，包括：APP加固、SDK加固、SO加固、H5加固、小程序加固等。（2）發布階段：APP上報；APP認證備案；一鍵式應用發布；對待發布APP進行風險漏洞檢測，及時阻斷存在中高風險的應用；對檢測通過的APP頒發在鏈上的數字身份憑證。（3）運行階段：提供對上架到平臺的APP的渠道管理；方便開發者對APP進行版本管理、發布管理操作。（4）運營階段：定期發布APP盡職調查報告；對盜版、仿冒等應用的定期安全監測和風險識別，助力APP開發商后期運營維護。在整個全鏈路的APP治理流程中，包含了對APP的安全檢測、安全加固、隱私合規檢測、應用發布、APP上鏈、渠道監測等眾多服務。這種APP全流程落地的治理模式，可以實現對APP全生命周期一站式的安全解決方案，對上架到平臺的APP做到全方位治理，營造清朗的網絡環境，進一步為各行各業進行安全賦能。區別于傳統的APP發布平臺，除了將APP安全技術運用到各個流程階段外，還規劃了APP安全合規知識專區、盡職調查報告和APP數字身份憑證三大功能。APP安全合規知識專區，定期更新行業新安全合規相關資訊和文件，方便開發者學習提升APP安全開發能力與素養。APP盡職調查報告實時追蹤APP市場動態，提供數據分析服務，助力開發者和用戶全面掌握APP信息和相關行業線索。APP數字身份憑證，結合區塊鏈的分布式數字身份技術，為每個通過漏洞檢測、隱私檢測等滿足合規要求的可信APP在鏈上生成一個不可篡改的，用來標識與管理的標識信息，構建統一的應用身份體系，為切實推動APP全鏈路治理提供安全保障。未來，在 Web3.0 時代，區塊鏈技術的日益成熟，為數字化轉型升級帶來全新機遇，新舊技術的交替將拓寬APP安全合規的道路。APP合規應用發布平臺也將不斷推陳出新，平臺的發展不僅要盡量滿足當前狀況下的移動安全問題，對于正在演進以及未來可能會對移動安全產生影響甚至是變革的理念和技術，也要充分研究并在管理平臺接下來的發展中得以體現。