通付盾北斗團隊通付盾北斗團隊（負責(zé)安全合規(guī)產(chǎn)品）于2013年成立，10年來專注于移動應(yīng)用全生命周期的安全研究，積累了豐富的移動應(yīng)用安全實戰(zhàn)經(jīng)驗，不斷保持技術(shù)研發(fā)與創(chuàng)新，致力于為企業(yè)提供移動應(yīng)用全生命周期安全工程解決方案。自研了符號執(zhí)行、動態(tài)沙箱、大數(shù)據(jù)分析、VMP虛擬機保護、iPA動態(tài)殼保護等多個核心技術(shù)。團隊所研發(fā)產(chǎn)品已服務(wù)于上千家各行業(yè)客戶，深入到政府、軍工、能源、金融、運營商、教育、傳媒、交通、互聯(lián)網(wǎng)等行業(yè)，為數(shù)十億級移動終端提供了移動應(yīng)用安全保障。其中移動應(yīng)用安全合規(guī)檢測成功服務(wù)國測、軍測、公安和工信部，實現(xiàn)測評機構(gòu)全覆蓋。通付盾北斗團隊的理念:“技術(shù)、安全、創(chuàng)新”。前言當(dāng)前，以數(shù)字經(jīng)濟為代表的新經(jīng)濟成為經(jīng)濟增長新引擎。作為數(shù)字經(jīng)濟時代核心生產(chǎn)要素的數(shù)據(jù)呈爆炸式增長，體現(xiàn)其基礎(chǔ)戰(zhàn)略資源的地位，數(shù)據(jù)安全的基礎(chǔ)保障作用日益凸顯。而APP作為移動網(wǎng)絡(luò)中數(shù)據(jù)的載體,其承載的數(shù)據(jù)對維護國家安全、企業(yè)安全及個人隱私，乃至數(shù)據(jù)合規(guī)都提出了更高要求。在2023年1月11日的全國工業(yè)和信息化工作會議上提及， 2023年的工作重點上，將完善電信業(yè)務(wù)市場發(fā)展政策，強化APP全流程、全鏈條治理，加強個人信息保護、用戶權(quán)益保護。增強網(wǎng)絡(luò)和數(shù)據(jù)安全保障能力，加快安全產(chǎn)業(yè)創(chuàng)新發(fā)展。本白皮書（或本報告）以《數(shù)據(jù)安全法》、《個人信息保護法》、《網(wǎng)絡(luò)安全法》等法律陸續(xù)施行背景下編制，從個人隱私信息安全和APP安全為切入點，梳理了當(dāng)下APP安全發(fā)展面臨的挑戰(zhàn)與機遇，綜合分析APP安全的當(dāng)前態(tài)勢及后期發(fā)展趨勢，結(jié)合區(qū)塊鏈分布式數(shù)字身份技術(shù)，尋找APP治理方向與策略，探索移動安全可持續(xù)發(fā)展道路。本白皮書旨在幫助打造集開發(fā)測試、發(fā)布、運行、運營全鏈路保障APP安全的移動合規(guī)應(yīng)用發(fā)布平臺，對存在中高風(fēng)險漏洞和隱私違規(guī)問題的應(yīng)用在上架前及時阻斷，結(jié)合區(qū)塊鏈分布式數(shù)字身份技術(shù)為平臺上架APP頒發(fā)在鏈上的數(shù)字身份憑證，對盜版、仿冒等應(yīng)用進行定期安全監(jiān)測和風(fēng)險識別。正文：一、APP安全現(xiàn)狀概述 當(dāng)前，以數(shù)字經(jīng)濟為代表的新經(jīng)濟成為經(jīng)濟增長新引擎。數(shù)據(jù)作為數(shù)字經(jīng)濟時代核心生產(chǎn)要素呈爆炸式增長，體現(xiàn)其基礎(chǔ)戰(zhàn)略資源的地位，數(shù)據(jù)安全的基礎(chǔ)保障作用日益凸顯。而APP作為移動網(wǎng)絡(luò)中數(shù)據(jù)的載體,其承載的數(shù)據(jù)對維護國家安全、企業(yè)安全及個人隱私，乃至數(shù)據(jù)合規(guī)都提出了更高要求。1.1APP安全現(xiàn)狀在手機APP的日常使用中，可以直觀地感受到個人信息保護的水平。在日常網(wǎng)絡(luò)社區(qū)瀏覽、游戲以及購物時，是否頻繁彈窗提醒，在申請獲取位置、設(shè)備信息等權(quán)限前是否告知使用目的，隱私政策更新是否有提醒……2022年以來，工業(yè)和信息化部持續(xù)開展APP侵害用戶權(quán)益“回頭看”專項整治行動，先后6批次對存在違規(guī)推送彈窗信息、APP過度索取權(quán)限、移動互聯(lián)網(wǎng)應(yīng)用程序（APP）及第三方軟件開發(fā)工具包（SDK）信息收集不規(guī)范等問題進行重點抽測，共累計發(fā)現(xiàn)約791款A(yù)PP存在問題，并對202款逾期不整改或整改不到位的予以通報。近年來，在國家相關(guān)部門的APP治理強監(jiān)管下，頭部APP的隱私信息安全不斷提高，但是尾部APP因為合規(guī)成本等問題，在個人信息保護方面的動力不足，依然與頭部 APP存在較大差距。尾部APP的個人信息安全保護工作，仍需加大治理力度，從而提升APP整體的個人信息保護水平。1.2年度相關(guān)政策法規(guī)自2021年11月1日《個人信息保護法》正式施行以來，關(guān)于網(wǎng)絡(luò)安全的相關(guān)政策法規(guī)相繼出臺。2022年1月，國務(wù)院《“十四五”數(shù)字經(jīng)濟發(fā)展規(guī)劃》，部署了八項重點任務(wù)，在數(shù)字經(jīng)濟安全體系方面，提出了三個方向的要求，一是增強網(wǎng)絡(luò)安全防護能力、二是提升數(shù)據(jù)安全保障水平、三是切實有效防范各類風(fēng)險，系統(tǒng)闡述了網(wǎng)絡(luò)安全對于數(shù)字經(jīng)濟的獨特作用及重要性。2022年4月26日，工業(yè)和信息化部發(fā)布《移動互聯(lián)網(wǎng)應(yīng)用程序個人信息保護管理暫行規(guī)定（征求意見稿）》?！墩髑笠庖姼濉穼PP開發(fā)運營者、APP分發(fā)平臺、APP第三方服務(wù)提供者、移動智能終端生產(chǎn)企業(yè)、網(wǎng)絡(luò)接入服務(wù)提供者提出了一系列在個人信息的收集、存儲、使用、加工、傳輸過程中的相應(yīng)要求，同時也明確了相應(yīng)的整改期限和責(zé)任。2022年5月26日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布了《信息安全技術(shù) 互聯(lián)網(wǎng)平臺及產(chǎn)品服務(wù)隱私協(xié)議要求》的征求意見稿。該要求規(guī)定了互聯(lián)網(wǎng)平臺及產(chǎn)品服務(wù)隱私協(xié)議編制程序、具體內(nèi)容、發(fā)布形式，增加隱私協(xié)議的可讀性、透明性，以及處理隱私協(xié)議相關(guān)的爭議糾紛等方面的要求。2022年9月14日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布關(guān)于公開征求《關(guān)于修改〈中華人民共和國網(wǎng)絡(luò)安全法〉的決定（征求意見稿）》意見的通知。擬調(diào)整違反網(wǎng)絡(luò)運行安全保護義務(wù)等行為的行政處罰種類和幅度，完善相關(guān)法律責(zé)任制度。數(shù)據(jù)安全法、個人信息保護法與網(wǎng)絡(luò)安全法構(gòu)成我國網(wǎng)絡(luò)法律體系的“三駕馬車”，共同保障公民的個人信息安全。在2023年1月11日的全國工業(yè)和信息化工作會議上提及， 2023年的工作重點為完善電信業(yè)務(wù)市場發(fā)展政策，強化APP全流程、全鏈條治理，加強個人信息保護、用戶權(quán)益保護。增強網(wǎng)絡(luò)和數(shù)據(jù)安全保障能力，加快安全產(chǎn)業(yè)創(chuàng)新發(fā)展。APP安全合規(guī)檢測概述依據(jù)《數(shù)據(jù)安全法》、《個人信息保護法》、《網(wǎng)絡(luò)安全法》等相關(guān)相關(guān)法律法規(guī)，通過檢測目的、檢測對象、檢測方法以及檢測內(nèi)容四個層面對APP安全檢測的具體實施方案進行闡述。2.1 檢測目的以用戶信息安全和APP安全為切入點，從隱私政策、權(quán)限申請、權(quán)限收集、權(quán)限使用、APP漏洞安全等方面進行檢測，檢測APP中存在的違規(guī)問題及安全漏洞。法律依據(jù)如下:《中華人民共和國個人信息保護法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》其他參考的國家標(biāo)準(zhǔn)、指南、團體標(biāo)準(zhǔn)包括:《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》GB/T 35273-2020《信息安全技術(shù) 個人信息安全規(guī)范》《APP違法違規(guī)收集使用個人信息自評估指南》《APP違法違規(guī)收集使用個人信息治理評估要點》GB/T 41391-2022《信息安全技術(shù) 移動互聯(lián)網(wǎng)應(yīng)用程序（APP）個人信息安全測評規(guī)范》《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南—移動互聯(lián)網(wǎng)應(yīng)用程序（APP）中的第三方軟件開發(fā)工具包（SDK）安全指引》《APP違法違規(guī)收集使用個人信息行為認定方法》《移動APP安全檢測基準(zhǔn)》等2.2 檢測對象抽調(diào)了各大移動應(yīng)用市場各類型活躍度前200的安卓應(yīng)用共計約8607款進行安全合規(guī)檢測。類別囊括了地圖導(dǎo)航、網(wǎng)絡(luò)約車、即時通訊、新聞資訊、網(wǎng)絡(luò)支付、在線購物等共計39個類別。2.3 檢測流程APP安全合規(guī)檢測基于動靜雙引擎檢測技術(shù)，利用靜態(tài)代碼分析引擎和動態(tài)沙箱監(jiān)測引擎，對移動應(yīng)用潛在安全合規(guī)問題進行全面、深度的檢測。通過插樁技術(shù)進行動態(tài)行為捕獲，將行為內(nèi)容傳遞到后臺進行處理分析，有效應(yīng)對不同APP、不同場景的用戶個人信息化采集風(fēng)險監(jiān)測需求。通過代碼分析引擎對應(yīng)用中集成的第三方SDK進行檢測分析，解析SDK列表，并將各SDK的權(quán)限申請及動態(tài)調(diào)用狀況、風(fēng)險漏洞情況、敏感數(shù)據(jù)存儲情況等信息進行歸類，明確問題源頭。通過網(wǎng)絡(luò)捕獲技術(shù)，進行網(wǎng)絡(luò)流量捕獲記錄，并根據(jù)流量數(shù)據(jù)識別并提取相應(yīng)的資產(chǎn)信息，分析數(shù)據(jù)流，監(jiān)測違規(guī)數(shù)據(jù)的收集和共享。2.4 檢測內(nèi)容1、APP隱私違規(guī)檢測內(nèi)容：（1）檢測是否存在未公開收集使用規(guī)則問題；（2）檢測是否存在未明示收集使用個人信息的目的、方式和范圍問題；（3）檢測是否存在未經(jīng)用戶同意收集使用個人信息問題；（4）檢測是否存在違反必要原則，收集與其提供的服務(wù)無關(guān)的個人信息問題；（5）檢測是否存在未經(jīng)同意向他人提供個人信息問題；（6）檢測是否存在未按法律規(guī)定提供刪除或更正個人信息功能或未公布投訴、舉報方式等信息問題；2、APP漏洞風(fēng)險檢測內(nèi)容：（1）檢測是否存在編碼規(guī)范安全問題；（2）檢測是否存在代碼安全問題；（3）檢測是否存在數(shù)據(jù)安全問題；（4）檢測是否存在常見安全漏洞；（5）檢測是否存在發(fā)布規(guī)范安全問題；APP安全合規(guī)檢測結(jié)果及分析3.1 APP隱私違規(guī)檢測3.1.1 個人信息收集合規(guī)情況依據(jù)《APP違法違規(guī)收集使用個人信息行為認定方法》、《個人信息保護法》及其他相關(guān)政策法規(guī)，從“未公開收集使用規(guī)則”、“未明示收集使用個人信息的目的、方式和范圍”、“未經(jīng)用戶同意收集使用個人信息”、“違反必要原則，收集與其提供的服務(wù)無關(guān)的個人信息”、“未經(jīng)同意向他人提供個人信息”、“未按法律規(guī)定提供刪除或更正個人信息功能或未公布投訴、舉報方式等信息”這6個層面過對這8607款應(yīng)用進行抽調(diào)檢測。經(jīng)檢測發(fā)現(xiàn)，其中存在“未明示收集使用個人信息的目的、方式和范圍”占比高，達62.7%；其次是“未經(jīng)用戶同意收集使用個人信息”占52%。3.1.2 常見違規(guī)收集個人信息分析1. 未經(jīng)用戶同意收集使用個人信息在存在未經(jīng)用戶同意收集使用個人信息方面問題的APP中，主要存在的問題包括：APP隱私政策等收集使用規(guī)則是否難以閱讀，如文字過小過密、顏色過淡、模糊不清，或未提供簡體中文版等。如下圖所示APP中的閱讀政策即存在文字過小，難以閱讀的問題。APP隱私政策需要對APP運營者基本情況進行描述，至少包括組織或公司名稱、注冊地址或常用辦公地址、個人信息保護工作機構(gòu)或相關(guān)負責(zé)人聯(lián)系方式。如下圖所示APP中即存在未對APP運營者組織或公司名稱、注冊地址或常用辦公地址等進行描述的問題。2. 未明示收集使用個人信息的目的、方式和范圍在未明示收集使用個人信息的目的、方式和范圍方面問題的APP中，主要存在的問題包括：APP未逐一列出APP(包括委托的第三方或嵌入的第三方代碼、插件)收集使用個人信息的目的、方式、范圍等等。如下圖所示APP中，極光SDK在描述其所采集的個人信息（左圖）時與實際收集情況（右圖）有缺失，少了收集獲取位置信息等的相關(guān)說明。APP在申請打開可收集個人信息的權(quán)限，或申請收集用戶身份證號、銀行賬號、行蹤軌跡等個人敏感信息時，是否同步告知用戶其目的，或者目的不明確、難以理解。如下圖所示APP中，在申請獲取位置、設(shè)備等信息前未告知用戶其目的。3. 未經(jīng)用戶同意收集使用個人信息在未經(jīng)用戶同意收集使用個人信息方面問題的APP中，主要存在的問題包括：APP以默認選擇同意隱私政策等非明示方式征求用戶同意。如下圖所示APP中，在登錄時以默認選擇同意隱私政策的方式征求用戶同意。APP未向用戶提供撤回同意收集個人信息的途徑、方式。如下圖所示APP中，在隱私政策及APP中均未提供撤回同意收集個人信息的途徑、方式。4. 違反必要原則，收集與其提供的服務(wù)無關(guān)的個人信息在違反必要原則，收集與其提供的服務(wù)無關(guān)的個人信息方面問題的APP中，主要存在的問題包括：APP收集的個人信息類型或打開的可收集個人信息權(quán)限與現(xiàn)有業(yè)務(wù)功能無關(guān)。如下圖所示APP中，在登錄操作時要求獲取與當(dāng)前登錄服務(wù)無關(guān)的位置權(quán)限。因用戶不同意收集非必要個人信息或打開非必要權(quán)限，拒絕提供業(yè)務(wù)功能。如下圖所示APP中，在用戶不同意打開攝像頭權(quán)限后，拒絕提供如上傳本地圖片作為頭像業(yè)務(wù)。5. 未按法律規(guī)定提供刪除或更正個人信息功能或未公布投訴、舉報方式等信息在未按法律規(guī)定提供刪除或更正個人信息功能或未公布投訴、舉報方式等信息息方面問題的APP中，主要存在的問題包括：更正、刪除個人信息或注銷用戶賬號等用戶操作已執(zhí)行完畢，但APP后臺并未完成的。如下圖所示APP中，注銷賬戶完畢后用戶手機號等信息未立即同步刪除。雖提供了更正、刪除個人信息及注銷用戶賬號功能，但未及時響應(yīng)用戶相應(yīng)操作，需人工處理的，未在承諾時限內(nèi)完成核查和處理。如下圖所示APP中，承諾期限超過了規(guī)定要求的15個工作日。3.2 APP風(fēng)險漏洞檢測使用代碼反編譯技術(shù)，進行代碼層的應(yīng)用安全檢測，從編碼規(guī)范、發(fā)布規(guī)范、代碼安全、環(huán)境安全、組件安全、數(shù)據(jù)安全和安全漏洞7各層面，分析應(yīng)用存在的漏洞風(fēng)險，共采集應(yīng)用安全風(fēng)險80余項。3.2.1 編碼規(guī)范檢測情況3.2.2 代碼安全檢測情況3.2.3 數(shù)據(jù)安全檢測情況3.2.4 常見安全漏洞檢測情況3.2.5 發(fā)布規(guī)范檢測情況治理展望針對目前的APP安全現(xiàn)狀，我們發(fā)現(xiàn)基于片面的APP安全防護甚至忽視安全防護無法達到有效的APP治理效果，有必要從APP全生命周期的角度出發(fā)，打造一套集開發(fā)測試、發(fā)布、運行、運營環(huán)節(jié)于一體的APP合規(guī)應(yīng)用發(fā)布平臺。APP合規(guī)應(yīng)用發(fā)布平臺的實現(xiàn)總體可以分為兩個子平臺，將面向終端用戶的業(yè)務(wù)平臺和開發(fā)者平臺分開。業(yè)務(wù)平臺包括：合規(guī)應(yīng)用展示下載、實時行業(yè)資訊和業(yè)務(wù)管理等；開發(fā)者平臺包括：業(yè)務(wù)模塊和引擎組件兩部分。業(yè)務(wù)模塊包括：安全服務(wù)、數(shù)字身份憑證管理、監(jiān)測服務(wù)和定期發(fā)布盡職調(diào)查報告等功能。APP盡職調(diào)查報告深入全面透視APP市場數(shù)據(jù)及安全狀況，監(jiān)測300+APP分發(fā)渠道，向開發(fā)者和用戶提供便利的APP市場數(shù)據(jù)分析服務(wù)，包括APP在各渠道版本、下載量、評論及評分、是否存在盜版仿冒等情況，幫助開發(fā)者和用戶全面掌握APP信息。引擎組件包括：安全加固引擎、隱私檢測引擎、漏洞檢測引擎、爬蟲引擎等。全流程解決方案具體如下：（1）開發(fā)測試階段：提供APP安全合規(guī)檢測，包括：APP風(fēng)險漏洞檢測、SDK檢測、APP權(quán)限檢測、APP隱私合規(guī)檢測等；針對存在的安全問題提供完善的解決方案，包括：APP加固、SDK加固、SO加固、H5加固、小程序加固等。（2）發(fā)布階段：APP上報；APP認證備案；一鍵式應(yīng)用發(fā)布；對待發(fā)布APP進行風(fēng)險漏洞檢測，及時阻斷存在中高風(fēng)險的應(yīng)用；對檢測通過的APP頒發(fā)在鏈上的數(shù)字身份憑證。（3）運行階段：提供對上架到平臺的APP的渠道管理；方便開發(fā)者對APP進行版本管理、發(fā)布管理操作。（4）運營階段：定期發(fā)布APP盡職調(diào)查報告；對盜版、仿冒等應(yīng)用的定期安全監(jiān)測和風(fēng)險識別，助力APP開發(fā)商后期運營維護。在整個全鏈路的APP治理流程中，包含了對APP的安全檢測、安全加固、隱私合規(guī)檢測、應(yīng)用發(fā)布、APP上鏈、渠道監(jiān)測等眾多服務(wù)。這種APP全流程落地的治理模式，可以實現(xiàn)對APP全生命周期一站式的安全解決方案，對上架到平臺的APP做到全方位治理，營造清朗的網(wǎng)絡(luò)環(huán)境，進一步為各行各業(yè)進行安全賦能。區(qū)別于傳統(tǒng)的APP發(fā)布平臺，除了將APP安全技術(shù)運用到各個流程階段外，還規(guī)劃了APP安全合規(guī)知識專區(qū)、盡職調(diào)查報告和APP數(shù)字身份憑證三大功能。APP安全合規(guī)知識專區(qū)，定期更新行業(yè)新安全合規(guī)相關(guān)資訊和文件，方便開發(fā)者學(xué)習(xí)提升APP安全開發(fā)能力與素養(yǎng)。APP盡職調(diào)查報告實時追蹤APP市場動態(tài)，提供數(shù)據(jù)分析服務(wù)，助力開發(fā)者和用戶全面掌握APP信息和相關(guān)行業(yè)線索。APP數(shù)字身份憑證，結(jié)合區(qū)塊鏈的分布式數(shù)字身份技術(shù)，為每個通過漏洞檢測、隱私檢測等滿足合規(guī)要求的可信APP在鏈上生成一個不可篡改的，用來標(biāo)識與管理的標(biāo)識信息，構(gòu)建統(tǒng)一的應(yīng)用身份體系，為切實推動APP全鏈路治理提供安全保障。未來，在 Web3.0 時代，區(qū)塊鏈技術(shù)的日益成熟，為數(shù)字化轉(zhuǎn)型升級帶來全新機遇，新舊技術(shù)的交替將拓寬APP安全合規(guī)的道路。APP合規(guī)應(yīng)用發(fā)布平臺也將不斷推陳出新，平臺的發(fā)展不僅要盡量滿足當(dāng)前狀況下的移動安全問題，對于正在演進以及未來可能會對移動安全產(chǎn)生影響甚至是變革的理念和技術(shù)，也要充分研究并在管理平臺接下來的發(fā)展中得以體現(xiàn)。