复杂的安全环境里,华为应用市场如何给用户吃下“定心丸”?
一面是用户对手机的依赖越来越强,另一面是当下复杂的互联网安全环境中各种问题频出。人们在享受数字化便利的同时,也在承受着网络安全和隐私保护方面的隐忧及危害。这中间,需要值得信任的平台为用户当好“守门人”,让用户更安心、更省心。
手机已经成为人类最亲密的伙伴,在生活中的重要性日益提升。一方面,用户日均使用手机时长在不断增长,中国互联网络信息中心(CNNIC)报告显示我国网民人均每周上网时长达到28.5个小时;另一方面,人们吃穿住行医等生活的方方面面都离不开手机,手机已经与生活紧密耦合。
当手机成为我们不可或缺的“伙伴”,那么手机的安全问题也就愈发重要。今年央视“315晚会”中多个曝光事件都与信息安全相关,这也让很多用户对手机的安全问题更为重视。
针对公众对互联网应用安全问题的高度关注,华为应用市场于今年3月25日发布了《华为应用市场2021年度安全隐私报告》(以下简称“报告”)。报告结合全方位安全审核保障体系、数据、专项及案例等,透过华为应用市场在去年的这些数据和案例,我们可以更加清晰地了解当下移动应用生态的安全态势。
-01-
无论能否看见,风险就在那里
现在,人们每天都会有几个小时在使用手机,看视频、买商品、听音乐、读书、打车、社交……我们在使用一些涉嫌违规的手机应用的时候,可能在不知不觉间已经被盗走了个人信息,或是被别有用心的商家利用个人数据牟利,或是悄悄地被推送了商业广告。一般情况下,用户对这些行为并不敏感,也无法识别恶意应用,只有真正出现大的问题后,才会意识到手机里存在诸多安全隐患。
央视315晚会曝出来的几件事,向用户再次敲响了警钟:315信息安全实验室对“免费Wi-Fi连接”进行测试,结果不仅没有连上Wi-Fi资源,在测试结束后反而有两个陌生应用程序自动下载到了手机里。通过测试发现,这类应用打着“免费”的幌子,有的往用户手机里安装未知应用,有的则是在后台违规收集用户信息。
另一款叫“雷达Wi-Fi”的应用程序,甚至可以定位用户一整天的行为轨迹。一款销量超10万支的低配儿童智能手表,被植入了恶意程序,商家可以轻易获得使用者的位置、人脸图像、录音等隐私信息,还能实时听到孩子和家人的聊天内容,安全隐患可想而知。
这么多与手机安全相关的安全问题曝光,无疑是在向给用户郑重提醒,在体验手机带来的便利性同时,更要重视手机信息安全。
事实上,315曝光出来的只是冰山一角。信息安全问题涉及方方面面,从系统安全到帐号安全,从内容合规到隐私合规,从数据安全到支付安全……正是因为问题的严重性,工信部一直在持续推进APP个人信息保护专项整治:2021年全年组织对208万款APP进行了技术检测,通报违规1549款,下架514款。在这样的整治力度下,依然有违规APP不断“翻新”,工信部在今年一季度又对61万款App进行检测,发现并通报了134款违规App。
无论你是否看见,风险就在那里。除了用户已知的,还有很多未知的风险和不断变脸翻新的新风险。这些问题有些影响可大可小,有的非常直观,有的又极为隐秘,但最终都会影响用户的个人权益。
针对各种风险,业内人士给出一些善意的提醒,比如尽量选择官方渠道,特别是投资理财、银行类APP,不要下载来历不明的山寨APP;在使用APP时,如若遇到麦克风/摄像头/位置提供“授权”和“仅使用期间允许”功能,要尽量取消授权和使用位置功能;不再使用APP时应彻底退出,如果退出不彻底会给后台运行的恶意程序以可乘之机;谨慎授予APP“发送短信”、“读取短信”、“读取联系人”、“读取位置信息”等权限。
对于绝大多数用户而言,最省心、省力的方式就是选择有技术能力、有责任担当的大平台。
-02-
产业协同解决复杂且持久的难题
这些不安全的应用,究竟是怎么“跑”到用户手机里的呢?
有些,是下载渠道的问题,开放的生态在带来便捷的同时,也会带来各种各样的下载安装渠道,很多入口得不到监管,各类平台、搜索引擎、信息流对有关部门指示落实的程度也有区别。
其次,有些渠道虽然管理规范,但是黑产或灰产过于狡猾,善于隐藏和变身诱使用户上当。比如“变脸应用”,白天打开是正规界面,晚上就跳转到买卖帐号的界面;公司所在地的用户打开是正规界面,在平台买卖过帐号的用户打开就是非法界面。所以,即使平台有很严格的审核,也还需要更有责任心、更严格的机制,对应用进行复检。
据《报告》显示,去年华为应用市场在应用复测中发现的涉嫌违规TOP3问题分别为:隐私问题、广告问题、未成年人保护问题。针对各类涉嫌违规的应用,华为应用市场工作人员经核实确认后,都会第一时间对其进行整改/下架等相应处理。
就以上这些问题来分析,当前安全隐私领域的形势具有广泛、复杂、多变、影响大等特征。这有点像当年PC时代的病毒,只要有利益的诱惑,安全和隐私问题就很难彻底杜绝,病毒不断进化,杀毒软件也要不断升级,这将是一场持久战。
面对这样复杂的持久战,用户很难以一己之力来解决,这需要产业各方共同努力。
首先,监管部门对互联网用户安全隐私保护非常重视,出台了相关法律法规,更加明晰边界,从宏观层面加强监管。去年相继出台的《数据安全法》《个人信息保护法》,还有此前的《网络安全法》,都是我国数据治理方面的“基本法”。此外,各政府部门还会针对重点问题展开专项检查,比如去年工信部开展了APP侵害用户权益专项整治行动。
同时,只有政策的支持恐怕还不够,智能手机作为现在人们最重要的智能设备,从个人用户层面应该更加重视,避免出现不可挽回的损失。无论是315曝光,还是华为的《安全隐私报告》,都是对用户群体的主动提醒。
此外,需要产业界各方一起努力。开发者需要自觉自省,手机厂商需要在产品上通过软硬件进行防控,以及应用分发平台也需要承担履行相应的管理责任。
在这场持久战中,应用分发平台将是一个关键的“守门人”。平台不仅要监管、审核,还要充分做好沟通、宣传、引导,以及平台的技术保障。
一是要与开发者保持沟通,引导开发者了解上架审核规则和标准,按要求公开隐私、权限等信息;二是要恰到好处地对用户进行引导,引导用户从正规途径获得服务,确保个人利益;三是要有很强的安全技术储备,并且在机制设置上更严谨,确保用户的利益不受损害。
-03-
构建立体防护体系,为用户提供安心、省心的平台
安全隐私问题防不胜防,应用市场在解决安全隐私问题时起到举足轻重的作用——向下连接数以亿计的用户,向上连接百万开发者,同时承载法律、法规的落地实施。
今年1月5日,国家互联网信息办公室公布《移动互联网应用程序信息服务管理规定(征求意见稿)》,明确应用程序分发平台应当建立分类管理制度,对上架的应用程序实施分类管理,对申请上架的应用程序进行认证和审核等。此后国家网信办表示将针对应用程序信息服务乱象问题开展专项行动,以应用程序内容审核和分发平台上架审核为切入点,推动形成“平台管程序、程序管账号”的管理链条。显然,平台的责任越来越重大。
作为“守门人”的角色,华为应用市场连续四年发布安全隐私年度报告,这是一个平台的责任感,也是技术能力的自信。从这份报告中,我们看到华为应用市场建立了一个立体防护体系,理念+机制+体验+技术,多个维度构建起一道相对稳固的“大门”。
首先从理念上,华为将安全隐私问题视为企业的最高纲领。所谓最高纲领就是高于商业利益,是一道不可逾越的红线。
其次在机制上,华为应用市场在应用的全生命周期都设置了严格的检测机制和隐私保护功能,从开发者资质审核,到应用上架前安全检测,到应用下载和使用期间的管理,再到应用上架后的定期复测和用户反馈跟踪,通过四重检测守护应用的全生命周期隐私安全。
这一套机制有两大特点,一是严,二是全。其中特别值得一提的是复检机制,一些“变脸”应用在应用市场上架前的层层审核中通常都合规合矩,但在披上正规应用的外衣上架之后,便会通过云控开关或APP内部推送更新版本等手段玩“变脸”,侵犯用户的隐私和权益,甚至开展违法活动。
持续的应用复测,正是华为应用市场严防“变脸”应用伪装的一项重要保护性举措。
《报告》显示,华为应用市场对隐私政策、游戏防沉迷系统、应用内广告、未成年人保护、应用“变脸”等专项展开复测,复测应用超过20万款,主动处置问题应用超过了6万款,高效而显著地降低了使用的应用风险,让用户下载应用时更放心。
对于普通用户而言,体验也是重要一环。一些APP会向用户要求开放数据,很多用户在不知情的情况下就把自己的隐私授权出去。华为应用市场在 2021 年正式上线“隐私标签”,通过标签化、瀑布流的方式,优化信息呈现方,将 App 在运行过程中可能收集的个人信息类别和用途清晰地呈现,这样用户更容易理解和做出选择。
此外,华为应用市场还新增了“第三方共享信息清单”、“第三方 SDK 列表”和“个人信息收集清单”,用户可以随时查看自己的数据被哪些应用调用,做到了然于心。这样一来不仅降低了操作难度,还让更多用户可以做到对自己的隐私透明可控。
最后还有一点就是技术能力。华为应用市场目前已经获得 CSA STAR、ISO/IEC 27001、ISO/IEC 27701、ISO/IEC 27018 和ePrivacyseal 等多项国内国际权威隐私安全认证,网络安全和隐私保护能力处于全球领先水平。
其中 ISO/IEC 27701 认证的获得,意味着华为应用市场在产品设计、研发、运营和运维服务等环节,已经拥有相对完备的个人信息保护管理体系,在个人信息安全管理、透明性和隐私合规等方面可靠性更强。
可以看到,理念+机制+体验+技术,华为应用市场的这一严密立体防护体系将让用户更安心,也更省心。