当智能终端应用软件处于正常工作状态时

2018-04-11 19:36 来源:未知

  秒速赛车平台恶意收费、流量耗费、侵害个人信息安全……你是不是也担心装个手机App,就“”了?4月16日,现代快报记者了解到,江苏预计在近期发布《智能终端应用软件安全性测评技术要求》(以下简称《技术要求》)地方标准,目前已在国标委备案完成。收集或修改用户数据、信息泄露、费用损失等方面都有了测评方法和标准。

  此次地方标准由江苏省软件工程标准化技术委员会提出,南京市质检院、国家软件产品质量监督检验中心(江苏)、江苏苏测软件检测技术有限公司、南京大学、国网电力科学研究院、南京慕测信息科技有限公司为主要起草单位。

  “这两年院里承担了部分手机产品的风险监测任务,对智能手机预置软件的卸载,收集消费者通讯录、通话信息、短信、位置信息情况,流量耗费,信息泄露方面进行检测。”南京市质检院、国家软件产品质检中心工程师刘艳介绍,结果显示,部分批次的手机预置软件不可卸载,存在未向用户明示并经用户同意,擅自收集信息以及擅自调用终端通信功能,造成用户流量耗费和信息泄露的风险。

  “我们也在应用商店抽了部分App进行下载测试,也存在擅自收集消费者各类隐私信息的风险。”刘艳表示,这些问题会占用大量手机内存,影响手机运行速度,偷跑手机流量,泄露用户隐私。

  如何解决这个问题?此次标准的主要起草人之一、国家软件产品质检中心副主任刘晓波介绍,目前国家层面还没有相应App软件安全的管理规范和检测标准。“以Android系统为例,它的系统开放程度较高,降低了开发者的门槛;但另一方面由于下载数量很多,对应用软件的质量监测力度就比较低,容易导致恶意应用软件下载、传播。”他表示,虽然各家应用商店有App上架规定,但规则不一,对用户的安全保护也比较弱。

  刘晓波表示,此次江苏发布地方标准,就是希望为App开发商(个人)、应用商店、行业管理提供一个App上架发布前检测技术标准参考,保证用户数据的安全存储,确保用户数据不被非法访问、不被非法获取、不被非法篡改。

  根据《技术要求》,恶意吸费,未经授权的修改、删除、向外传送用户数据等行为,都是不允许的。合格的应用软件本身不应该存在信息安全漏洞,不应该存在超出其功能范围收集手机用户隐私数据、故意偷跑流量、恶意消耗手机资源等安全隐患。

  具体测评方式是,当智能终端应用软件处于正常工作状态时,使用基于特征码扫描、静态源代码分析、动态行为监测等检测方法进行检测。若在用户没有确认的情况下,开启通话录音、本地录音、拍照/摄像和定位的行为,则测评结果为“不符合要求”。同样,若在测试中发现擅自调用终端通信功能,造成信息泄露的行为,也“不符合要求”。

  此外,安装卸载也有检测标准,不能捆绑下载其他应用软件。卸载要非常彻底,不能在系统中留下应用软件的临时文件和活动程序或模块。

  “技术测评有一定难度,需要专业检测机构检测。如果没有达到标准里的安全要求,建议暂停上架各类应用商店,经整改复测合格后再上架。”刘晓波表示,地方标准并不是强制标准,主要针对没有国家标准和行业标准的产品,效力低于国家标准与行业标准。他建议,经信部门、质量技术监督部门实施监管。

  对于消费者来说,由于目前移动应用软件暂无安全性标志,无法判断所用软件是否符合要求。他建议标准正式实施后,对经检测机构检测符合标准要求的应用软件,在应用商店上架或安装时向消费者展示带有检测机构logo的标志信息,告知消费者该应用软件已通过检测。

  此外,质监部门提醒消费者,不要在应用商店下载无名App、不要在USB模式下直接安装App、看到涉及隐私的危险权限要谨慎安装。同时,可以关闭位置信息访问权限,禁用后台进程,也可以借助第三方软件禁止广告。