Durante la Semana Nacional de Publicidad sobre Seguridad Cibernética de 2019, Yang Chunyan, inspector de primer nivel y subdirector de la Oficina de Coordinación de Ciberseguridad de la Administración Central del Ciberespacio de China, presentó que en respuesta a la actual autorización forzosa de aplicaciones, reclamos excesivos de derechos y recopilación excesiva de información personal, uso ilegal e ilegal de información personal y otros problemas de seguridad de datos, la Administración Central del Ciberespacio de China redactó las "Medidas de gestión de seguridad de datos", "Medidas de evaluación de seguridad de salida de información personal ", "Aplicaciones de recopilación ilegal y uso de métodos de identificación de información personal" y "Aplicaciones de Internet móvil (App)". Se han solicitado públicamente opiniones sobre una serie de documentos institucionales como los "Estándares básicos para la recopilación de información personal".
Cyber Security Expo muestra herramientas contra el crimen negro (Foto de Li Zhengwei)
La relación entre App, App Store y SDK no se puede ignorar
“App Hay una concentración de datos de usuario. Entre ellos, la tienda de aplicaciones es un canal importante para la distribución de aplicaciones, y muchos fabricantes de dispositivos también preinstalarán aplicaciones, y los SDK de terceros también son una parte importante del desarrollo de aplicaciones. Foro de Protección de la Información” celebrado durante la semana de promoción, dijo China Wei Liang, director del Instituto de Investigación de Seguridad del Instituto de Investigación de Información y Comunicaciones.
Mencionó que desde la perspectiva de un operador, cuanta más información personal recopile una aplicación, más servicios valiosos podrá ofrecer a los usuarios. Por tanto, existe una contradicción natural entre los servicios convenientes y la protección de la información personal. "El proceso de prestación de servicios también debilita la autonomía y el poder de toma de decisiones de la información personal. A través del análisis de big data, esta información puede convertirse en información personal o incluso en información sensible. Por lo tanto, es necesario equilibrar la relación entre la protección de la información personal y servicios convenientes."
Hoy en día, la mayoría de las aplicaciones incluyen un SDK (kit de desarrollo de software). En este sentido, Wei Liang dijo que el uso de SDK puede mejorar la eficiencia y reducir costos. En muchos casos, los fabricantes no quieren utilizar SDK. Por ejemplo, si está creando una aplicación de catering pero no tiene las licencias pertinentes para mapeo y pago, debe utilizar un SDK de terceros; sin embargo, los derechos y responsabilidades en el proceso de recopilación de información posterior requieren más investigación;
Además, no se puede ignorar la relación entre App y App Store. Wei Liang dijo que las tiendas de aplicaciones tienen responsabilidades de gestión de las aplicaciones, pero el alcance y los límites de las responsabilidades de gestión son una cuestión importante. "Mientras la usamos, también descubrimos que la aplicación puede pasar por alto la App Store y puede haber nuevos códigos y nuevos requisitos de derechos después de que se actualice el software".
El fenómeno de la recopilación encubierta y engañosa de información de los usuarios es obvio.
En enero de este año, cuatro departamentos, incluida la Administración Central del Ciberespacio de China, emitieron conjuntamente la "Acción Especial de Control de Datos Ilegales". Anuncio de recopilación y uso de información personal por parte de aplicaciones. Al 31 de agosto, el equipo especial de gobierno recibió más de 8.000 informes del público a través de la cuenta pública de WeChat "App Personal Information Report", seleccionó cerca de 600 aplicaciones con una gran cantidad de usuarios y estrechamente relacionadas con la vida de las personas para su evaluación, y supervisó. 200 aplicaciones con problemas graves. Las aplicaciones restantes fueron rectificadas y más de 800 puntos problemáticos estuvieron involucrados en la rectificación.
Al respecto, He Yanzhe, miembro del Grupo de Trabajo Especial de Gobernanza de Aplicaciones, hizo un resumen: Solo hay unos pocos casos en los que no existe una política de privacidad, principalmente cuando los usuarios deben abrir múltiples permisos. para recopilar información personal a la vez y al solicitar permisos explicar sincrónicamente el propósito a los usuarios, etc.
En cuanto a los problemas típicos que existen en las aplicaciones, Wei Liang cree que la situación de "recopilación encubierta de información personal" es grave. Algunas aplicaciones comienzan a recopilar y cargar información personal sin el consentimiento personal del usuario, como el número de teléfono móvil, la dirección MAC (dirección LAN), la contraseña de la cuenta, etc. Algunas de ellas obtienen sin darse cuenta permisos de alto riesgo del sistema, etc.
Además, Wei Liang mencionó que también existe el fenómeno de recopilar información personal más allá de las expectativas psicológicas de los usuarios. Por ejemplo, después de que un usuario apaga el GPS, piensa que ya no se recopila información de ubicación personal, pero de hecho, la ubicación aún puede monitorearse a través del WiFi del usuario.
"También hay situaciones en las que se engaña a los usuarios para que acepten la recopilación de información personal. Por ejemplo, 'Permita el permiso para abrir la libreta de direcciones del teléfono móvil para que pueda leer el número de teléfono del contacto y recargar '. Esta es información engañosa. La otra parte quiere obtener el registro de comunicaciones del usuario ", dijo Wei Liang.
Los riesgos de seguridad de los SDK de terceros tampoco se pueden ignorar.
"Una gran cantidad de aplicaciones tienen SDK integrados, y los propios SDK de terceros tienen vulnerabilidades de seguridad y pueden convertirse fácilmente en una forma para que se propague código malicioso. Especialmente cuando la información personal se recopila en secreto, es difícil para la parte de la aplicación comprender la situación. ".
Ren Yan, director del Centro Nacional de Emergencias de Internet, mencionó que muchos SDK de aplicaciones de terceros han sido "explotados" por industrias negras. En el primer semestre de este año, se detectaron más de 1 millón de programas maliciosos. Un análisis especial de los SDK que obtienen información personal de forma encubierta encontró que había muchos fenómenos ilegales y pornográficos en 3.600 aplicaciones de chat, la mayoría de ellos eran SDK maliciosos que robaban los datos de los usuarios. información personal.
Las empresas necesitan autodisciplina, pero también estándares primero
A juzgar por las aplicaciones móviles que la gente usa todos los días, la seguridad de la información personal involucrada es compleja y diversa, e involucra múltiples temas ". Requiere que los departamentos gubernamentales, las empresas pertinentes, las empresas de aplicaciones, las empresas de SDK, las empresas de telefonía móvil, las empresas de tiendas de aplicaciones, las organizaciones industriales, las instituciones de investigación, etc. lo manejen juntos", dijo Wei Liang al hablar de la solución.
"Es necesario acelerar la legislación y perfeccionar las regulaciones para la recopilación y el uso de información personal". Wei Liang dijo que las regulaciones legales actuales no pueden satisfacer las necesidades reales, y es necesario promover la introducción de la Ley de Protección de Información Personal lo antes posible para aclarar los derechos y obligaciones de protección de información personal y, al mismo tiempo, fortalecer la investigación de actividades ilegales, analizar y juzgar cuestiones como la propiedad de datos y la protección de activos de datos; aclarar los límites legales y ordenar las líneas legislativas.
"El primero es a través de medios técnicos, y el segundo es a través de medios de gestión científica. El primero evita que se filtre información y mejora la protección sistemática de la información personal desde la identificación y el uso de los datos hasta el análisis del comportamiento; el segundo Implica también mejora la conciencia de seguridad de los empleados y el sistema de gestión de soporte técnico”, dijo Yang Mingfei, experto técnico de Skyguard.
En opinión de Tang Xin, director de la División Integral de la Oficina de Coordinación de Ciberseguridad de la Administración Central del Ciberespacio de China, si bien las empresas deben ser autodisciplinadas, también deben implementar "estándares primero". Muchas funciones adicionales de las aplicaciones también recopilan información, pero no se pueden utilizar porque el usuario se niega a proporcionar información, ni se pueden prohibir porque rechaza una o dos autorizaciones. "Esperamos resolver estos problemas mediante especificaciones estándar".