一周安全漫谈丨权威测试报告:10 款网购类 App 谁更尊重用户隐私?

首页 / 业界 / 资讯 /  正文
作者:藏青
来源:安全419
发布于:2023-02-07
权威测试报告10 款网购类 App 谁更尊重用户隐私?
 
本月2日,国家网信办公众号转发了一份由中国网络空间安全协会、国家计算机网络应急技术处理协调中心发布的一份 " 网上购物类 "App 个人信息收集情况测试报告。据悉,该报告选取了 19 家应用商店累计下载量排名前 10 位的 " 网上购物类 "App 进行测试,包括淘宝、京东、拼多多、华为商城、唯品会、淘特、手机天猫、苏宁易购、荣耀亲选、当当。该测试报告将启动App、搜索商品、购物下单、后台静默等常见场景下的系统权限调用、个人信息上传以及网络上传流量情况,逐一说明,10款主流购物App的个人信息收集情况一览无余。
 
测试发现,上述10款App上传了6种类型个人信息,包括:①位置信息,包括经纬度、街道地址等;②设备识别码、Android ID、手机MAC地址等;③剪切板内容信息,包括商品分享链接、最近复制的文本等;④应用列表信息,包括手机上已安装、正在运行、新安装和新卸载的应用信息等;⑤购物信息,包括商品搜索词、订单信息等;⑥登录信息,包括用户ID、登录状态等。
 
在启动App场景中,拼多多上传个人信息种类最多;在搜索商品场景中,个人信息上传种类最多的为拼多多和手机天猫。在购物下单场景中,个人信息上传种类最多的为淘宝、京东、苏宁易购。在后台静默场景中,个人信息上传种类最多的为拼多多。
 
在信息时代和网络空间,个人信息也是一种资产,本身具有一定的价值,更会带来衍生的价值,在某种意义上来说,属于利益链的最前端。谁掌握了用户信息,谁就掌握了用户资源,就能够实现精准推广、精准营销。
 
虽然调用权限次数并不能说明存在违规,但从这一报告中也不难看出,谁对用户隐私更加尊重。期待在全社会公众的督促下,这些购物类App所属企业能够以身作则,戒除超范围收集与功能无关的个人信息、强制或频繁索要无关权限的弊病。
 
又见拍照泄密事件 某米汽车供应商被罚100万元!
 
近日,某米汽车设计文件泄密一事在业内引发关注。
 
据悉,近日有多名汽车博主在社交媒体上发布了据称为某米MS11车型的相关图片,展示了某米汽车保险杠、某米MS11的装饰件等相关细节。针对网传内容,某米集团公关部负责人进行了正面回应,他表示,的确是二级供应商保密的设计文件泄密;该供应商仅仅是为模具打样的供应商,泄密的文件是非常早期的招标过程的设计稿,并非最终文件;公司一定会根据与该供应商签订的保密协议进行严肃处理。
 
2月2日,某米汽车公布了针对此前的“设计文件泄露”事件做出最终的处理结果:将依照《保密协议》处以100万元的经济赔偿,责成其对下游供应商加强信息安全管理,并对泄密人进行处理。
 
显而易见,根据网传图片,泄露信息主要来自于屏幕拍照。这些文件应该不仅仅是“二级供应商”有,某米集团有,各个关联供应链可能也有,并且,每个环节/单位不止一个员工能够查看。
 
对企业而言,内部敏感和商业数据保护十分关键,一旦公司的机密信息遭到内鬼泄露,很可能给企业形象和业务带来极大的损失,甚至极有可能被竞争对手提前获悉抢占先机。
 
据安全419此前采访了解,针对拍照泄密的场景,目前已经有不少安全厂商都提出了相应的技术解决方案,可以分享给大家参考。比如移动安全厂商指掌易提供的解决方案中,能够以电子围栏的技术手段在核心区域禁止智能手机拍照功能;数据安全厂商数安行以显性水印的方式来实现高敏感度场景下防止泄密和更快溯源,找到泄密者;另一新型数据安全厂商高维数据,则创新研发了“电-光-电”跨媒介隐形水印技术,推出“屏幕拍摄泄密溯源取证系统”,以有效解决屏幕被截屏、拍屏造成的泄密溯源难题。
 
在人手一部智能手机的时代,拍屏、截屏转发非常方便,且拍屏图不经过企业内部网络,几乎完全脱离管控。发生在人员离职、委托生产、供应链内部分享、对外展示...等等环节中的拍照泄密,目前已经成为主要的信息泄露方式,泄露事件一旦发生,轻则造成经济损失和舆论危机,重则危害国家安全。
 
事实上,某米汽车并非个例,类似拍照泄密的事件早已屡见不鲜,面对这样的数据泄露隐患,我们也建议企业负责人们及时采用相关技术手段,提高违规泄密的风险成本,形成有效安全管理措施,尽早将泄密风险降到最低。
 
监管发文:国家能源局再度强调电力行业网络安全
 
近日,国家能源局发布《2023 年电力安全监管重点任务》,确保电力系统安全稳定运行和电力可靠供应,推动全国电力安全生产形势持续稳定向好。
 
《任务》中指出,推进电力行业网络与信息安全工作。组织开展网络安全五年行动计划中期评估,持续推进电力行业网络安全“明目”“赋能””“强基”行动。加强网络安全态势感知能力建设,推进国家级电力网络安全靶场建设,组织开展年度攻防演练。修订行业网络安全事件应急预案,建立完善网络安全监督管理技术支撑体系推动量子计算、北斗、商用密码等在电力行业的应用。
 
参考相关文件,商用密码、网络靶场等相关领域厂商,有望扩大相关产品在电力行业的进一步应用。
 
关注安全419,我们下周再见~