10月9号,全国信息安全标准化技术委员会发布了国家标准信息安全技术智能手机预装应用程序的基本安全要求征求意见稿,并向社会公开征求意见,那么征求意见稿当中提出不可卸载的应用程序,应该提供停止使用的功能,用户选择停止使用之后不可卸载的应用程序,不应该再对用户的个人信息进行处理。
说起手机预装软件相信大家都不陌生,随便上网搜一搜,基本上都是消费者的吐槽。
近年来,随着国产手机品牌的快速崛起,手机预装软件早已成为行业惯例,也日渐成为公众吐槽的焦点。手机预装软件数量庞大、无法卸载、占用存储空消费者间、造成使用卡顿、弹出广告、软件后台偷跑流量等等,侵害用户合法权益的情况层出不穷,备受消费者诟病。
那相比闭环的iOS操作系统,预装软件行为主要发生在使用安卓系统的手机上。
此前,有IT媒体在线下门店实测了苹果、小米、华为、OPPO、vivo、荣耀等主流品牌的手机。根据测试结果来看,在安卓手机系统的各大主流手机中,系统占用内存均在16G左右,而苹果iOS系统及华为鸿蒙系统占用内存均为7G左右。在系统占用内存较大的安卓系统中,各手机品牌预装应用(包括基本功能类及第三方应用)的数量在10个—50个以上不等,甚至有品牌手机预装应用多达56个。
预装软件这一手机“顽疾”,在好几年前就已经引起了监管部门的重视。安全419了解到,早在2017年7,工信部印发的《移动智能终端应用软件预置和分发管理暂行规定》就已经明确规定,生产企业和互联网信息服务提供者应确保除基本功能软件外的移动智能终端应用软件可卸载。然而,5年时间过去,手机预装软件行为非但没有得到有效规范,反倒有愈演愈烈之势。
据了解,即将发布这个标准呢就将重点解决智能手机预装应用程序不可卸载,数量多、卸载难,以及过度索权、默认索权、隐蔽收集个人信息,智能手机生产企业缺乏对第三方预装应用程序的数据安全,个人信息保护审核管理等问题。
值得注意的是,征求意见稿专门设置了个人信息安全要求的小节,对于预装应用程序,对个人信息和敏感个人信息的收集和处理,作出了更加具体的要求。
相信随着新规的逐渐出台,手机预装软件卸载难、预装软件不经同意收集和处理敏感个人信息等行为,必将会受到严肃的惩处。
好,接下来我们再来看另一个热门事件。
10月7日,知名汽车品牌某田汽车发布公告称, 使用其T-connect系统服务的近30万名客户的电子邮件、客户编号等信息可能遭到泄露,并警告用户其电子邮箱可能面临收到垃圾邮件和钓鱼邮件的风险。丰田相关负责人表示,这一数据泄露事件主要发生在日本,中国地区的车主并未受到影响。
事实上,某田汽车本次数据泄露事件可以堪称“飞来横祸”。据官方调查发现,数据信息之所以被泄露,是因为开发T-Connect网站的承包商于2017年12月将部分源代码错误的发布到了GitHub上,其中还包含了存储客户电子邮件地址和管理号码的数据服务器的访问密钥。这就意味着,在近5年的时间里,未经授权的任何第三方,都可以毫无障碍的访问这部分客户数据,堪称滑了个稽。
发现问题后呢,某田第一时间将该代码仓库设为私有,并及时修改了数据库的密钥,目前已经解决了潜在的问题。
而同样的问题也并非首次发生,2021年6月,某众汽车也曾公开宣称,因为一家供应商在2019年8月至2021年5月期间将客户数据“未经保护”地留在互联网上,导致了330万名客户的数据遭泄露。
此前就有业界专家曾经表示,Github已经成为了数据泄露源头的重灾区,由外包开发商对源代码的错误处理引发的安全事件时有发生,因此在这里,我们还是要给开发的朋友们提个醒,一定要时刻注意安全习惯,提高安全意识,一个不慎因为自己的疏忽把甲方拉下水,可是要吃官司的。
京公网安备 11010802033237号
