歡迎訪問一定牛彩票网!

光明網:京東金融事件凸顯加強APP監管緊迫性

2019-03-04

        2月16日,微博用户“瘦出的肋骨已经消失的大侠阿木”曝光Android版本的京东金融APP会在后台窃取用户手机上其他金融APP的截图和用户拍照照片。此事迅速引起媒体和大量网友关注,有媒體報道京东金融APP偷偷窃取用户敏感数据并上传。

  京東金融方面對此事件迅速做出反應,于2月17日發布相關聲明,該聲明稱對微博發布的京東金融APP安全問題進行了調查,並組織技術人員進行了排查,聲明重點內容包括:

  1.安全團隊確認Android版京東金融5.0.5版本後的APP存在微博曝光的情況,其目的是方便用戶向在線客服反饋問題;

  2.該功能通過第三方庫實現截屏本地緩存和預覽縮略圖快速顯示,本地緩存的圖片並未上傳;

  3.承認京東金融APP存在問題,在切換到後台後,繼續對截圖、拍照等新增圖片進行緩存,屬于需求錯誤開發。

  京東金融在聲明中表示,將邀請權威機構對其APP進行全面的安全檢測,及時公告檢測結果,並邀請問題發現者、外部安全專家、媒體等人員組成信息安全顧問小組,對其APP産品、服務等進行長期檢查監督。

  目前該事件還沒有明確的結論,京東金融方的聲明也表達正視問題、解決問題的姿態。從當前公開的信息來看,京東金融APP即便最終證明其並未竊取和上傳用戶敏感信息,其對截圖進行緩存的行爲也可能導致用戶敏感信息泄露。希望此事件能引起相關監管機構的重視,及時組織權威公正的第三方進行調查,給出公正的結論。

  此事件也凸顯了加強APP監管的緊迫性。手機涉及使用者的大量個人敏感信息,包括個人信息、賬號口令、隱私以及用戶偏好和行爲數據等,這些信息的巨大價值必然會讓黑色産業鏈觊觎。

  中国软件评测中心網絡空間安全測評工程技术中心建议从以下几方面加强APP监管,保护用户合法权益。

  一是加强对APP的管理,对存在侵犯用户合法权益的恶意APP进行严厉打击。窃取用户个人信息等行为已经违反了国家相关法律规定,应对相关责任主体追究责任并严惩,对APP开发者形成威慑,使其不敢触碰红线。我国《刑法》、《网络安全法》等法律都具有个人信息保护相关条款,此外,《移动互联网应用程序信息服务管理规定》明确规定,“未向用户明示并经用户同意,不得开启收集地理位置、读取通讯录、使用摄像头、启用录音等功能,不得开启与服务无关的功能,不得捆绑安装无关应用程序” 。2019年1月25日,中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,决定自2019年1月至12月,在全国范围组织开展App违法违规收集使用个人信息专项治理。App运营者收集使用个人信息时,不得收集与所提供服务无关的个人信息,不得以默认、捆绑、停止安装使用等手段变相强迫用户授权。建议能形成长效机制,对APP持续监管,对恶意APP形成高压态势。

  二是形成对移动应用程序恶意行为定义、检测等的国家级规范,指导APP开发者和第三方检测机构相关工作。目前相关国家标准有2018年5月实施的GB/T 35273-2017《信息安全技术个人信息安全规范》、工信部行业标准YD/T 2439-2012《移动互联网恶意程序描述格式》,但这些标准还没有形成完整体系,无法全面发挥作用。

  三是形成對移動應用程序APP的第三方檢測機制。相關法律法規的完善和惡意APP治理都屬于事後處置,還應該加強對APP的事前檢測。一方面強化檢測標准完善和工具開發,另一方面強化第三方檢測能力建設,形成完善的檢測體系。對使用人數巨大或涉及用戶金融數據等重大敏感信息的APP,采取強制檢測後上架和持續監測的機制,防患于未然。

報道鏈接:http://tech.gmw.cn/2019-02/22/content_32545211.htm

 

网站地图