警惕网络安全:App平均收集20项个人信息

?

作者:金叶

在当前数千个具有大量下载量的移动应用中,每个应用平均申请25个权限,其中超过30%的应用申请了与业务无关的电话相关权限。

随着信息技术的发展,在互联网传递更多信息的同时,信息保护也存在更大的安全隐患。

国家互联网应急中心(以下简称“CNCERT”)13日发布的《2019 年上半年我国互联网网络安全态势》(以下简称“报告”)表明,尽管2019年上半年中国基本网络运营基本稳定,没有发生过大规模的网络安全事件。但是,数据泄露事件和风险,有组织的分布式拒绝服务攻击干扰了中国重要网站的正常运行,并且经常发生鱼叉式网络钓鱼邮件攻击。许多高风险漏洞已经暴露出来。中国的网络空间仍然面临着许多风险和挑战。

根据监测数据,与2018年上半年的数据相比,2019年上半年中国常见的“零日”漏洞数量,通知关键信息基础设施的事件类型漏洞数量,篡改次数,植入后数量和假冒网站数量随着数量的增加,其他类型的监测数据已经减少或基本持平。

在云平台安全方面,2019年上半年,与2018年相比,云平台上的网络安全事件或威胁进一步加剧。中国主流云平台上发生的各类网络安全事件的比例仍然很高。

feac-icapxpi4457356.jpg

在工业互联网安全方面,中国共发现6814台网络化工业设备,涉及来自西门子,威伊克Autocontrol和罗克韦尔等37家国内外厂商的50种设备。其中,高风险漏洞设备约占34%。这些设备的制造商,型号,版本,参数和其他信息已被恶意嗅探了很长时间。仅在2019年上半年,嗅探事件达到了5151万。此外,CNCERT在中国发现了40多个具有一定用户规模的大型工业云平台,涉及能源,金融,物流,智能制造,智能城市,医疗卫生等方面。它还监测到大规模的工业云平台,如Genyun,航空云网络,COSMOPlat,OneNET,Ocean Connect,都不断受到攻击。工业云平台已成为网络攻击的关键目标,如拒绝服务,暴力破解等。

960e-icapxpi4457161.jpg

该报告还显示了关键行业的安全性。由于网络配置遗漏的问题,与国民经济和民生有关的重点行业监测管理系统可能直接暴露在互联网上。今年上半年,CNCERT对水电医疗卫生行业网络化监控管理系统进行了网络安全监控和分析。结果发现,139个与水电行业曝光有关的监测和管理系统涉及生产管理和生产监测,709个涉及医疗卫生行业曝光的数据管理系统涉及医疗信息和生产监测。有两种类型的基因检测。

中国信息通信技术华东分公司首席规划师何仁龙告诉第一财经记者,工业互联网的生产能力需要与互联网连接。一旦受到攻击,生产能力可能会被破坏。因此,不仅要关注网络安全,数据安全,还要关注设备安全,控制安全和应用安全等方面。 “例如,如果你想控制安全性来接受指令,那么指令会混乱或丢失,这将导致问题。”他建议,除了基本保护之外,用户还应该采用更多的安全系统,并针对网络架构和平台的传感端。监控合法性,云平台架构数据流和设备终端合法性。 “例如,有些医院没有经过多次测试就没有连接到终端,并且存在许多隐患。”

电子科技大学教授周涛告诉记者,工业控制是工业互联网的一个大问题。目前,有两种主要类型的本地部署和访问工业互联网。许多大型企业正在采用本地部署。 “这是生产线上的算法,不太安全。”但是,由于资金压力,中小企业普遍采用云服务,包括一些大型企业也将采用云服务,这涉及到工业安全问题。攻击可能导致大的生产缺陷,甚至有些参数未知的情况。

此外,在移动互联网终端应用方面,报告显示,中国的应用商店数量已超过200家,已申请近500万件,下载总量已超过1万亿。与此同时,还有大量的移动应用程序强制授权,过多的索赔和过多的个人信息收集。 CNCERT监控分析发现,在目前数以千计的下载量较大的移动应用中,每个应用程序平均申请25个权限,其中超过30%的应用程序申请了非业务相关的呼叫;该应用程序平均收集20个个人信息和设备信息,包括社交,旅行,招聘,办公室,音频和视频等;大量应用程序具有异常行为,例如检测其他应用程序或读取和写入用户设备文件,对用户的个人信息安全构成潜在的安全威胁。

目前,中国正在努力推动数据保护的规则,法规和标准的制定。自2019年以来,国家互联网信息办公室已与各行业机构研究并起草了《数据安全管理办法(征求意见稿)》,《网络安全审查办法(征求意见稿)》,《个人信息出境 安全评估办法(征求意见稿)》,《儿童个人信息网络保护规 定(征求意见稿)》,《App 违法违规收集使用个人信息行为 认定方法(征求意见稿)》等。