您当前的位置:首页 > 手机百科 > 知识

小程序比APP更不安全?

时间:2020-09-09 16:56:20  来源:  作者:

 中国消费者报报道(记者武晓莉)近年来,移动应用软件(App)用户增长已经趋缓,而以小程序为主的轻应用正在成为互联网信息服务的重要入口。

  与APP相比,小程序无须安装、即点即用、少占内存,对用户来说是一种使用体验很好的快捷应用。但人们也担心,小程序比APP更快捷,那是不是比APP不安全呢?

  在与消费者日常生活不断融合的过程中,小程序难免会像APP一样涉及用户个人敏感信息,用户在享受便捷化服务的同时也面临着潜在的安全隐患。梳理新的风险隐患,针对性地提出对策建议,提升小程序安全保障能力刻不容缓。

  普及速度加快

  “近年来,小程序、快应用等新应用形态在蓬勃发展。”中国泰尔终端实验室信息安全部主任宁华指出,作为使用前端技术开发、在云声环境里进行渲染的免安装应用,这些即时应用包括了快应用、微信小程序、支付宝小程序,以及google的InstantAPPs等内容。这些应用的特点一是不需要安装,即点即用,但又具备了传统APP的完整应用体验;二是它的资源消耗少,能够避免由于APP安装引起的空间不足问题;三是它可以通过传统的应用市场、桌面图标、全局搜索以及PUSH推送等入口,快速直达内容详情,能够让消费者有更好的使用体验。“小程序一是功能简单,更加关注核心业务、主要功能的实现;二是使用便捷,用户通过搜索、点击、授权即可进入小程序获取服务,不需经历下载、安装、注册、卸载等过程,降低了用户的使用门槛;三是开发成本低。”中国信息通信研究院安全研究所信息安全研究部副主任张媛媛说。

  用户的多样化需求使小程序得以快速普及和应用,成为人们日常生活中获取互联网服务的主要载体。QuestMobile发布的《移动互联网全景生态流量洞察报告》显示,截至2019年11月,小程序总量超过450万个,日活跃用户突破3.3亿人。

  小程序已成为人们常用的互联网服务入口。阿拉丁研究院发布的《2019年小程序互联网发展白皮书》(以下简称《白皮书》)显示,2019年人均使用小程序数量超过60个,多于同期人均安装APP的个数;支付宝小程序用户次日留存率超过六成,微信小程序次日留存率超过五成。

  小程序实现了生活场景和适龄人口全覆盖,已经融入用户的日常生活。中国信息通信研究院发布的《小程序个人信息保护研究报告》显示,截至2020年4月,各平台内小程序覆盖11大类型,从小游戏、视频影音为代表的娱乐类应用到教育文化、旅游交通、日常工具、生活服务、体育健身、网络购物、新闻资讯、医疗健康、政务公益等服务类应用,涵盖日常生活中的常见场景,小程序已初步建立起生态体系。2019年上半年,小程序平台从2018年的2家增长至8家,腾讯、阿里、百度、字节跳动等多家头部互联网企业开始布局小程序。

  信息安全存风险

  “某购物类小程序,会向用户申请获取蓝牙权限,但是从其提供的功能和服务内容来看,这种信息采集的行为不合理。”张媛媛说,“我们测试发现,每一款小程序平均存在三个以上的安全问题。”

  记者调查发现,小程序不时暴露出违规收集使用个人信息的风险,由于涉及大量个人信息的采集与使用,存在着个人信息泄露、滥用和被盗取的风险。

  据张媛媛介绍,中国信息通信研究院今年上半年关注了四大主流小程序平台,从新闻资讯、生活服务、网络购物等10类典型的业务中,选取了知名度高、影响范围广、涉及较多个人信息的52款小程序进行了个人信息保护安全评测。从测试的内容看,小程序涉及的个人信息安全风险问题较为普遍,其中教育文化、旅游交通、新闻资讯类小程序的问题最为突出,主要集中在数据收集、传输以及删除等环节。

  未提供有效的隐私政策,侵害了用户的知情权。23%到76%的平台提供了隐私政策,其中只有不到四成的小程序提供了独立的隐私政策。例如某共享单车小程序在首次打开时,会申请获取个人的姓名、手机号、身份证号等个人信息,但小程序运营者本身并未提供任何隐私政策,或对收集上述信息的场景、用途及目的进行说明。

  未采取主动选择同意,侵害了用户的选择权。95%的样本小程序向用户模糊政策隐私,很容易导致用户忽略隐私政策,无法准确了解与个人主体权益相关的重要信息。

  超范围收集个人信息,带来数据违规收集风险。健身类、购物类、防疫类小程序存在收集与当时场景无关的个人信息的行为。

  明文传输个人信息带来数据非法获取的风险。约有25%的样本小程序明文传输了个人信息。如共享单车、快递外卖类小程序会明文传输用户的精准地理位置信息;医疗健康类小程序会明文传输用户的健康档案信息,其中不乏用户的姓名、出生年月日以及药物过敏等相应的个人敏感信息。

  未告知用户关闭权限的路径,带来权限持续开放的风险。目前各大小程序平台均为用户提供了关闭权限的功能,但94%的样本未向用户告知上述功能开放的途径,这可能会导致用户在使用完小程序后,仍将一部分权限持续开放给小程序使用。

  默认共享用户个人信息,带来数据脱离控制风险。在未向用户申请权限的情况下,某些小程序默认获取并使用了其关联小程序的用户信息,而用户无法关闭个人信息的授权功能。

  监管待加强

  “政府高度重视APP数据安全和个人信息安全,但目前的监督管理鲜少涉及小程序。”张媛媛说。

  据了解,随着小程序的业务形态和用户数量的迅速发展,个人信息收集使用愈加频繁,对小程序开展安全管理的必要性急剧上升。不少平台运营者出于管理的需求,参考APP个人信息保护相关工作,对平台内小程序进行安全管理。

  有关专家认为,与运营者相比,用户在使用小程序时处于弱势地位。若运营者存在不单纯的收集目的,超范围收集非必要用户个人信息,用户就会面临放弃使用或被动提供信息的两难选择。一旦相关个人信息被不法分子获取滥用,极易造成用户权益受损。

  随着业务形态和用户数量的迅速发展,小程序正在成为发展态势和使用场景比肩 APP的应用。《白皮书》建议将小程序这一新兴业态纳入个人信息保护管理范畴,参照 APP安全治理模式,针对小程序特点,研究制定个人信息安全保护规范,明确小程序与小程序平台之间的主体责任划分等,鼓励小程序运营者和平台运营者强化用户个人信息安全保护。

  在企业层面,切实落实个人信息保护主体责任。在用户层面,提升小程序使用者的个人信息保护意识和能力。

  张媛媛指出,使用小程序的大部分用户对自身个人信息保护意识和能力仍然不足,为使用相关服务而被动提供个人敏感信息的情况屡见不鲜。因此,亟待通过科普讲座、社区宣传等形式,对用户进行解读和宣导,使其明确个体作为其个人信息控制者的权利,提升保护个人信息的意识和能力。在保护用户个人信息免受侵害的同时,鼓励用户积极举报违规行为,发动社会力量,推动小程序规范健康发展。

链接:

  小程序和APP有何不同

  “与 APP相比,小程序相关能力较为简单。”中国信息通信研究院安全研究所信息安全研究部副主任张媛媛说,小程序在接口调用、权限获取和管理、消息推送等方面都受限于小程序平台。

  小程序有权调用的API(应用程序编程接口)少于 APP。小程序无法绕过小程序平台直接调用手机系统API并和系统互动;APP则可调用所有手机系统 API,直接与系统对话,实现修改手机系统音量、网络连接等功能。

  小程序可获取的权限少于APP。小程序只能获取小程序平台已经从手机系统获取的权限,通常仅限于用户信息、地理位置、后台定位、相册、通讯地址、发票、录音、摄像头、运动步数;而APP能够获取的手机系统权限多达100余项,其中包括日历、通讯录、麦克风、短信等敏感权限。

  小程序的权限管理方式与APP不同。小程序的权限管理通常是从小程序平台“设置”中选择“允许”或“拒绝”某项权限,且一次只能进行一款小程序的权限设置;APP的权限管理则可在手机系统设置中完成,且可实现集中管理,即可一次性针对多款APP的权限情况进行修改。

  小程序推送消息的渠道少于APP。小程序只能发送模板消息,或在被用户主动订阅后进行推送,APP则可以随时随地为用户推送消息。《2019年小程序互联网发展白皮书》显示,小程序可从小程序平台获取用户信息、设备信息和统计信息。小程序在获得用户授权后,可获取用户的平台昵称、头像、性别、所在地区、语言、手机号、身份证号等个人信息,人脸、指纹等个人生物信息,以及通过权限申请获取的地理位置、通讯地址等信息。除此之外,小程序还可从具备资金管理能力和实人认证能力的平台获取财产信息相关认证结果。

  小程序可获取的设备信息有网络状态、WiFi、加速度传感器、罗盘、剪贴板、系统信息、屏幕等,其中系统相关信息包括操作系统版本、操作系统类型、手机品牌、手机型号、平台版本号、平台名称、屏幕宽度、屏幕高度、设备像素比等,屏幕相关的设备信息包括屏幕是否常亮、用户是否截屏等,有些平台还支持小程序添加手机通讯录联系人、获取设备电量、添加和删除日历活动等功能。

  大量用户使用小程序的行为可汇聚形成统计数据,小程序运营者借此了解小程序的运营状况,分析小程序的用户来源、用户构成、用户增长趋势、用户留存与转化、用户使用行为习惯等,帮助小程序迭代优化和运营。除了常规的数据分析,例如通过用户访问规模、来源、频次、时长、深度、留存来判断产品使用年限,通过用户年龄、性别、地区、终端及机型分布刻画用户画像,通过展示各个页面的访次、停留时间、退出率等体现页面受欢迎的程度等之外,小程序还可在小程序平台内自定义分析用户实时行为,对其行为做精细化跟踪,满足页面访问等标准统计以外的个性化分析需求。

  如何认定违规收集个人信息

  国家市场监督管理总局、国家互联网信息办公室、工业和信息化部、公安部四部门曾联合发布了关于印发《APP违法违规收集使用个人信息行为认定方法》(以下简称 《认定方法》)的通知。专家指出,消费者可以在使用APP时参照上述规定,保护个人信息安全。《认定方法》分为6项认定准则,包含31种场景。其中最重要的是服务方应提供明确的隐私规则。在APP中没有隐私政策或隐私政策中没有收集使用个人信息规则、在APP首次运行时未通过明显方式提示用户收集使用规则等情形,就是“未公开收集使用规则”。《认定方法》中明确提出9种场景属于未经用户同意收集使用个人信息:征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围;以默认选择同意隐私政策等非明示方式征求用户同意;未经用户同意更改其设置的可收集个人信息权限状态,如APP更新时自动将用户设置的权限恢复到默认状态;利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项;以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的;未向用户提供撤回同意收集个人信息的途径、方式;违反其所声明的收集使用规则,收集使用个人信息。《认定方法》还定义了违反必要原则,收集与其提供的服务无关的个人信息的过度收集信息行为:收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;APP新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;收集个人信息的频度等超出业务功能实际需要;仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。

  此外,《认定方法》还提及,APP接入第三方应用,未经用户同意,向第三方应用提供个人信息;既未经用户同意,也未做匿名化处理,数据传输至APP后台服务器后,向第三方提供其收集的个人信息等情况,将被认定为“未经同意向他人提供个人信息”。



Tags:小程序   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
支付宝拥有一系列城市便民服务功能,可以帮助我们在线查看各种信息,结婚状态也可以查询了,那么具体怎么操作?今天小编就为大家带来这篇教程,还不会的同学快来学习一下吧!支付宝怎么...【详细内容】
2021-12-24  Tags: 小程序  点击:(5)  评论:(0)  加入收藏
有不少同学学完Python后仍然很难将其灵活运用。我整理15个Python入门的小程序。在实践中应用Python会有事半功倍的效果。01 实现二元二次函数实现数学里的二元二次函数:f(x,...【详细内容】
2021-12-22  Tags: 小程序  点击:(32)  评论:(0)  加入收藏
微信小程序“无障碍急救平台”日前上线,解决听障人士120急救呼叫难题。听障人士在日常生活、工作中常有信息缺失、沟通不良的困难。如果自身或身边人突发急症,则需要依靠他人...【详细内容】
2021-12-15  Tags: 小程序  点击:(9)  评论:(0)  加入收藏
一、项目背景随着小程序在用户规模和商业化上取得的极大成功,各大平台都推出了自己的小程序。然而这些平台的小程序开发在语法上又不尽相同,不同平台小程序代码的维护需要投入...【详细内容】
2021-11-05  Tags: 小程序  点击:(65)  评论:(0)  加入收藏
现如今卖东西的渠道是越来越多,如今在微信小程序也能开店卖东西了,有的小伙伴想在小程序上卖东西但不知道该怎么做,下面就来讲讲微信小程序如何做店铺,利用微信小程序!但凡得到公...【详细内容】
2021-11-03  Tags: 小程序  点击:(32)  评论:(0)  加入收藏
作者:灰灰来源:JS每日一题 一、背景传统的web开发实现登陆功能,一般的做法是输入账号密码、或者输入手机号及短信验证码进行登录服务端校验用户信息通过之后,下发一个代表登录态...【详细内容】
2021-10-29  Tags: 小程序  点击:(43)  评论:(0)  加入收藏
一、微信服务号主要偏于服务交互(类似银行,114,提供服务查询),认证前后都是每个月可群发4条消息(不适用于个人)二、微信订阅号主要偏于为用户传达资讯(类似报纸杂志),认证前后都是每天...【详细内容】
2021-10-22  Tags: 小程序  点击:(82)  评论:(0)  加入收藏
总结列举微信小程序开放能力清单 硬件能力 蓝牙 NFC读写 连接WIFI设备 开放能力 ...【详细内容】
2021-09-27  Tags: 小程序  点击:(60)  评论:(0)  加入收藏
功能说明脱离公众号下的小程序,单独使用功能特点小程序:是一种不需要下载安装即可使用的应用,它实现了应用“触手可及”的梦想,用户扫一扫或者搜一下即可打开应用。也体现了“用...【详细内容】
2021-09-27  Tags: 小程序  点击:(46)  评论:(0)  加入收藏
随着人们生活水平的不断提高,如今智能电视的普及率已经非常高。然而大家在使用智能电视的时候经常会遇到“无法安装第三方应用”的情况。为了解决这个问题,今天我以市场占有率...【详细内容】
2021-09-15  Tags: 小程序  点击:(81)  评论:(0)  加入收藏
▌简易百科推荐
在OLED显示屏上,当一个像素是纯黑色的时候,该像素将会被关闭并且不消耗能量,这时如果显示屏显示的是大面积的黑色像素,将会大大降低显示屏消耗的电量。此外,晚上躺在床上看手机时...【详细内容】
2021-12-27    科技日报  Tags:暗黑模式   点击:(1)  评论:(0)  加入收藏
在日常生活中,手机是大家最常用的,也是使用频率最高的数码设备!手机的更新换代越来越快,但是资料如何备份呢?上传到网盘吗?那安全吗?换了新机,旧机当备用机但是好像手机内存又不够怎...【详细内容】
2021-12-27  MAIWO麦沃    Tags:内存容量   点击:(2)  评论:(0)  加入收藏
我一直以为,生活中对手机最大的伤害是不小心摔到或掉进水里而事实上,有些我们不以为意的习惯性动作才是手机的终极杀手,比如······...【详细内容】
2021-12-27  唐山科普    Tags:充电   点击:(2)  评论:(0)  加入收藏
手机用了一段时间后会发现,速度越来越慢,这是怎么回事儿呢?这就是我们今天要讲的内容,手机后台运行的软件过多,会直接拖慢手机速度,所以一定要定期清理手机中不必要的后台运行软件...【详细内容】
2021-12-24  电脑技师大明    Tags:软件   点击:(6)  评论:(0)  加入收藏
得益于从手机厂商对硬件解剖式的发布会,现在已经没有任何数码产品能比手机的各项参数更让人熟知的了。但是很多时候发布会都是夸张+专门名词。我们听起来很厉害的样子。但是...【详细内容】
2021-12-23  Ex叨客    Tags:参数   点击:(7)  评论:(0)  加入收藏
传统游戏项目一般使用TCP协议进行通信,得益于它的稳定和可靠,不过在网络不稳定的情况下,会出现丢包严重。不过近期有不少基于UDP的应用层协议,声称对UDP的不可靠进行了改造,这意...【详细内容】
2021-12-23      Tags:马小瑄呀   点击:(12)  评论:(0)  加入收藏
因为绝大多数人压根用不到高性能。我之前曾经在其他题目里面回答过,当前全世界手机用户的操作需求,实际上是千元机子足够了。随便百度一张某月的全球app下载量排名: 上榜的这些...【详细内容】
2021-12-23  优质的啊Biu    Tags:手机   点击:(8)  评论:(0)  加入收藏
每当手机失窃,不法分子都会利用失主个人信息实现资金盗取。然而设置SIM卡密码就相当于给手机卡也上密码,这样手机一旦丢失后也不用担心别人拔下卡放在别的手机违法操作窃取个...【详细内容】
2021-12-21  童心2c2J    Tags:SIM卡   点击:(9)  评论:(0)  加入收藏
文章比较长,可以先点赞收藏一下!得益于从手机厂商对硬件解剖式的发布会,现在已经没有任何数码产品能比手机的各项参数更让人熟知的了。但是很多时候发布会都是夸张+专门名词。...【详细内容】
2021-12-20  Ex叨客    Tags:手机   点击:(5)  评论:(0)  加入收藏
文/小伊评科技(1)关闭所有不重要的应用通知。(安卓平台)先来给大家科普一下推送消息这点事。 目前的新消息推送体系根据方式的不同可以分为两大类——应用自主推送和...【详细内容】
2021-12-14  小伊评科技    Tags:省电   点击:(9)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条