检测国内50家银行微信小程序,平均含8项安全风险
近日,在由国家网信办指导、国家计算机网络应急技术处理协调中心(CNCERT/CC)主办的2021年中国网络安全年会上,国家计算机网络应急技术处理协调中心(CNCERT/CC)编写的《2020年中国互联网网络安全报告》(以下简称《报告》)对外发布。《报告》显示,App违法违规收集个人信息治理取得积极成效,但个人信息非法售卖情况仍较为严重,联网数据库和微信小程序数据泄露风险较为突出。
最新数据显示,截至2020年底,国内主流应用商店可下载的在架活跃App达到267万款。为落实《中华人民共和国网络安全法》,进一步规范App个人信息收集行为,保障个人信息安全,国家四部门持续开展App违法违规收集使用个人信息治理工作,对存在未经同意收集、超范围收集、强制授权、过度索权等违法违规问题的App依法予以公开曝光或下架处理;研究起草了《常见类型移动互联网应用程序(App)必要个人信息范围规定(征求意见稿)》,并面向社会公开征求意见,规定地图导航、网络约车、即时通信等常见类型App的必要个人信息范围。
《报告》还提到,经监测发现,涉及身份证号码、手机号码、家庭住址、学历、工作等敏感个人信息暴露在互联网上,全年仅CNCERT/CC就累计监测发现政务公开、招考公示等平台未脱敏展示公民个人信息事件107起,涉及未脱敏个人信息近10万条。此外,全年累计监测发现个人信息非法售卖事件203起。其中,银行、证券、保险相关行业用户个人信息遭非法售卖的事件占比较高,约占数据非法交易事件总数的40%。
近年来,微信小程序发展迅速,但也暴露出较为突出的安全隐患,特别是用户个人信息泄露风险较为严峻。《报告》显示,CNCERT/CC从程序代码安全、服务交互安全、本地数据安全、网络传输安全、安全漏洞等5个维度,对国内50家银行发布的小程序进行了安全性检测。检测结果显示,平均1个小程序存在8项安全风险,在程序源代码暴露关键信息和输入敏感信息时,未采取防护措施的小程序数量占比超90%;未提供个人信息收集协议的超80%;个人信息在本地储存和网络传输过程中未进行加密处理的超60%;少数小程序则存在较严重的越权风险。
另外,随着恶意App治理工作持续推进,正规平台上恶意App数量逐年呈下降趋势,仿冒App已难以通过正规平台上架和传播,但有些恶意程序经常仿冒App综合运用定向投递、多次跳转、泛域名解析等多种手段规避检测。比如,一些不法分子制作仿冒App并通过分发平台生成二维码或下载链接,采取定向投递等方式,通过短信、社交工具等向目标人群发送二维码或下载链接,诱骗受害人下载安装。同时,还综合运用下载链接多次跳转、域名随机变化、泛域名解析等多种技术手段,规避检测。当某个仿冒App下载链接被处置后,立即生成新的传播链接,以达到规避检测的目的,增加了治理难度。
据了解,自2008年起,CNCERT持续编写发布中国互联网网络安全年度报告。《2020年中国互联网网络安全报告》汇总分析了CNCERT自有网络安全监测数据和CNCERT网络安全应急服务支撑单位报送的数据,内容涵盖我国互联网网络安全态势分析、网络安全监测数据分析、网络安全事件案例详解、网络安全政策和技术动态等多个方面。