手机粘贴也危险,央视曝光银行卡账号及密码泄露过程

隐私泄露

Privacy Disclosure

前言

在移动互联网时代，特别是用户数据被广泛应用于广告算法推荐的情况，个人隐私安全也越来越难保障。很多人逛完购物软件，就会在其他APP中看到刚刚搜过的产品。手机本该是一个很安全很私人的电子产品，但此刻却变成随时泄露隐私的监视器。

央视曝光APP违规读取乱象

随着《数据安全法》、《个人信息保护法》等法律法规相继落地，用户隐私被前所未有地重视。但只要有互联网企业渴望用户数据，就会有应用想方设法读取用户信息。

近日，央视报道了一则信息安全被泄露的视频引起众多网友关注。视频中的网络安全工程师用专用检测工具对两款浏览器应用收集用户数据的范围进行了测试。技术人员先是复制了一组模拟的银行账号密码，尽管当时并没使用那两款检测专用浏览器，但检测工具却在浏览器的程序里发现了那个银行账号和密码。

网络安全工程师称：这个测试浏览器应用读取了我们复制的银行卡账号和密码，但在读取过程中，并未进行加密处理，属于明目张胆的拿。

测试人员保持浏览器在后台运行时，又在手机上测试使用了电话号码和短信，检测结果同样显示被浏览器读取；包括在电商平台上浏览的商品信息，也被两款浏览器记录下来；其中一台浏览器在后台停止运行的情况下仍能记录。

网络安全工程师们发现，部分浏览器以及集成的第三方软件开发包会在静默状态下，或者后台运行时记录用户数据，由此可能引起重要信息泄露，以及广告推送的干扰。而且APP的《隐私政策》中并无收集用户手机剪贴板信息的相关说明，也未履行告知提醒义务、征得用户同意。

隐私合规常见问题

保障用户权益、为用户创造一个安全可靠的在线环境应该是所有开发企业的初衷。随着数据隐私保护成为一个重要的社会问题，国家也出台了很多相关政策来保护个人隐私，2021年4月13日00:00开始，所有提交上架更新应用宝的APP，都需要经过隐私合规性检测，只有通过该检测且没有其他违反审核规则内容前提下，APP才可以正常上线。

当开发者们想更新上架的时候会遇到如下问题：

隐私检测不合格

无法通过审核不能上架

所有APP都需要经过隐私合规性检测，只有通过检测且没有其他违反审核规则内容前提下，APP版本更新才能正常通过审核。

但有两个难题，一是个人隐私检测需要结合很多法律法规的标准要求，单单只靠人工检查，时间和效率的都大大降低，不能达到有效的标准；二是App大多集成了比较多的SDK，即使开发者在App上线前对App的个人隐私信息收集做了完善的检测，也难免受第三方SDK影响。

做好个人隐私合规，针对可能触发违规违法收集使用个人隐私的安全风险，我们为企业提供的隐私安全检测的服务，可以很好的避免潜在风险造成的损失。

更新上架从合规开始

几维安全自主研发的《Android应用隐私合规检测平台》和《iOS应用隐私合规检测平台》产品，基于《数据安全法》、《个人信息保护法》等法律法规，可为监管单位和企业提供专业、高效的服务平台。只需提交APK/IPA文件，即可进行静态和动态分析，深度监测APP获取设备信息、GPS、相册、境外传输等违规行为。支持在线和Word报告，使用流程简单清晰。

深度贴合国家监管标准

依据《App违法违规收集使用个人信息行为认定方法》、国家标准以及相关国家法律法规，对App收集用户个人信息的行为逐条对应分析

多场景下的权限行为检测

基于权限管理，针对不同的使用场景或运行环境，分类检测应用的申请权限，并对隐私行为的调用路径进行准确定位、取证及保存

隐私安全专家服务

采用动、静态与人工检测相结合的方式，生成全面且精准的检测报告（线上/word），其结果完全符合国家的合规标准

个人隐私安全问题是一场持久战，只有每个人都重视起来才能提高互联网的安全性。

CONTACT 

# 更多方案欢迎咨询

北京-路经理：13811806686

成都-刘经理：13408687728

杭州-赵经理：13185089779

广州-荣经理：16601044405

# 点击官网了解更多

https://www.kiwisec.com/