OPPO安全团队从实际出发防止APP窃取用户隐私问题

2020-07-29 16:40:50来源：之家网站

在2020年3·15晚会所曝光的问题中，手机APP窃取用户隐私的情况再度出现。根据央视报道称，部分APP中集成的SDK存在未经过授权窃取用户的个人敏感信息的情况。

OPPO作为一家软硬服一体化的科技公司，软件安全与互联网应用安全是其在安全领域的重要建设部分。OPPO安全团队从实际出发，防止APP窃取用户隐私问题，切实保证用户的隐私及数据安全。

发现底层问题：APP为什么要集成三方的SDK?

一般来讲，一款APP涉及内容非常多，比如外卖类的APP，为了提供更好的服务，就需要获取用户的设备位置权限，同时还要获取用户周边所有餐饮店的位置信息，这样就可以基于用户的设备位置，向用户推送周边的一些美食信息。除此之外，为了让用户可以实时看到骑手送餐的路径和位置，还需要实时获取骑手位置及地图信息。

就这些功能而言，其实是涉及到了另外一个非常专业的领域-地图，外卖类APP开发者要么选择自己做地图，要么就和地图类软件合作。一般情况下，大家都会选择合作模式，由于找地图类合作的APP太多，所以地图类软件商干脆把自己的定位、导航等功能做成了一个软件开发工具包，其他APP如果想使用地图类功能，直接引用这个功能包就可以具备相关的地图功能啦。这个软件开发工具包，就是SDK。

根据2019年7月中国金融认证中心(CFCA)发布的《常用第三方SDK收集使用个人信息测评报告》所述，其检测的60款国内常用APP中，平均每款APP使用的SDK数目为19.3个，所以，在APP中引入别人家SDK是一个非常普遍的事情。

找到解决问题的难点：APP安全隐私检测的难点在哪里?

作为APP下载的平台提供方，负有对其平台上APP安全、APP合规性的监督责任，但是绝大多数平台在实际审核过程中依然存在以下几个难点：

难点一：利益诱惑大。由于移动互联网的蓬勃发展，移动终端是一个利益诱惑非常大的一个入口，几乎所有的黑色产业都会盯住这块蛋糕，目前的黑色产业都是成系统化的，分工明确，技术“过硬”。

难点二：SDK的黑盒检测。SDK由于是第三方厂商开发、封装的，对于APP而言SDK只开放了部分口子，内部代码、逻辑等都是不透明的，相当于一个黑盒子，这种黑盒的安全检测的难度非常大。

难点三：恶意行为的动态下发。目前很多的APP/SDK表明看没有任何问题，但是他的恶意行为都是通过云端随机下发，可以根据不同地区，不同人群，不同时间随机下发，这给检测工作带来非常大的挑战。

解决底层问题：OPPO安全做了什么?

OPPO安全从用户的利益出发，早在2020年初就已经在筹备对APP安全及隐私检测平台的建设-OPPO天境。OPPO天境基于静态分析、动态分析、污点分析等多引擎技术实现对APP的自动化研判分析。

OPPO天境于2020年7月顺利上线，并同步也更新了软件商店APP的审核规范，本次的重大变更点就是增加对APP安全风险及隐私保护的检测内容，覆盖以下几个方面：

恶意行为的检测。OPPO从保护用户信息完整、保密出发，防止APP通过恶意行为破坏手机系统，包括静默下载安装、远程控制、权限滥用、动态加载恶意插件等。

黑灰产行为。OPPO坚决保护用户的账户及各类资产安全，不允许通过黑灰产行为窃取用户资金或资产，破坏应用生态以及非法牟利，包括利用漏洞或欺骗行为、后台模拟广告点击或下载软件、利用用户手机CPU、内存从事电子货币计算等恶意行为。

欺骗行为。OPPO不允许有欺骗用户的行为。APP不得通过伪装来自可信来源或者其他应用，欺骗用户点击、安装、输入或跳转，进而获取用户的身份认证凭据，或者更改系统配置等。