近年来,移动应用软件(App)用户增长已经趋缓,而以小程序为主的轻应用正在成为互联网信息服务的重要入口。

  与APP相比,小程序无须安装、即点即用、少占内存,对用户来说是一种使用体验很好的快捷应用。但人们也担心,小程序比APP更快捷,那是不是比APP不安全呢?
  在与消费者日常生活不断融合的过程中,小程序难免会像APP一样涉及用户个人敏感信息,用户在享受便捷化服务的同时也面临着潜在的安全隐患。梳理新的风险隐患,针对性地提出对策建议,提升小程序安全保障能力刻不容缓。
  普及速度加快
  “近年来,小程序、快应用等新应用形态在蓬勃发展。”中国泰尔终端实验室信息安全部主任宁华指出,作为使用前端技术开发、在云声环境里进行渲染的免安装应用,这些即时应用包括了快应用、微信小程序、支付宝小程序,以及google的InstantAPPs等内容。这些应用的特点一是不需要安装,即点即用,但又具备了传统APP的完整应用体验;二是它的资源消耗少,能够避免由于APP安装引起的空间不足问题;三是它可以通过传统的应用市场、桌面图标、全局搜索以及PUSH推送等入口,快速直达内容详情,能够让消费者有更好的使用体验。“小程序一是功能简单,更加关注核心业务、主要功能的实现;二是使用便捷,用户通过搜索、点击、授权即可进入小程序获取服务,不需经历下载、安装、注册、卸载等过程,降低了用户的使用门槛;三是开发成本低。”中国信息通信研究院安全研究所信息安全研究部副主任张媛媛说。
  用户的多样化需求使小程序得以快速普及和应用,成为人们日常生活中获取互联网服务的主要载体。QuestMobile发布的《移动互联网全景生态流量洞察报告》显示,截至2019年11月,小程序总量超过450万个,日活跃用户突破3.3亿人。
  小程序已成为人们常用的互联网服务入口。阿拉丁研究院发布的《2019年小程序互联网发展白皮书》(以下简称《白皮书》)显示,2019年人均使用小程序数量超过60个,多于同期人均安装APP的个数;支付宝小程序用户次日留存率超过六成,微信小程序次日留存率超过五成。
  小程序实现了生活场景和适龄人口全覆盖,已经融入用户的日常生活。中国信息通信研究院发布的《小程序个人信息保护研究报告》显示,截至2020年4月,各平台内小程序覆盖11大类型,从小游戏、视频影音为代表的娱乐类应用到教育文化、旅游交通、日常工具、生活服务、体育健身、网络购物、新闻资讯、医疗健康、政务公益等服务类应用,涵盖日常生活中的常见场景,小程序已初步建立起生态体系。2019年上半年,小程序平台从2018年的2家增长至8家,腾讯、阿里、百度、字节跳动等多家头部互联网企业开始布局小程序。
  信息安全存风险
  “某购物类小程序,会向用户申请获取蓝牙权限,但是从其提供的功能和服务内容来看,这种信息采集的行为不合理。”张媛媛说,“我们测试发现,每一款小程序平均存在三个以上的安全问题。”
  记者调查发现,小程序不时暴露出违规收集使用个人信息的风险,由于涉及大量个人信息的采集与使用,存在着个人信息泄露、滥用和被盗取的风险。
  据张媛媛介绍,中国信息通信研究院今年上半年关注了四大主流小程序平台,从新闻资讯、生活服务、网络购物等10类典型的业务中,选取了知名度高、影响范围广、涉及较多个人信息的52款小程序进行了个人信息保护安全评测。从测试的内容看,小程序涉及的个人信息安全风险问题较为普遍,其中教育文化、旅游交通、新闻资讯类小程序的问题最为突出,主要集中在数据收集、传输以及删除等环节。
  未提供有效的隐私政策,侵害了用户的知情权。23%到76%的平台提供了隐私政策,其中只有不到四成的小程序提供了独立的隐私政策。例如某共享单车小程序在首次打开时,会申请获取个人的姓名、手机号、身份证号等个人信息,但小程序运营者本身并未提供任何隐私政策,或对收集上述信息的场景、用途及目的进行说明。
  未采取主动选择同意,侵害了用户的选择权。95%的样本小程序向用户模糊政策隐私,很容易导致用户忽略隐私政策,无法准确了解与个人主体权益相关的重要信息。
  超范围收集个人信息,带来数据违规收集风险。健身类、购物类、防疫类小程序存在收集与当时场景无关的个人信息的行为。
  明文传输个人信息带来数据非法获取的风险。约有25%的样本小程序明文传输了个人信息。如共享单车、快递外卖类小程序会明文传输用户的精准地理位置信息;医疗健康类小程序会明文传输用户的健康档案信息,其中不乏用户的姓名、出生年月日以及药物过敏等相应的个人敏感信息。
  未告知用户关闭权限的路径,带来权限持续开放的风险。目前各大小程序平台均为用户提供了关闭权限的功能,但94%的样本未向用户告知上述功能开放的途径,这可能会导致用户在使用完小程序后,仍将一部分权限持续开放给小程序使用。
  默认共享用户个人信息,带来数据脱离控制风险。在未向用户申请权限


点赞(0) 打赏

评论列表 共有 0 条评论

暂无评论