防止APP竊取用戶隱私問(wèn)題，OPPO安全在行動(dòng)

在2020年3·15晚會(huì)所曝光的問(wèn)題中，手機(jī)APP竊取用戶隱私的情況再度出現(xiàn)。根據(jù)央視報(bào)道稱，部分APP中集成的SDK存在未經(jīng)過(guò)授權(quán)竊取用戶的個(gè)人敏感信息的情況。

OPPO作為一家軟硬服一體化的科技公司，軟件安全與互聯(lián)網(wǎng)應(yīng)用安全是其在安全領(lǐng)域的重要建設(shè)部分。OPPO安全團(tuán)隊(duì)從實(shí)際出發(fā)，防止APP竊取用戶隱私問(wèn)題，切實(shí)保證用戶的隱私及數(shù)據(jù)安全。

發(fā)現(xiàn)底層問(wèn)題：APP為什么要集成三方的SDK？

一般來(lái)講，一款A(yù)PP涉及內(nèi)容非常多，比如外賣類的APP，為了提供更好的服務(wù)，就需要獲取用戶的設(shè)備位置權(quán)限，同時(shí)還要獲取用戶周邊所有餐飲店的位置信息，這樣就可以基于用戶的設(shè)備位置，向用戶推送周邊的一些美食信息。除此之外，為了讓用戶可以實(shí)時(shí)看到騎手送餐的路徑和位置，還需要實(shí)時(shí)獲取騎手位置及地圖信息。

就這些功能而言，其實(shí)是涉及到了另外一個(gè)非常專業(yè)的領(lǐng)域-地圖，外賣類APP開發(fā)者要么選擇自己做地圖，要么就和地圖類軟件合作。一般情況下，大家都會(huì)選擇合作模式，由于找地圖類合作的APP太多，所以地圖類軟件商干脆把自己的定位、導(dǎo)航等功能做成了一個(gè)軟件開發(fā)工具包，其他APP如果想使用地圖類功能，直接引用這個(gè)功能包就可以具備相關(guān)的地圖功能啦。這個(gè)軟件開發(fā)工具包，就是SDK。

根據(jù)2019年7月中國(guó)金融認(rèn)證中心(CFCA)發(fā)布的《常用第三方SDK收集使用個(gè)人信息測(cè)評(píng)報(bào)告》所述，其檢測(cè)的60款國(guó)內(nèi)常用APP中，平均每款A(yù)PP使用的SDK數(shù)目為19.3個(gè)，所以，在APP中引入別人家SDK是一個(gè)非常普遍的事情。

找到解決問(wèn)題的難點(diǎn)：APP安全隱私檢測(cè)的難點(diǎn)在哪里？

作為APP下載的平臺(tái)提供方，負(fù)有對(duì)其平臺(tái)上APP安全、APP合規(guī)性的監(jiān)督責(zé)任，但是絕大多數(shù)平臺(tái)在實(shí)際審核過(guò)程中依然存在以下幾個(gè)難點(diǎn)：

難點(diǎn)一：利益誘惑大。由于移動(dòng)互聯(lián)網(wǎng)的蓬勃發(fā)展，移動(dòng)終端是一個(gè)利益誘惑非常大的一個(gè)入口，幾乎所有的黑色產(chǎn)業(yè)都會(huì)盯住這塊蛋糕，目前的黑色產(chǎn)業(yè)都是成系統(tǒng)化的，分工明確，技術(shù)“過(guò)硬”。

難點(diǎn)二：SDK的黑盒檢測(cè)。SDK由于是第三方廠商開發(fā)、封裝的，對(duì)于APP而言SDK只開放了部分口子，內(nèi)部代碼、邏輯等都是不透明的，相當(dāng)于一個(gè)黑盒子，這種黑盒的安全檢測(cè)的難度非常大。

難點(diǎn)三：惡意行為的動(dòng)態(tài)下發(fā)。目前很多的APP/SDK表明看沒有任何問(wèn)題，但是他的惡意行為都是通過(guò)云端隨機(jī)下發(fā)，可以根據(jù)不同地區(qū)，不同人群，不同時(shí)間隨機(jī)下發(fā)，這給檢測(cè)工作帶來(lái)非常大的挑戰(zhàn)。

解決底層問(wèn)題：OPPO安全做了什么？

OPPO安全從用戶的利益出發(fā)，早在2020年初就已經(jīng)在籌備對(duì)APP安全及隱私檢測(cè)平臺(tái)的建設(shè)-OPPO天境。OPPO天境基于靜態(tài)分析、動(dòng)態(tài)分析、污點(diǎn)分析等多引擎技術(shù)實(shí)現(xiàn)對(duì)APP的自動(dòng)化研判分析。

OPPO天境于2020年7月順利上線，并同步也更新了軟件商店APP的審核規(guī)范，本次的重大變更點(diǎn)就是增加對(duì)APP安全風(fēng)險(xiǎn)及隱私保護(hù)的檢測(cè)內(nèi)容，覆蓋以下幾個(gè)方面：

惡意行為的檢測(cè)。OPPO從保護(hù)用戶信息完整、保密出發(fā)，防止APP通過(guò)惡意行為破壞手機(jī)系統(tǒng)，包括靜默下載安裝、遠(yuǎn)程控制、權(quán)限濫用、動(dòng)態(tài)加載惡意插件等。

黑灰產(chǎn)行為。OPPO堅(jiān)決保護(hù)用戶的賬戶及各類資產(chǎn)安全，不允許通過(guò)黑灰產(chǎn)行為竊取用戶資金或資產(chǎn)，破壞應(yīng)用生態(tài)以及非法牟利，包括利用漏洞或欺騙行為、后臺(tái)模擬廣告點(diǎn)擊或下載軟件、利用用戶手機(jī)CPU、內(nèi)存從事電子貨幣計(jì)算等惡意行為。

欺騙行為。OPPO不允許有欺騙用戶的行為。APP不得通過(guò)偽裝來(lái)自可信來(lái)源或者其他應(yīng)用，欺騙用戶點(diǎn)擊、安裝、輸入或跳轉(zhuǎn)，進(jìn)而獲取用戶的身份認(rèn)證憑據(jù)，或者更改系統(tǒng)配置等。

隱私保護(hù)。OPPO珍視用戶信任，將保護(hù)用戶隱私作為重要的使命，嚴(yán)禁開發(fā)者侵害用戶隱私的行為，包括尊重用戶的選擇，最小化收集用戶的個(gè)人信息，在用戶授權(quán)范圍使用和分享個(gè)人信息等。

OPPO安全始終發(fā)自內(nèi)心地尊重并保護(hù)用戶隱私及數(shù)據(jù)安全，致力于讓用戶安全、流暢、便捷地享受產(chǎn)品和服務(wù)，在這條道路上，存在不同勢(shì)力及利益的對(duì)抗，OPPO安全將始終秉持OPPO的本分企業(yè)文化價(jià)值觀，一切以用戶為中心。一起為了用戶，OPPO安全在行動(dòng)!