《OPPO智能护盾应用安全治理白皮书(2023).docx》由会员分享,可在线阅读,更多相关《OPPO智能护盾应用安全治理白皮书(2023).docx(32页珍藏版)》请在优知文库上搜索。
1、1弓言22典型风险52.1 礴砥览52.2 典醉例剖析62.2.1 隐私泄露:防不胜防的采集手段62.2.2 套施用:瞒天过醐5装92.2.3 广僦窗:干朝做勺云挖单窗122.2.4 诱:引ISfi三型陷阱142.2.5 AT智能:M俱通勺路D3彳耕措施201.1 OPPO智能户盾201.1.1 安全大脑211.1.2 5飒211.1.3 7W5JP241.1.4 251.1.5 启西权251.1.6 因亍慢271.2 对外合作281.2.1 生态合作281.2.2 OPPO应用心能力开放304 触325 *i三S331引言随着科技的飞速发展,移动互联网应用种类日益丰富,数量繁多。这些应用涵盖
2、了生活的方方面面,从社交娱乐、购物消费、金副理财,至殿育学习、健康医疗等。在手机的方寸之间,人4,何以随时随地享受互联网带来的便捷与乐趣。根据工信部公布飕据,2023年前3个季度,我国国内市场上监测到活跃的APP数量为261万款(包括安朝弹果商店),其中9月份,安卓应用商店S茶应用累计下1遑达到近542亿次。(源:httpsgxsjfxhlw)据统计,近年来全球移动应用市场的新应用下载量呈逐年增长趋势。移动应用市场新应用下载星JtadDUii然而,移动互联网应用的繁荣发展也带来了一城和问题。恶意应用滋生、隐私泄露风险、支付安全问题等,者哙用户带来了潜在的威胁。这些应用背后执行K)应用行为、采集
3、的用户雌、下载的应用内容是否都能被用户可知可控?在应用上架、下载、安装、启动、运行、卸载的过程中,是否g院过了安全可靠的回三检M?OPPO智能护盾针对上述问题,装了近年来风隐渊的分布情况黑灰产投放应用的变化趋势以及多个典型案例。为保障用户免受恶意应用攻击,造成隐私泄露、财产损失和数据丢失等风险,0PPO智能护盾在应用的上架、下载、嵋、启动、运招幽载各付市都采取了有效的防护措施。同时期望通过这份报告,与广大用户和开发者、行业专家和政府组织共同开展恶意应用的防范治理,保雌们的数字生态安全,共同构建T可信赖、安全、健康、可持续发展的数字世界。2典型风险2.1 风险总览近年来,随着互联网反诈、恻瞅以及
4、网络安全宣传的广泛开展,用户对手抽动互联网安全风险的意识日益增强,对个人龈和财产安全的重视程度有了显著提升。然而,黑灰产也随着用户意识形态和环境的变化,不断更新和升级其手段和略,寻找新的机会以获取非法利益。OPPO智能护盾按照病毒、风险和IE常应用分类,统计了2023年手机管家扫描应用数据,结果显示,有病解啊险问题的应用占了近三分之一。12%近年来用户安装应用类型分布正彦皮用 廉应用 其中,根据病毒类进行统计,匕戢各颊毒发现次如下:Ilhear* 色审车 木口屯山,高统计显示恶意广告、色情病篇口欺诈病毒是用户遭遇的主要攻击类别,这些恶意应用严重影响了移动用户的正常使用体验,给用户带来了巨大的困
5、扰前Bg失。OPPO智睁盾对典型病毒和案例进行了剖析,分析了其近年来演靖势和S全升级对抗态势。2.2 典型案例剖析2.2.1 隐私泄三:防不胜防的采集手段随着互联网和数字技术的快速发展,个人隐私保护变得日益紧迫。大期S时代,个人信息泄露和J监用的风险增加,监管部门已加强重视并出台相关法律法规以儡P公民权益。尽管如此,个人隐私泄露事件仍频发,不良企业和个人为谋利侵犯他人隐私,给受害者带来精神压力和财产损失。这些行为严重侵害隐私权,威胁社会稳定和安全。OPPO通过朝应S商店审核检源辘对本年度隐私合规问题的分布婕如下:隐私合规主要问题分布违规收集个人信息.超莫国收集个人信息.迷娓使用个人信息逐利用户
6、使用定向推送功籍APP普制、频IL过度索取权限APP软繁自启动和关联启动1误导用户下QPP欺误导用户提供个人信息违规收集个人信息现阶段法强调,APP、SDK在收集个人信息前,必须B用散呻户收集的目的、方式和范围,并获得用户同意。常见的做法是通逆单窗等形式向用户展示个人信息姐三规则。然而,TAPP未经用户同意,擅自收集如IMEI、IMSL设备MAC地址、软件安装列表、位置、联系人等敏感信息,这种未经同意提前获取个人信息的行为,违反了法规要求。在未同意隐私政策之前,获取个人信息强制、频繁、过度索取权限现阶段射期确规定,APP在首次打开或运行fl寸,若未展示与所请求权限相关的功能或0艮务,则不得提前
7、向用户弹窗申请开启如通讯录、定位、短信、录音、相机、日历等敏感权限。然而,在实际检测中,我4渡现部分APP在启动后,不论是否合理或是否真正需要,都会通过强制手段或顷繁弹窗申请等方式申请各类权限,严重干扰用户的正常使用体睑。不给权限不给用频船单窗申请权限虚假宣传福利优惠,只为收集隐私信息用户启动某APP时,窗口页面用虚假或误导性信息诱导用户提照机号并验证登录,声称有相关活动,但实际上登录后即提示办理成功,却无对应三务提(矩!版臊作引导。用户因此暴露手机号,随后收到大量骚t推销广告。诱导方式常包括登录领取红包、内存清理优化”等话术,此类行为侵害用户权益严重影响用户体验和信息安全。O还未登录虚假登录
8、广告2.2.2套壳应用:瞒天过海的坟变装作为手机厂商和应用分发平台,我们需要严格把关应用程序的上传与审核,建立完善的审核机制,对所有上传的应用程序进行严格的功能评估和安全隐私检测。只有符合标准的应用程序才能架,确保户下载的应用程序安全可靠。然而,近期我”他发现了一些包括应用程序伪装上架、恶意软件传播等应用市场乱象问题,这些问题严重影响了用户的权益和市场的秩序。应用伪装上架指a勺是开发者通过伪装或篡改应用程序信息,使其在应用商店中展示的内容与实际功能或内容不符,从而吸弓I用户下载使用。违规开发者会在应用商店中隐藏应用程序的真实用途,文昭一款无资质借贷应用伪装成工具应用,以欺骗用户下靳唯用。随着技
9、术的发展,应用程序的自更新机制成为伪装上架的新手段。通过自更新机制,应用程序可以在一段时间后触发后台自动下载和安装更新。这使得恶意应用能够在用户下载后不知情的情况下被篡改或添加恶意功能。伪装上架,分发无资质借贷应用启动应用后,以炼专网弼1示用户下载无资质借贷应用藕R应用提示更新,变欺诈网赚应用正常兼职应用使用一t间后提示更新,随后转变为右边网赚应用间成在线赌场,概率玩法未取J返点*-*toee9MMJItMrMWS4BMI.a三NB.tOaBWBEfM.f.IMMWI.*rwBtMWMteSMMMatBaIItd*MWIMW”BmMiiaMitgm俨三M9.rrtui).MSMVr. )vt( M 4)( .,l rrr.etro*erttAlHv,1lJconfrt).0tStrirf(9 v IWW .;();v*Rt(lrtvtl.tf UerWtH.PMtrHrT.gctkmr.MWsUatVU*mfert.
免费区 