【51CTO.com原創(chuàng)稿件】　2月16日，有網(wǎng)友稱京東金融APP在安卓端存在竊取用戶敏感信息的問(wèn)題。隨后，京東金融稱排查后的確發(fā)現(xiàn)安卓版本存在緩存手機(jī)截屏圖片問(wèn)題，但絕無(wú)收集用戶隱私的操作，目前APP已定位問(wèn)題并修復(fù)。

　　在智能手機(jī)大行其道的今天，用戶隱私保護(hù)一直是一根非常敏感的神經(jīng)，不論是國(guó)家監(jiān)管部門還是應(yīng)用服務(wù)提供商、APP安全公司都在努力營(yíng)造一個(gè)安全可信賴的應(yīng)用環(huán)境。截屏緩存事件在短時(shí)間內(nèi)迅速引發(fā)業(yè)內(nèi)關(guān)注，業(yè)界也紛紛表達(dá)了自己的觀點(diǎn)，51CTO邀請(qǐng)梆梆安全技術(shù)總監(jiān)劉舒騏談?wù)剬?duì)本次事件的看法。

[[257685]]

　　51CTO：從用戶角度看，在APP應(yīng)用時(shí)，應(yīng)該有哪些APP應(yīng)用的安全意識(shí)可以保護(hù)自己的隱私?

　　梆梆安全技術(shù)總監(jiān)劉舒騏：首先，建議用戶只從可信任的應(yīng)用分發(fā)渠道去下載、安裝手機(jī)應(yīng)用。對(duì)于iOS用戶來(lái)講，AppStore是下載應(yīng)用的不二之選，對(duì)于安卓用戶來(lái)講，從官網(wǎng)直接下載，通過(guò)主流應(yīng)用商店下載應(yīng)用都可以保障安全。避免安裝來(lái)歷不明的應(yīng)用，防止因安裝了含有惡意代碼的應(yīng)用造成隱私信息丟失。

　　其次，現(xiàn)在的手機(jī)操作系統(tǒng)均有權(quán)限管理系統(tǒng)，通過(guò)權(quán)限管理可以限制應(yīng)用訪問(wèn)用戶的敏感信息，比如攝像頭、麥克風(fēng)、通訊錄、定位等，對(duì)于不常使用的權(quán)限要進(jìn)行關(guān)閉，在一定程度上可以保護(hù)自己的隱私。

　　51CTO：從APP應(yīng)用角度看，目前市場(chǎng)是否有針對(duì)竊取APP用戶隱私現(xiàn)象的監(jiān)測(cè)功能呢?從技術(shù)角度如何操作?目前APP應(yīng)用廠商普遍對(duì)于用戶隱私的保護(hù)是否重視?

　　梆梆安全技術(shù)總監(jiān)劉舒騏：應(yīng)用安全測(cè)評(píng)平臺(tái)之類的產(chǎn)品已經(jīng)可以自動(dòng)化的分析App權(quán)限調(diào)用情況，基于污點(diǎn)跟蹤等技術(shù)可以定位到具體哪行代碼調(diào)用了哪一類權(quán)限，便于人工二次審核App的隱私數(shù)據(jù)調(diào)用情況。我國(guó)在《GB/T 35273-2017 信息安全技術(shù)個(gè)人信息安全規(guī)范》中明確了何為個(gè)人信息，何為個(gè)人敏感信息，一些機(jī)構(gòu)、組織也在定期通過(guò)人工+自動(dòng)化監(jiān)測(cè)的方式分析市場(chǎng)上應(yīng)用對(duì)于個(gè)人信息的獲取情況。但從公開(kāi)媒體報(bào)道以及梆梆安全監(jiān)測(cè)的情況來(lái)看，總體而言國(guó)內(nèi)的App開(kāi)發(fā)者更多的還是在以業(yè)務(wù)優(yōu)先，對(duì)于用戶隱私的保護(hù)仍處于比較初級(jí)的階段。隨著國(guó)家相關(guān)法律法規(guī)的落地，相信未來(lái)國(guó)家對(duì)于用戶隱私的保護(hù)要求會(huì)越來(lái)越嚴(yán)格，相關(guān)開(kāi)發(fā)者要提前做好準(zhǔn)備。

　　51CTO：京東金融呼吁APP安全廠商對(duì)自己APP進(jìn)行監(jiān)督，是否有有效的監(jiān)測(cè)手段?操作的可行性如何?

　　梆梆安全技術(shù)總監(jiān)劉舒騏：通過(guò)成熟的App安全監(jiān)測(cè)監(jiān)管平臺(tái)能夠很有效實(shí)現(xiàn)對(duì)App的安全監(jiān)管，近年來(lái)，國(guó)家和地方相關(guān)監(jiān)管部門都在使用類似平臺(tái)產(chǎn)品對(duì)各行業(yè)App實(shí)施越來(lái)越嚴(yán)格的監(jiān)督檢查。這類平臺(tái)自動(dòng)化程度較高、較為成熟，但梆梆安全建議對(duì)于用戶隱私方面的保護(hù)，需要“人+技術(shù)”綜合進(jìn)行，特別是在App開(kāi)發(fā)者的業(yè)務(wù)設(shè)計(jì)階段，就要保持最小權(quán)限原則，不必要的數(shù)據(jù)不取，通過(guò)技術(shù)檢測(cè)機(jī)制，自動(dòng)化分析App索取的各類權(quán)限，對(duì)于意外的權(quán)限提出預(yù)警，同時(shí)檢測(cè)對(duì)于必要信息的獲取、存儲(chǔ)、傳輸是否遵循業(yè)界安全***實(shí)踐，多維度的保護(hù)用戶數(shù)據(jù)。內(nèi)外結(jié)合，避免類似事件的再次發(fā)生。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】