基于隱私權(quán)保護的移動應(yīng)用安全檢測技術(shù)探討

楊淑琴

摘要：移動互聯(lián)網(wǎng)時代，移動App承擔(dān)了人們越來越多的日常需求。但App過度授權(quán)、漏洞等問題已成為個人信息泄露的重災(zāi)區(qū)。該文通過分析App面臨的各種安全問題，結(jié)合用戶隱私的法律與技術(shù)保護不足，在網(wǎng)絡(luò)空間安全應(yīng)用型人才培養(yǎng)現(xiàn)狀的基礎(chǔ)上，探索在移動開發(fā)實踐課程中構(gòu)建安全檢測App，挖掘用戶隱私的技術(shù)與法律之間的關(guān)聯(lián)，設(shè)計技術(shù)開發(fā)與實踐教學(xué)相融合的研教一體化教學(xué)模式，進而構(gòu)建新專業(yè)實踐教學(xué)環(huán)境。

關(guān)鍵詞：App;用戶隱私;安全檢測;教學(xué)環(huán)境

中圖分類號：TP393? ? ? ? 文獻標(biāo)識碼：A

文章編號：1009-3044（2022）06-0071-02

開放科學(xué)（資源服務(wù)）標(biāo)識碼（OSID）：

1 研究背景

1.1 移動App面臨的安全問題

隨著通訊技術(shù)與智能終端的發(fā)展，人們開始通過網(wǎng)絡(luò)利用各種App處理工作、生活中的問題，移動App應(yīng)用得到了爆發(fā)式增長，帶來了生活方式的質(zhì)變——一機在手，萬事不愁。但一些App一旦裝上，用戶幾乎就成了透明人，沒有任何隱私可言，用戶隱私保護面臨著嚴峻考驗。如下載安裝一個手電筒App，竟然要求獲得用戶通訊錄、位置、錄音、短信等數(shù)十項與主要功能無關(guān)的手機權(quán)限。據(jù)中國消費者協(xié)會去年發(fā)布《App個人信息泄露情況調(diào)查報告》顯示，超八成受訪者曾遭遇個人信息泄露問題。2018年12月以來，國家網(wǎng)信辦針對惡意程序、違規(guī)游戲、不良學(xué)習(xí)類等移動App開展專項整治行動，關(guān)停下架33638個App。工信部點名一些金融App非法收集用戶信息，也建議第三方機構(gòu)對200款主流App的數(shù)據(jù)進行安全檢查。

1.2 App用戶隱私權(quán)保護技術(shù)與法律現(xiàn)狀

部分App“越權(quán)”獲取的用戶信息與移動系統(tǒng)的安全漏洞，是公民個人信息泄露的主要渠道。由于技術(shù)的快速發(fā)展和法律條文的滯后性，導(dǎo)致現(xiàn)行的法律存在很多漏洞。如美國一款健身App將用戶鍛煉數(shù)據(jù)在網(wǎng)絡(luò)上公布，涉嫌泄露美國涉密軍事信息，與其移動設(shè)備管理條例存在漏洞有關(guān)。美國海軍陸戰(zhàn)隊規(guī)定：個人佩戴設(shè)備不能帶有“電信通訊、無線網(wǎng)、拍照、攝像、麥克風(fēng)和錄音”等功能，并且“即便關(guān)閉上述功能，也不能使用具備這些功能的設(shè)備”。但是根據(jù)條例，士兵可以使用有藍牙以及GPS功能的設(shè)備，而斯特拉瓦公司正是通過GPS獲得的數(shù)據(jù)[1]。

隱私權(quán)是一項公民基本權(quán)利，需要完善的法律與成熟的技術(shù)共同來保護。如我國《網(wǎng)絡(luò)安全法》、歐盟的GDPR（歐洲通用數(shù)據(jù)保護條例）都明確規(guī)定網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者保護個人隱私的安全義務(wù)。但如何界定服務(wù)提供者的義務(wù)與權(quán)利邊界，如何落實App用戶的知情權(quán)，如何設(shè)置用戶數(shù)據(jù)的安全技術(shù)邊界，是目前法律和技術(shù)面臨的共同問題。

1.3 移動App安全檢測技術(shù)的現(xiàn)狀

與傳統(tǒng)的web服務(wù)具有系統(tǒng)完善的防御技術(shù)、人機協(xié)防和措施，擁有深不見底的縱深防御體系不同，移動App一般通過API方式與服務(wù)器交互，保護措施不完善，同時移動用戶保護意識與專業(yè)知識欠缺，難以使用傳統(tǒng)技術(shù)來保護自己的隱私。

當(dāng)前App安全研究主要集中在客戶端、服務(wù)器端和通信端三個方面，尤其是集中在服務(wù)器端。如，北京郵電大學(xué)劉軍的《基于HTML5的Web應(yīng)用安全漏洞檢測工具的設(shè)計與實現(xiàn)》是站在攻擊者的角度探討web應(yīng)用安全的漏洞檢測方案，Jasmeen Saini的Security Protocol of Social Payment Apps討論協(xié)議安全問題，Neha Mudgal的SteganoCrypt： An App for Secure Communication[2]討論LBS中的通信安全問題，PowerUpSQL可以導(dǎo)出windows登錄密碼，但它依賴于.NET空間環(huán)境來執(zhí)行，移動終端難以使用這種龐大的環(huán)境。許多對基于移動端內(nèi)容安全的研究還局限于理論上，如高攀《深入分析 HTML 5 在信息安全上的優(yōu)化》[3]探討HTML5新標(biāo)簽的應(yīng)用和在搜索引擎中的優(yōu)化，張舒《2018 年度國內(nèi)外網(wǎng)絡(luò)空間安全形勢回顧》[1]，司春磊《新時代我國網(wǎng)絡(luò)空間安全面臨的挑戰(zhàn)及應(yīng)對》[4]都是一種綜述性文章，主要是從理論層面、法律層面和國家層面來探討網(wǎng)絡(luò)安全。

2 安全檢測技術(shù)與隱私權(quán)保護統(tǒng)一性研究

2.1 移動應(yīng)用安全檢測App研究與開發(fā)的意義

移動應(yīng)用App對隱私安全方面的威脅主要體現(xiàn)在本地，讓每個人都知曉安全并利用帶有安全檢測技術(shù)的App（簡稱移動應(yīng)用安全檢測App）為用戶提供全方位、智能化安全檢測技術(shù)和傻瓜化、簡單易用的隱私安全保護措施，保護用戶的數(shù)據(jù)隱私，具有一定的學(xué)術(shù)價值和較好的實踐意義。

移動應(yīng)用安全檢測App的開發(fā)需要一個動態(tài)的、不斷完善的進程。首先，需要建立開放平臺，動態(tài)跟蹤開發(fā)App安全檢測技術(shù)，探索網(wǎng)絡(luò)檢測安全新技術(shù)在普通院校教學(xué)中的落地與實施，開發(fā)出滿足一般民眾需要的安全檢測App，持續(xù)不斷地適應(yīng)社會的新需求與變化。其次，網(wǎng)絡(luò)安全與用戶隱私保護，人是第一位的。2015年6月，國務(wù)院學(xué)位委員會決定在“工學(xué)”門類下增設(shè)“網(wǎng)絡(luò)空間安全”一級學(xué)科。據(jù)統(tǒng)計，目前網(wǎng)絡(luò)安全人才總需求高達70萬，但高校相關(guān)的安全人才僅3萬余人。2018年全國有126所高校設(shè)立143個網(wǎng)絡(luò)安全相關(guān)專業(yè)，但也僅有30所院校開設(shè)了網(wǎng)絡(luò)空間安全專業(yè)，培養(yǎng)數(shù)量和質(zhì)量遠遠都不能滿足社會需求，網(wǎng)絡(luò)空間安全人才缺口巨大[5]。

2.2 開發(fā)移動安全檢測App的研究與開發(fā)的可行性

山東政法學(xué)院是一所具有法律特色的院校，有得天獨厚的法律專業(yè)人才和資源優(yōu)勢，其所下設(shè)的網(wǎng)絡(luò)空間安全學(xué)院理應(yīng)依托學(xué)院法律特色，充分利用學(xué)校的人才和資源優(yōu)勢，努力探索網(wǎng)絡(luò)安全實戰(zhàn)應(yīng)用型人才培養(yǎng)的新模式，承擔(dān)起重點培養(yǎng)具有法律專長的網(wǎng)絡(luò)空間安全人才的重任。

2.2.1 探索all-in-one移動安全內(nèi)容框架

在安全檢測、功能分析和準(zhǔn)確性驗證基礎(chǔ)上，參照開源MobSF（mobile security framework）移動安全測試框架，進行檢測安全的理論分析，探索all-in-one移動安全檢測框架的構(gòu)建。

2.2.2 促進技術(shù)與法律法規(guī)的融合，探索具有政法院校特色的網(wǎng)絡(luò)空間專業(yè)辦學(xué)環(huán)境

人才培養(yǎng)不僅僅需要理論上的傳授，還需要大量的動手實踐，需要進行案例教學(xué)、對抗磨煉、知識融合，讓學(xué)生在HTML5開發(fā)實踐中分析安全威脅;通過安全檢測App的實現(xiàn)，還能進一步打通基礎(chǔ)知識之間的壁壘，提升學(xué)生的系統(tǒng)認知和系統(tǒng)分析能力，開辟學(xué)生成長的新路徑。

為了更好地體現(xiàn)政法學(xué)院法學(xué)背景，利用學(xué)院的法律法規(guī)數(shù)據(jù)庫資源，開發(fā)動態(tài)驗證App法律許可情況的數(shù)據(jù)庫。App中可以將需要安裝的App與國家法律法規(guī)庫相連接，動態(tài)實時驗證是否通過了國家相關(guān)法規(guī)的認證或許可。

3 移動App安全檢測技術(shù)的實現(xiàn)與實踐教學(xué)環(huán)境的構(gòu)建

3.1 傳統(tǒng)的網(wǎng)絡(luò)安全教學(xué)方式與社會需求之間的矛盾

網(wǎng)絡(luò)安全教學(xué)跟不上社會需求的變化，如數(shù)據(jù)庫應(yīng)用主要講關(guān)系模型的SQL基本技術(shù)，而在移動環(huán)境下NoSQL盛行，造成傳統(tǒng)的數(shù)據(jù)庫開發(fā)與移動資源整合能力不足。軟件開發(fā)環(huán)境已經(jīng)向移動化方向深入發(fā)展，如互聯(lián)網(wǎng)超級英雄flash到2020年便不再更新，F(xiàn)lash Builder更名為Adobe Animate CC，加入對HTML5的支持。HTML5移動開發(fā)技術(shù)與傳統(tǒng)的Flash相比，具有效率更高、安全性更好、不需安裝插件就可運行，對設(shè)備支持更加友好，具有廣泛的適應(yīng)性[6-7]。這些都說明移動平臺開發(fā)環(huán)境都在發(fā)生改變。

學(xué)生實踐教學(xué)環(huán)節(jié)需要移動開發(fā)環(huán)境。每年網(wǎng)絡(luò)空間安全學(xué)院的學(xué)生完成畢業(yè)設(shè)計時，往往缺乏合適的平臺環(huán)境支持，如數(shù)據(jù)庫安全方向的平臺需要VS+SQL環(huán)境，但該環(huán)境不僅體積龐大、配置困難，也難以向移動端遷移。適應(yīng)社會需求和教學(xué)實際需要，網(wǎng)絡(luò)空間安全學(xué)院的教學(xué)體系和實驗室環(huán)境應(yīng)該向以App應(yīng)用、App安全為主體轉(zhuǎn)移。

3.2 網(wǎng)絡(luò)安全應(yīng)用型人才實踐教學(xué)的技術(shù)實現(xiàn)模塊

依托山東政法學(xué)院的法律背景，在引進《HTML5移動開發(fā)》課程的基礎(chǔ)上，結(jié)合《基于H5的應(yīng)用安全檢測App的開發(fā)研究》項目，分析HTML5面臨的安全威脅與移動App內(nèi)容檢測的功能需求，進一步建立App應(yīng)用的邏輯框架和功能模塊，如圖1所示。

1） 漏洞安全檢測模塊：提供漏洞檢測、分析、統(tǒng)計與補救措施。

2） 入侵滲透測試模塊：模擬最常見的網(wǎng)絡(luò)滲透技術(shù)，識別連接設(shè)備并獲取設(shè)備的細節(jié)，檢測安全性的薄弱環(huán)節(jié)，關(guān)閉不安全開放端口等。

3） 本地數(shù)據(jù)安全分析模塊：通過代碼審計、配置驗證、內(nèi)容安全保護等技術(shù)，對本地數(shù)據(jù)存儲進行驗證和自動檢測。

4） 代碼安全測試模塊：提供App源碼加固措施，比如APK加密、代碼混淆等措施。

5） 運行權(quán)限檢測、保護與修復(fù)模塊，自動進行用戶權(quán)限獲取情況檢測、保護和修復(fù)。

6） 簡單易用的可視化報告模塊：一鍵生成可視化的安全威脅報告，讓用戶了解需要安裝APK和正在運行的App基本情況。

采用模塊化的設(shè)計，動態(tài)跟蹤各種安全隱患的變化，提供完善的移動App安全檢測、修復(fù)功能，并提供可視化的檢測結(jié)果。一款A(yù)pp在安裝前就要檢驗軟件的安全性并在運行時實時監(jiān)測其權(quán)限獲取情況。

3.3 安全檢測App可能存在問題及解決思路

先期主要開發(fā)Android和ios主流版本應(yīng)用，利用HTMl5跨平臺性的優(yōu)勢，逐步修改推廣到PAD或其他系統(tǒng)中，解決App在不同類型智能終端的適應(yīng)性問題。其次，根據(jù)硬件系統(tǒng)API接口，搜集可用信息，獲取用戶最大授權(quán)權(quán)限。最后，根據(jù)對漏洞、入侵檢測等修復(fù)后的結(jié)果，反復(fù)調(diào)整系統(tǒng)功能，提升軟件的運行效率和準(zhǔn)確性，修復(fù)App的運行準(zhǔn)確性和效率問題。

4 移動應(yīng)用安全檢測App實踐教學(xué)模式探討

將開發(fā)App融入教學(xué)體系中，不僅能讓教學(xué)貼近實際業(yè)務(wù)，提升學(xué)生的學(xué)習(xí)興趣，培養(yǎng)學(xué)生的動手能力，還能進一步讓學(xué)生加深對安全理論和安全原理的理解。

4.1 科教融合的教學(xué)環(huán)境

借助于科研項目的框架體系，跟蹤最前沿的社會需求和技術(shù)發(fā)展，讓學(xué)生通過某一功能模塊的開發(fā)和接口匯總，形成功能強大的安全檢測App，探索寓學(xué)于研教學(xué)模式在網(wǎng)絡(luò)空間安全課程中的應(yīng)用，進一步促進科研與教學(xué)融合[8]。

4.2 知識融合與遷移的教學(xué)環(huán)境

安全開發(fā)涉及內(nèi)容眾多，在傳統(tǒng)理論中各安全理論是相互分離的，比如漏洞挖掘、滲透攻擊是攻防類知識;程序開發(fā)是開發(fā)類的知識，管理運維也需要專門的知識支撐，通過一個集成各功能的App，可以打通知識間的壁壘，促進學(xué)生的知識遷移與融合，同時也有利于將傳統(tǒng)的PC服務(wù)向移動端擴展、轉(zhuǎn)移，與專業(yè)培養(yǎng)目標(biāo)一致，符合學(xué)生個性化發(fā)展的需要，更好地滿足社會發(fā)展需求，支持學(xué)生的專業(yè)發(fā)展與就業(yè)。

4.3 以技能比賽引領(lǐng)專業(yè)課程環(huán)境構(gòu)建

引導(dǎo)學(xué)生參加安全競賽，通過“人人對抗”“人機對抗”的方式，更好地跟蹤安全技術(shù)的新發(fā)展，探索競賽模式在網(wǎng)絡(luò)空間安全課程中的應(yīng)用，進一步促進社會需求與實踐教學(xué)的交互融合，更好地滿足社會的新需求[9]。

參考文獻：

[1] 張舒，李淼.2018年度國內(nèi)外網(wǎng)絡(luò)空間安全形勢回顧[J].信息安全與通信保密，2019，17（1）：32-42.

[2] Mudgal N.SteganoCrypt：An App for Secure Communication[J].Soft Computing： Theories and Applications，2018，584：59-66.

[3] 高攀，施蔚然.深入分析HTML5在信息安全上的優(yōu)化[J].信息安全與技術(shù)，2012，3（8）：83-84，87.

[4] 司春磊，陳晶晶.新時代我國網(wǎng)絡(luò)空間安全面臨的挑戰(zhàn)及應(yīng)對[J].人民法治，2019（3）：11-16.

[5] 李建華，邱衛(wèi)東，孟魁，等.網(wǎng)絡(luò)空間安全一級學(xué)科內(nèi)涵建設(shè)和人才培養(yǎng)思考[J].信息安全研究，2015，1（2）：149-154.

[6] Dwivedi H，Clark C，Thiel D.移動應(yīng)用安全[M].李祥軍，羅熊，譯.北京：電子工業(yè)出版社，2012.

[7] 劉軍.基于HTML5的Web應(yīng)用安全漏洞檢測工具的設(shè)計與實現(xiàn)[D].北京：北京郵電大學(xué)，2017.

[8] 伍前紅，王明明，劉建偉，等.寓學(xué)于研教學(xué)模式在“網(wǎng)絡(luò)空間安全”課程中的應(yīng)用探索[J].工業(yè)和信息化教育，2019（4）：71-75.

[9] 吳燕.以技能比賽引領(lǐng)中職網(wǎng)絡(luò)與信息安全專業(yè)課程設(shè)置的研究[J].電子世界，2019（8）：39-40.

【通聯(lián)編輯：代影】