梆梆资讯
2023CISC 网络与信息安全主题论坛成功举办,梆梆安全分享小程序合规安全建设思路
2023-04-26
4月18日,由上海市通信管理局指导、上海市互联网协会主办,上海市互联网协会网络与信息安全工作委员会承办的2023年 CISC 网络与信息安全主题论坛在上海隆重召开。上海市通信管理局互联网管理处处长施昌书、上海市互联网协会副秘书长姜国出席论坛并致辞,论坛上,各方面专家、嘉宾代表围绕通信网络与数据安全主题积极建言献策,共瞻生态融合市场新方向,共建创新能力强、产业结构优、供给质量高的健康有序的产业发展生态环境。
梆梆安全受邀出席本次论坛,梆梆安全技术专家傅瑛雪在大会上就小程序安全合规问题,发表题为“小程序的安全与合规案例分享”主题演讲,对个人信息保护的相关法规政策、典型安全问题进行详细讲解,共谋新技术、新场景变革下的小程序安全建设的新方案。
随着移动互联网的进一步发展,“超级APP+小程序”成为移动互联网时代开发者探索的新模式。由于小程序使用便捷、用户使用门槛低等特点,用户规模和渗透率逐渐提升,以微信、支付宝、百度、美团等移动应用程序(以下简称“APP”)为代表的平台,在其应用中搭载第三方小程序,丰富了向用户提供服务的形式和内容。然而,无论是“偷听”还是基于大数据的“用户画像”,一些小程序正在不断触碰用户隐私保护的底线,个人信息保护成为群众关心的热点问题之一。
隐私合规监管趋严,企业合规成本相应增加
近年来,我国高度重视移动应用程序数据安全和个人信息安全工作,从法规标准、专项治理等多方面明确个人信息保护的基本原则,规定网络运营者的保护义务和责任。在个人信息处理方面,企业是受个人信息保护法影响最大的群体和主要监管对象,这就要求相关企业调整原有的业务模式。
执法机制逐步完善,违规处罚力度持续加大
个人信息保护法施行后,相关部门在各自领域内不断完善相关政策和执法机制,更好推动个人信息保护法的落地实施。
典型案例持续曝光,个人信息保护意识不断提高
个人信息保护直接关系到百姓切身利益,筑牢个人信息使用的安全边界,离不开监管要求、企业责任与用户意识等层面的共同推进。用户需要加强个人信息保护宣传教育,提升个人信息保护法治意识,推动个人信息保护法落地实施。
小程序面向海量用户,其攻击面和影响面被无限放大,其上承载的个人信息数据时刻遭受不法黑客、灰产的攻击威胁。根据梆梆安全的分析研究,小程序应用安全风险主要来自于如下几个方面:
1. 数据风险
数据输入:输入的用户信息被APP运行环境中的恶意程序通过截屏、录屏、内存读取等方式窃取。
数据存储:小程序本地存储数据的安全性过度依赖于微信APP数据库加密方案,无法满足核心敏感数据安全防护要求。
数据传输:网络传输使用Https,无法抵御攻击者在本地安装代理证书实施中间人攻击的威胁。此外,小程序的网络请求是通过第三方APP实现转发,第三方平台可能会获取到小程序的网络请求数据。
2. 集成风险
小程序应用需集成到微信/支付宝等平台,小程序代码的核心是JS 代码,容易被第三方窃取,造成程序源文件泄露,业务逻辑存在漏洞且被攻击中利用,会造成严重后果。
3. 运维风险
微信小程序开发完成上线之后,恶意开发者可通过逆向等方式来窃取核心代码,仿冒伪造小程序。
4. 业务风险
不当的开发会导致接口数据泄露等隐患。此外,不法分子利用小程序进行作弊欺诈、薅羊毛、篡改业务数据等行为,会给企业的业务安全带来严重威胁。
基于多年来对移动 APP 安全技术和监管政策的研究,梆梆安全从安全检测、隐私合规、安全防护和安全监测等4个维度出发,构建小程序全生命周期安全防护体系。
小程序安全检测
渗透测试服务:通过模拟黑客攻击的方式对客户的目标系统进行全面的漏洞挖掘、分析、利用,发现逻辑性更强、更深层次的漏洞,并直观反映漏洞的潜在危害,来评估目标系统的安全性,帮助应用开发者和管理者了解应用系统存在的脆弱性,为改善并提高应用系统安全性提供依据和解决方案,帮助用户建立安全可靠的应用服务。
移动安全测评平台:全面覆盖应用中的主流安全问题,准确定位问题来源,并对应用中的安全问题进行监控预警和有效规避,提供代码级的修复示例或修复建议为开发者提供了代码修复参考,可自主快速地完成安全漏洞修复。
小程序隐私合规
隐私合规咨询:针对线上业务相关的一系列信息安全技术、管理、业务、个人信息保护等合规规定,给出专业的咨询建议和整改方案。
隐私合规评估:从动态层面对小程序进行深度分析,检测违规收集个人信息的行为;通过人工检测遍历小程序的形式,贴合用户业务场景进行深度检测,发现小程序存在的安全合规问题,并可提供相应的证据截图信息、行为调用堆栈,供开发者进行整改。
小程序安全防护
安全加固:对小程序应用中的核心JS交互逻辑代码提供代码混淆、字符串加密、防调试保护、VMP虚拟化保护,大大提高攻击者分析小程序前端代码逻辑的难度,保障小程序开发完成上线集成阶段的代码自身安全性。
安全软键盘:保护用户的账号、密码、卡号、手机号、身份证号等敏感信息安全。梆梆安全软键盘支持SM2、SM4国密算法,保护用户基于小程序JS页面的输入操作、通信过程的数据安全,防止攻击者非法窃取。
JS 密钥白盒:保障小程序业务中原始密钥在白盒环境下的存储、使用安全,全过程不出现原始密钥明文,确保密码系统正确有效运转,保护用户核心敏感数据。
小程序安全监测
渠道监测:提供全面的移动应用监测服务,帮助企业对所有应用分发渠道进行实时监测,监测对象覆盖小程序、公众号、移动APP、Web网页,使开发者掌握应用在各渠道上的新版本上线情况、历史版本留存情况、盗版、仿冒情况,帮助开发者及时封堵、规避各类潜在风险。
API安全监测平台:通过对小程序中 API 上线运行后的数据流量实时检测,为企业建立一套完整的 API 安全防御管控机制,产品包含 API 资产管理、API 敏感数据识别、API 风险检测、API 防护管控、API 策略执行五大核心模块,解决资产数据难治理、数据泄露难感知、风险行为难发现、攻击手段难监测、智能策略难执行等五大安全问题。
移动互联网广泛应用并深度融入城市生活,让人民随时随地畅享数字生活快捷便利的同时,各种网络安全风险也随之而来。未来,梆梆安全将进一步助力行业整体安全水平提升,强化电信和互联网行业网络和数据安全保障能力,用实践和创新护航数字经济高质量发展。
Copyright ©2022. All Rights Reserved 京ICP证160618号 京ICP备11006574号-1