近年来,接入微信、淘宝等大型互联网平台的各类小程序因无需下载安装、操作便捷、占用内存小等优势,迅速融入生产生活、公共服务、政府管理的各个领域,成为人们的常用工具。
但在享受便利的同时,我们必须认识到,小程序这种互联网服务新模式也暗藏着许多信息安全隐患,涉及信息收集处理、网络安全防护、知识产权保护等多方面问题,相关数据“跑风漏气”将招致严重后果。
#01
第三方小程序存在哪些风险?
2021年7月,国家计算机网络应急技术处理协调中心对国内50家银行发布的小程序进行安全性检测,发现平均1个小程序存在8项信息安全风险。
其中,程序源代码暴露关键信息和输入敏感信息时未采取防护措施的小程序数量占比超过90%,未提供个人信息收集协议的超过80%,个人信息在本地存储和网络传输过程中未进行加密处理的超过60%,少数小程序存在较严重的越权风险。
此外,有的小程序不告知用户关闭使用权限的途径,带来用户权限持续开放风险,还有的小程序默认共享用户个人信息,用户数据失控的情况时有发生。
更令人担忧的是,部分运营者为了获取用户信息资源,甚至主动沦为“隐形扒手”,利用大家对社交媒体平台本身的信任和依赖,在用户不充分知情的情况下收集、使用数据。
比如,在2020年发生的、国内首例利用微信“清粉”软件非法获取计算机信息系统数据案中,犯罪嫌疑人就是通过应用集群控制软件的方式控制用户微信账号,从而非法获取了2000多万个用户微信群聊二维码信息,并将之倒卖给下游的诈骗、赌博团伙。
有的案件中,小程序运营者非法收集的数据还被传至外国服务器,造成的信息安全问题更为严重。
另外,社交媒体小程序的安全漏洞也容易成为网络攻击的工具和渠道。据研究,黑客可利用社交媒体平台与第三方小程序授权协议漏洞劫持用户账号。
第三方小程序还可通过伪造等方式诱导用户授予恶意应用高级权限,利用用户账号传播钓鱼网站,通过对小程序自动化攻击开展刷量刷单、非法引流等违法违规活动。
#02
小程序用户隐私保护的设置方法
以微信小程序为例,点击小程序主页右上角的三个点。
之后依次点击关闭对位置信息、麦克风、摄像头等授权,关闭授权后基本就能保护好隐私了。
近年来,我国高度重视信息安全工作,网络安全法、数据安全法、个人信息保护法等法律法规通过“网络运营者”“数据处理者”等涵盖范围很广的概念,对所有网络所有者、服务者、运营者进行规制。
但就小程序方面的工作来说,规制对象主要还是社交媒体平台,小程序运营者受到的约束管理较弱。
鉴于此,企业、行业组织、用户应主动参与相关治理,形成维护小程序信息安全的多方协同机制。
社交媒体平台要加强对搭载小程序的审核和约束。
小程序运营者要主动开展数据安全和个人信息保护自评估,各相关行业组织和利益相关方也要积极签订自律公约,通过认证等方式推广宣传小程序信息保护典型。
用户应积极提高数字素养,增强识别违规行为、安全使用小程序的能力,对涉嫌违法违规收集使用用户数据信息的小程序进行举报。
声明:凡本公众号注明“来源”或“转自”的作品,均来源于网络媒体,版权归原作者及原出处所有。推送的文章仅供读者学习参考。若有来源标注错误或侵犯了您的合法权益,请联系小编(沟通微信号:zhang314039570),我们将及时更正、删除,谢谢。