對於從事移動網際網路的人士來說,過去的一年不如想像中的美好,App「任性」 收集使用個人信息的時代已經過去,隨之而來的是貫穿整年的「App違法違規收集使用個人信息專項治理」行動。與此同時,一些行業也開始進行亂象治理,2019年的教育App和移動金融App需要合規。
網易易盾一直關注和記錄移動安全領域,每周一次對事件和相關大事進行整理(風控周報可在網易易盾公眾號菜單欄點擊「幫助中心-2019風控周報」,即可查看2019全年的業務風控周報),在2019年遠去,迎來2020年之際,對全年大事記進行盤點,希望獲得行業的共同關注,更好地打造生態環境。
1. 四部委聯合開展「App違法違規收集使用個人信息專項治理」行動
2019年1月25日,包括中央網信辦、工信部、公安部、市場監管總局四部門召開新聞發布會,聯合發布《關於開展App違法違規收集使用個人信息專項治理的公告》,決定自2019年1月至12月,在全國範圍組織開展App違法違規收集使用個人信息專項治理。
也是在年底,中央網信辦、工信部、公安部、市場監管總局四部門則印發了《App違法違規收集使用個人信息行為認定方法》,明確了6大類31種行為屬於APP違法違規收集使用個人信息,進一步加強App違法違規收集使用個人信息的治理。
補充說明:2019年的315晚會上,央視曝光了智能騷擾產業鏈和神奇的探針盒子,這一切的源頭是數字時代App過度索權、過度用權。違法違規收集使用個人信息已經到了必須整治的地步,而2019年違法違規收集使用個人信息專項治理動可謂非常及時,而且範圍廣、評估深入、治理體系完整。
2.教育APP有了嚴規範!監管部門出台《關於引導規範教育移動網際網路應用有序健康發展的意見》
2019年8月,教育部等八部門《關於引導規範教育移動網際網路應用有序健康發展的意見》發布。開始了全面治理教育移動應用亂象,補齊監督短板,規範全生命周期管理,提高開發供給質量,營造優良發展生態,促進教育移動應用有序健康發展。2019年9月5日,教育部召開新聞發布會對《教育部等八部門關於引導規範教育移動網際網路應用有序健康發展的意見》進行解讀,以示重視。
補充說明:《關於引導規範教育移動網際網路應用有序健康發展的意見》是中國國家層面發布的首個全面規範教育App的政策文件,覆蓋各學段教育和各類教育App,引導規範教育App 促進「網際網路+教育」有序健康發展。而《教育移動網際網路應用程式備案管理辦法》建立了健全教育移動應用管理制度、規範和標準,形成了常態化的監管機制,初步建成科學高效的治理體系。
3. 不止教育 移動金融App安全要求也進一步加強
2019年,相關部門對移動金融App的安全要求進一步加強。2019年11月份,互金協會發出《關於增強個人信息保護意識依法開展業務的通知》,12月份,中國人民銀行發布237號文《關於加強移動金融客戶端應用軟體安全管理的通知》。
補充說明:個人信息保護是全年的一個大基調,在這個前提下,相關部門也要求對個人金融信息加強保護。此外,也要求金融機構提升安全防護能力,包括客戶端軟體設計、開發、發布、維護等環節的安全管理,構建覆蓋全生命周期的管理機制,切實保障客戶端軟體安全。
4. 手游輔助腳本違法!叉叉助手停運,70餘名員工被警方抓獲
根據網易新聞報導,張家港警方在「凈網2019」專項行動中,破獲全國首例「聚合腳本外掛平台」案件,抓獲公司相關人員、腳本作者等70餘人,查獲電子數據4TB,各類腳本60餘萬個,追繳非法所得上千萬元。
補充說明:有人說,手游輔助腳本不屬於外掛類,因為其並不會非法修改遊戲數據,來使玩家獲取不正當利益……「凈網2019」行動顯然表明,法律和有些遊戲廠家並不認可這一說法。
5. 被抓判刑!富二代「IT男」運營大話西遊私服獲利千萬
2019年4月,杭州濱江警方在市局的支持下,在北京一高檔寫字樓一舉抓獲了以閆某為首的犯罪團伙,查扣大量計算機、手機,並在計算機上發現了大量正版手游的美術、音樂資源。據民警查證,閆某某在未取得網易(杭州)網絡有限公司授權的情況下,於2018年11月開始運營私服,並以道具收費、招募代理商等方式,通過向玩家、代理商收費獲利,截至案發,累積非法經營數額1020萬餘元。
重要的事情說三遍,開設私服違法!開設私服違法!開設私服違法!
6. 人民網起草《遊戲適齡提示草案》 將搭建網上提示平台
人民網起草的《遊戲適齡提示草案》,是根據中國現行法律規定和青少年成長過程中的生理特徵、認知能力、道德水平綜合考慮,將遊戲適齡範圍劃分為「18歲以上(18+)」「16歲以上(16+)」「12歲以上(12+)」「6歲以上(6+)」四級。其中,因6歲以下兒童正處於視力發育等的關鍵時期,不建議他們單獨使用電子產品進行遊戲。
補充說明:就媒體報導來看,「遊戲適齡提示」旨在輔助主管部門提升監管力度,有效排查違規遊戲內容;體現更加細分的用戶群體和清晰的市場結構,便於企業更具針對性地開發產品;有效減少未成年玩家接觸含有暴力、色情內容的幾率,為未成年玩家提供健康的遊戲環境。
7. DDoS+外掛 上海警方偵破《守望先鋒》外掛案
2019年,上海公安網安部門接報稱,上海網之易公司代理運營的《守望先鋒》遊戲伺服器頻繁遭受DDOS攻擊。
上海公安網安部門迅速展開偵查,發現一款名為「炸房」的遊戲外掛程序有重大作案嫌疑。進行抓捕後,嫌疑人鄭某供認稱,其自幼喜歡編程,通過自學熟練掌握編程技術,因喜歡「守望先鋒」遊戲,出於好勝心和炫耀的目的,製作了具有DDOS攻擊功能的遊戲外掛,並銷售給他人牟利。
補充說明:對於遊戲外掛的打擊,逐年加強。2019年,除了上海警方外,包括錦州凌河、蓬安、宿遷、贛榆等地方警方也進行了遊戲外掛的打擊。
8. 2019蘋果漏洞激增
2019年,蘋果的漏洞似乎有點多,結合外媒和國內的報導來看:
iOS漏洞在整個2019年都有出現,其中包括「 AirDoS」漏洞,該漏洞能夠讓附近的黑客可以通過文件交換功能AirDrop,使iPhone和iPad無法使用。在6月,發現了一個iMessage漏洞,使運行舊版本iOS的iPhone運行速度變慢。另外發現了其他5個iMessage漏洞,這些錯誤不需要用戶進行交互,其中一個漏洞允許遠程攻擊者訪問iOS設備上存儲的內容。在一次歷經數年的水坑攻擊中,發現有5個漏洞利用連用到了14個iPhone漏洞,其中2個在2月被披露為0 Day 漏洞。
補充說明:隨著近幾年各種iOS安全隱患的頻頻出現,大家逐漸認識到,iOS和Android一樣,也會面臨嚴重安全問題,因此保護iOS應用安全變得非常重要,不可輕視。
9. 新型漏洞:StrandHogg可讓惡意程序偽裝成正常Android App
一個名為「 StrandHogg」的Android漏洞,可使現實生活中的惡意軟體偽裝成合法應用程式,並同時請求權限,包括SMS、照片、麥克風和GPS,從而允許他們閱讀消息,查看照片,進行竊聽和跟蹤受害者的活動。而用戶對此毫無察覺,沒有意識到他們是在授予黑客權限,而不是他們認為正在使用的真實應用程式。
補充說明:這個漏洞影響範圍非常大,據悉所有的Android都受影響,不需要Root權限,並且所有前500個最受歡迎的應用都有可能被「偽裝」。
10.2019年遊戲公司和遊戲安全廠商開展聯合行動
一直以來,知名遊戲公司英雄互娛在反外掛問題上都十分的重視。從2018年初起,人氣FPS手游《全民槍戰2》便開始對遊戲內進行大範圍的外掛清掃,並新增信譽積分系統,來協助打造綠色遊戲環境。
而在2019年,為了進一步保障玩家權益,英雄互娛又和網易易盾展開合作,對《全民槍戰2》的反外掛系統進行了全面的升級。
補充說明:打擊外掛,遊戲公司此前都是自己發力——做好安全和運營,偶爾也會尋求警方幫助。而在2019年開始有不少遊戲公司與專業的遊戲安全廠商展開聯合行動,捍衛玩家和自己的利益。當下遊戲版號審批較嚴,有不少遊戲公司的重心開始從不斷開發新的遊戲向運營好現有的遊戲轉移,可以預見的是,未來和遊戲安全廠商的合作將會越來越緊密和頻繁。