随着移动互联网的进一步发展,“超级 App+小程序”成为移动互联网时代开发者探索的新模式。以微信、支付宝等移动应用程序(以下简称“App”)为代表的平台在其应用中搭载第三方小程序,丰富向用户提供服务的形式和内容。疫情以来,小程序也成为政府机关、医疗机构、企事业单位、社区学校疫情防控的重要工具,进一步推动其快速发展。目前,小程序作为常用互联网服务入口,已全面渗透用户生活,成为数字化时代不可或缺的一部分。小程序在汇聚大量用户个人信息的同时暴露出一些安全风险和用户个人信息收集与使用方面的隐患。
——
现状与风险
当前关于小程序的安全风险,主要聚焦在数据隐私泄露、恶意代码和病毒攻击风险、内容违规和不良导向风险、技术漏洞和安全配置不当风险、外部链接和第三方服务风险、合规性风险等。其中,数据隐私泄露风险主要聚焦在个人信息收集和敏感数据保护带来的风险;恶意代码和病毒攻击风险主要聚焦在代码漏洞和钓鱼小程序带来的风险;内容违规和不良导向风险主要聚焦在违法违规内容和不良导向带来的风险;技术漏洞和安全配置不当主要聚焦技术漏洞、安全补丁、安全配置不当带来的风险;外部链接和第三方服务风险主要聚焦在恶意链接、第三方服务带来的风险;合规性风险主要聚焦在法律法规遵循情况和用户权益保护程度带来的风险。
——
政策与方向
《中华人民共和国反电信网络诈骗法》对包括小程序在内的移动互联网应用程序提出了安全要求,要求开发者采取有效措施防范电信网络诈骗,保护用户信息安全。《互联网信息服务管理办法》(国务院令第292号)规定了互联网信息服务提供者的责任和义务,包括信息安全保障、用户权益保护等方面的要求。小程序作为互联网信息服务的一种形式,同样需要遵守这些规定。《非经营性互联网信息服务备案管理办法》虽然主要针对非经营性互联网信息服务提供者,但小程序开发者在备案过程中也需要遵循相关要求,确保信息的真实性和准确性。《工业和信息化部关于开展移动互联网应用程序备案工作的通知》要求移动互联网应用程序(包括小程序)的开发者或运营者进行备案,以加强移动互联网应用程序的管理,保障用户权益和网络安全。通知明确了备案的时间节点、流程和具体要求,要求开发者或运营者按照规定的时间和要求完成备案工作。
——
标准与要点
《网络安全法》作为网络安全领域的基本法律,对包括小程序在内的所有网络产品和服务提出了安全要求,要求小程序开发者需要确保小程序不含有恶意代码、不泄露用户信息、不侵犯用户权益等。《移动智能终端应用软件安全管理规定》规定旨在加强移动智能终端应用软件的安全管理,防范网络安全风险,保障用户权益。对于小程序而言,它同样需要遵守该规定中关于个人信息收集、使用、存储等方面的要求,确保用户数据的安全。金融领域发布了《移动金融客户端应用软件安全管理规范》对移动金融客户端应用软件(包括小程序)的安全管理提出了具体要求,如加密技术、身份认证、交易安全等。电信与互联网领域同样也发布了多项与移动互联网应用程序(App)用户权益保护相关的标准,这些标准同样适用于小程序,关注用户隐私保护、权益保障、安全漏洞修复等方面的问题。
——
防范与措施
结合上述的趋势,从风险、政策、标准分析来看,小程序安全需加强数据保护,确保用户数据的安全性和隐私性;需定期进行代码审查和安全漏洞扫描,及时发现并修复安全漏洞;需提高小程序审核标准和门槛,严格把控小程序的上线流程;需加强对恶意代码和病毒的防范能力,采用安全的技术手段进行防护;需加强对内容违规和不良导向的监管和处罚力度;需提醒用户提高安全意识,学会识别和防范钓鱼小程序等安全风险。
——
能力与方案
爱加密针对小程序安全从加固、检测、合规、服务的角度形成全方位小程序安全解决方案。
(一)加固侧:爱加密通过原生小程序进行加固,并支持针对微信小程序、支付宝小程序、抖音小程序的安全加固。主要将加固能力聚焦在代码保护、提高代码复杂度、提高分析难度、核心代码保护、混淆加密、调用转换、自定义解释器、假代码插入等能力,通过对程序中的控制流实现保护代码的目的、通过增加JS原始代码分析复杂度提高防攻击能力、通过对源代码字符串进行混淆加密进行核心代码位置保护、通过对代码常量数字进行混淆加密保护常量数字位置、通过将JS二元表达式转换成等价函数调用形式保护核心算法原始逻辑、通过将JS代码中函数名称和变量名称进行混淆防止通过识别函数攻击核心代码、通过对JS代码属性名称混淆防止被人轻易使用、形成非格式化H5文件、通过对JS代码压缩增加攻击者的阅读难度、通过加固JS防调试能力提高攻击者静态分析难度、通过对打印函数信息控制增加攻击者分析难度、通过加固JS防篡改能力阻止被篡改代码运行、通过对JS代码转化使其只能自定义解析器解释运行(VMP)、通过对采用随机技术提供攻击分析难度、通过在JS中插入假代码保护核心业务逻辑安全等;
(二)检测侧:爱加密通过微信小程序安全检测平台,对基本信息、开放端口、通信传输风险、数据泄露风险、通用Web风险、代码安全风险、系统泄露风险等进行全方位的检测。并支持通过平台查看应用的检测状态、分数、详情、下载报告、任务搜索、任务删除、资产聚合等功能;
(三)合规侧:爱加密提供微信小程序合规检测平台,将针对App安全、微信小程序安全的合规检测要求进行能力汇聚,将针对工信部发布的164号文中2大检测分类6个检测项,覆盖22个检测场景的全自动化检测能力,并输出检测依据内容,包括图片、隐私政策片段、触发行为、行为主体、触发频率等内容。将针对四部委发布的191号文中6个检测项,覆盖18个检测点的全自动化检测能力,并输出检测依据内容,包括图片、隐私政策片段、触发行为、行为主体、触发频率等内容。用户可通过上传微信小程序名称和AppID,启动检测。检测任务启动前需要登录微信,通过投屏操作,完成微信登录后即可开始检测等;
(四)服务侧:爱加密针对微信小程序提供渗透测试服务和合规检测服务,渗透测试服务主要针对信息收集、配置管理、认证测试、验证码安全、授权控制、会话管理、信息数据、输入验证、错误处理、业务逻辑等进行渗透测试;合规检测服务主要合规要求,按照隐私政策履行、隐私政策文件条款合理性、个人信息收集界限、个人信息处置规则、个人信息权益保障、告知同意、诉求反馈等进行提供合规检测服务,保障用户业务、功能等在合法合规的情况下开展。
爱加密作为国内知名的移动信息安全综合服务提供商,通过不断探索与实践,形成了AI、技术、数据三位一体循环驱动,产品技术一体两翼协同发展的产品布局,可为各行各业客户提供完善的防护方案!
欢迎给我们留言
点击关注,不错过下次精彩内容
往期推荐
Recommended in the past
