随着数据安全法、个人信息保护法等有关数据安全法律法规的正式施行,数据的融合应用与价值落地面临新的机遇与挑战。当前,信息合规成为监管重点,国家网信办、市场监管总局等数据保护监管部门的执法力度加大,大量违法违规收集、使用个人信息的应用程序被责令下架、整改,安全合规已被提升到战略高度。
作为国内知名的移动信息安全综合服务提供商,爱加密充分发挥自身技术优势和企业社会责任感,致力于移动应用的个人信息安全保护。通过爱加密移动应用个人信息安全检测平台,可针对移动应用的基本信息、漏洞信息、收集和使用个人信息行为、通讯传输行为、软件和技术供应链情况、技术脆弱性、隐私政策规范性等进行多维度安全检测和合规检测,并出具专业的个人信息安全报告。帮助监管机构准确、有效地提供行政执法依据;帮助测评机构出具专业的个人信息测评报告;帮助应用开发企业在应用发布前评估个人信息的安全性和合规性。
核心技术
沙箱系统
自主研发的沙箱系统,可监测APP在运行过程中的高达100+种行为,包括读取文件、写入文件、获取应用进程、读取系统配置等行为。同过行为函数调用栈对行为主体进行分析,过滤APP或SDK行为,针对性排查违规行为主体,定位行为触发的代码位置。
DPI技术
沙箱系统结合DPI技术,对应用通讯传输数据进行抓取,分析传输数据内容,访问服务器地址、地理位置、网络传输类型等信息。定位信息接收对象,分析数据内容是否包含个人信息。
IDB服务
建立127.0.0.1本地websocket服务,浏览器连接上后,启动动态/法规检测,会给IDB发启动命令,IDB启动手机websocket服务,通过ssh通知手机连接IDB手机websocket服务,IDB下载ipa之后,将ipa移动到手机指定路径,调用命令安装,然后启动。手机检测过程中产生行为数据,经由IDB转发到浏览器端。
应用场景
针对应用分发渠道:
该行业APP基数大,更新频繁,新上架数量多,需及时响应监管要求,快速发现违规风险应用,及时下架、整改,并为违规应用提供整改方案及服务,帮助企业快速合规,避免下架带来的用户流失、经济损失、形象损坏等问题。通过平台的API接口方式进行对接,实时获取应用商店推送或上新的APP,结合云手机能力及当下监管机构重点关注法规内容,进行全自动化检测,快速发现APP中存在的风险,并给出确切证据链内容。另外也可采用本地化部署模式,或提供接口,爱加密提供硬件能力,检测后将数据推送回应用商店,应用商店再对存在风险的APP进行下架提醒。
针对大型开发企业:
有专业的法务团队,能根据APP的实际情况编写个人信息保护政策内容,a.APP迭代更新时,仅需要根据新增的内容进行修改个人信息保护政策;b.新APP,根据APP中收集使用个人信息情况进行个人信息保护政策编写。通过APP自动化脚本对APP进行登陆、注册、业务功能自动化遍历,输出检测结果,将检测结果提交给法律部门,对个人信息保护政策内容进行整改,或根据法规内容,进行相应修改。批量或单个上传应用包(资产管理),进行全自动化检测(快速检测),自动执行自动化遍历脚本,输出检测结果。另外本地化部署模式,不同部门、职位,可通过账号角色配置(角色管理、用户管理)控制访问资产权限。
针对小型开发企业:
无专业的法规团队,因此先通过测评机构或律所,对所有APP进行测评,提出整改建议,对个人信息保护政策内容进行编写、规范。此后,版本迭代优化,根据APP内容变化,对个人信息保护政策进行相应修改。通过平台的自动检测或人机交互模式进行检测,输出检测结果,检查出违规行为、数据,对APP进行整改,或对个人信息保护政策内容进行修改。上传应用包(资产管理),模拟用户真实使用场景(深度检测),对应用进行深度全面检测,输出检测报告。可采用SAAS账号模式,无需部署,通过web端登录账号即可使用。
针对监管机构:
针对已通过备案的APP进行该APP所有应用市场渠道上上架的版本检测,检测APP是否存在个人信息违规内容,对违规应用进行通报、下架、整改。APP数量庞大,从中筛选出违规应用,使用纯人工需耗费大量的人力、时间。可通过批量自动化检测,初步筛选出可疑APP,再进行深度检测,检测违规行为。批量上传应用包,先通过全自动化检测模式(快速检测),过滤筛选出可疑的违规应用,对该应用进行全方位深度检测(深度检测),模拟用户真实使用场景,对该应用内所有业务功能进行遍历,对检测结果,结合法规内容,进行法规检测项内容判断(法规检测)。本地化部署模式,不同部门、职位,可通过账号角色配置(角色管理、用户管理)控制访问资产权限。