24年首批!上海通管通报违规app涉及欧莱雅、玛莎
8月16日上海市通信管理局官方微信公众号“上海通信圈”发布《上海市通信管理局关于侵害用户权益行为app的通报(2024年第一批)》。本次app通报为2024年第一批。内容显示本次共通报26款移动互联网应用程序涉及app和小程序。
应用来源:本次检测的应用来源均为主流分发平台如应用宝、百度手机助手、vivo应用市场、华为应用市场、豌豆荚等。特别注意的是豌豆荚存在爬取外部渠道应用的行为,因此需要留意此应用市场app版本新旧问题。
涉及问题:违规收集个人信息(top1)、超范围收集个人信息、app自启动和关联启动、未合理申请使用权限等
具体问题详情如下:
存在问题的APP(小程序)名单(2024年第一批)
笔者写在最后:不管是工信部层面还是地方属地app侵害用户权益通报已成为常规动作,并且在纵深推进,从最初的安卓移动应用到苹果程序再到微信小程序,相信不久将来鸿蒙应用、快应用等新形态移动应用也会纳入到常规的监管范围。
app合规治理对于大多数企业确实存在困难:
一难:权限难收口:app的开发流程在很多企业已经有一套固定的流程,想要去打破藩篱,侵入性的对权限进行收口。既考虑安全人员的方案设计水平、和产品经理、开发经理的沟通能力也考验企业高层对安全的支持程度,不然难以推进。
二难:个人信息收集渠道难管控:对于不少中小企业可能连安全评审机制都没有那怎么去保证个人信息收集的渠道是合规的了。因此建立安全评审机制、流程宣贯并且落地实施就极其重要,有赖安全同学下狠功夫。
三难:app场景难测全:面对敏捷开发,产品的迅速迭代,app业务场景千奇百怪,极其复杂,安全同学很难在测试阶段去全面检测,难免遗漏场景。因此需要培养具备app合规思维的测试同学,参考纵深防御体系,需通过开发自测、安全员专业测试来确保不遗漏。有钱有实力的企业也可以考虑自动化方式测试方案来弥补人力天生的缺陷。
相关文章
子母钟系统,安徽京准助力高考精准时间 子母钟系统,安徽京准助力高考精准时间 京准电子科...03-18
京准电钟:NTP校时服务器于安防监控系统应用方案 京准电钟:NTP校时服务器于安防监控系统应...03-18
参考视频:https://www.bilibili.com/video/BV1itwgeHEEk/?spm_id_from=333.1387.upload.video_card.click&vd_source=e9...03-18
京准电钟:NTP精密时钟服务器在自动化系统中的作用 京准电钟:NTP精密时钟服务器在自动化系...03-18
EWM181-Z12S简易型zigbee3.0模块的技术解析与应用指南
一、产品概述:重新定义低功耗无线通信 EWM181-Z12S是简单易用型工业级ZigBee3.0无线模块,支持...03-18
这里要说的是,用户登录密码属于用户隐私数据。首先,隐私数据属于敏感数据,不能明文传...03-18
本文将介绍 TOPIAM 与 Wiki 集成步骤详细指南。 应用简介 Wiki.js 是一款高度可定制...03-18- 官方下载 夸克网盘 Kali Linux 2021.3具有以下优势: 增强的OpenSSL兼容性 扩大连接范围:重新配置...03-18
一.ELF文件结构 0x01什么是ELF文件 1.linux环境中,二进制可持性文件的类型是ELF(Executable and Link...03-18
京准电钟:北斗卫星校时器助力智慧电子政务系统 京准电钟:北斗卫星校时器助力智慧电子政...03-18
最新评论