您的位置 首页 新闻

黑白照绕过人脸识别,SDK明文传照片?详解App后续治理

2020年国家网络安全宣传周正在进行中,近日,由App违法违规收集使用个人信息专项治理工作组(下称“App专项治理工作组”)承办的个人信息保护主题论坛在线上召开。

2020年国家网络安全宣传周正在进行中,近日,由App违法违规收集使用个人信息专项治理工作组(下称“App专项治理工作组”)承办的个人信息保护主题论坛在线上召开。

经过一年多的治理工作,虽然App个人信息安全问题有所好转,但据App专项治理工作组专家此前透露,“人脸识别”技术的应用、SDK治理以及强化应用商店审核管理等仍是后续治理的难点和突破点。在此次主题论坛上,各领域专家也分别就这些问题进行了探讨。

陈湉

有App可利用黑白照片绕过人脸活体检测

近两年,随着人脸识别技术的迅速发展,“刷脸”逐渐成为新时期生物别技术应用的主要领域。互联网企业纷纷推出账号实名认证,并将人脸识别环节在相关App中实现。

中国信息通信研究院安全研究所数据安全研究部副主任陈湉介绍,根据前瞻产业研究院对六大权威机构的汇总,乐观估计2020年我国计算机视觉市场规模有望突破1000亿。

黑白照绕过人脸识别,SDK明文传照片?详解App后续治理

中国信息通信研究院安全研究所数据安全研究部副主任陈湉。

陈湉总结道,目前App人脸识别技术的应用场景主要包括电商、金融、电信、出行、美图娱乐、在线教育、智慧园区等。App中用到人脸识别技术主要有两大类,一类是身份识别,包括人脸的解锁、远程开户、身份核验等;另一类是基于面部特征分析的人脸识别应用,包括视频照片换脸、面部表情分析等。

今年6月,中国信通院安全所和百度联合发布了《人脸识别技术在App应用中的隐私安全研究报告》。陈湉介绍,App人脸识别的安全问题主要有三个方面,分别是数据泄露、数据滥用和深度伪造。

针对人脸数据泄露安全问题,上述报告检测了14款App,其中发现有五款存在安全风险。比如一款美图娱乐类App存在证书校验不当的安全问题,在App颜值管家功能中,用户自定义上传人脸特征数据,由于App未正确验证证书,存在中间人攻击风险,攻击者可利用漏洞窃取传输的人脸特征数据。

在人脸深度伪造安全问题上,报告检测了10款App,发现一款出行类App可以利用黑白照片成功绕过活体识别检测,一款政府应用类App可以利用屏幕视频播放成功绕过活体识别检测。

刘行

有些SDK会明文传输用户的人脸照片

在今年的央视315晚会上,App的第三方插件——SDK擅自获取用户隐私的乱象受到大众关注。

SDK( Software Development Kit)是一种软件开发工具包。第三方SDK向App开发者提供简单的接口,使App开发者高效率、低成本地实现地图、支付、统计、社交、广告等一系列功能,同时自身也具备获取相当一部分设备信息和用户个人信息的能力。

在主旨演讲中,中国电子技术标准化研究院信息安全中心研究员刘行表示,目前,第三方SDK已经在App中广泛使用。根据南都个人信息保护研究中心去年发布的《常用第三方SDK收集使用个人信息测评报告》,平均每款App会使用19.3个SDK。

黑白照绕过人脸识别,SDK明文传照片?详解App后续治理

中国电子技术标准化研究院信息安全中心研究员刘行。

一直以来,SDK违规收集使用个人信息保护的问题长期存在,今年315晚会也对此进行了曝光。据报道,它们会在用户不知情的情况下,读取电话号码、短信、通讯录、地理位置等信息,并上传到自己的服务器。

“第三方SDK收集完用户的个人信息,它既可能仅作为一个数据的处理者,又可能是作为数据的共同控制者,这就导致其中的关系比较复杂。”刘行说。

他进一步解释,比如对于用户而言,通常情况下他(她)不知道自己使用的App中嵌入了多少款第三方SDK,以及这些SDK会收集哪些个人信息以及用于什么目的;对App提供者来说,它有可能没有在隐私政策中说明自己使用第三方SDK的行为。

刘行表示,“因为第三方SDK对App提供者来说可能是一个黑盒子,所以App提供者在一些情况下也很难去分析第三方SDK具体收集了哪些用户个人信息。”此外,第三方SDK提供者通常没有与用户直接交互的界面,所以很难去向用户进行告知。

根据App专项治理工作组的前期工作经验,刘行认为目前第三方SDK在个人信息安全方面主要存在四类问题:第一类是收集使用个人信息的规则不透明,其中既包括App对用户不透明——App未向用户表明 App中使用了哪些第三方SDK及其收集个人信息的行为,也包括SDK提供者对App也存在不透明的情况,它也未向App提供者说明自己收集个人信息的行为。

第二类是过度收集个人信息,一方面是指超出必要范围收集,另一方面是指收集个人信息的频率过高。第三类是明文传输用户的个人敏感信息。刘行介绍,他们在测试中发现,有些人脸识别SDK会明文传输用户的人脸照片。

第四类是存在自启动(包括开机自启动和关联自启动)收集个人信息的行为。刘行说,“我们在测试中发现,可能很多App它并不知道自己嵌入的SDK会在用户开机之后主动启动,导致 App也进行了启动去收集用户个人信息。”

他还表示,目前对第三方SDK的监管已成一个重点。之后对第三方SDK收集个人信息行为的评估主要包括,隐私政策的审阅,App功能的适用,以及静态代码分析和静态数据流分析,并且同时会结合动态的API监测以及网络数据包分析。

朱玲凤

超级App加大应用商店权限审核难度

今年7月下旬,2020年新一轮App违法违规收集使用个人信息治理工作启动。在22日召开的启动会议上,App专项治理工作组指出,新一轮治理的重点工作包括制定出台App收集使用个人信息行为应用商店审核管理指南。

在此次论坛上,小米集团公司法务副总监,隐私保护委员会副主席朱玲凤探讨了这个问题,她详细分析了在个人信息保护问题上,给应用商店设定怎样的责任才是合理的。

黑白照绕过人脸识别,SDK明文传照片?详解App后续治理

小米集团公司法务副总监,隐私保护委员会副主席朱玲凤。

公开数据显示,我国近9亿用户当中有99.1%的用户是通过手机上网,在应用商店中上架的应用数量据不完全统计有400万款,其中每天每个用户平均有4.9个小时在用手机进行上网。朱玲凤表示,应该说,今年全面进入到了移动互联时代,应用商店在移动生态监管中有重要的枢纽作用。

她指出,在应用商店的个人信息保护责任上,虽然目前还没有法律法规方面的规定,但一些专项治理的公告中有明确提到,而且从2019年到2020年的监管要求也发生了变化。

比如,2019年《关于开展App违法违规收集使用个人信息专项治理的公告》中提到,应用商店要优先推荐通过认证的App,在2020年的公告中则强调应用商店的平台管理责任。

但朱玲凤也提到,目前应用商店在保护个人信息方面还有一些落实的难点。首先在于对平台内应用的审查,她认为判断App是否符合个人信息保护相关规定的统一标准是缺乏的,而且评测起来难度比较大。

其次,第二个问题是在于平台公示信息的范围。朱玲凤提到,根据有关规定,公示信息不到位是平台落实责任不到位的一种体现,但公示信息的范围是什么、具体执行标准应该是什么样还没有具体规定。

此外,第三个问题是,当App如果出现了违法违规侵犯公民个人信息的问题,一旦涉及到下架、以及下架之后如何恢复上架,具体的流程和标准还不是完全统一。

“我国App有个很大的特点就是超级App很多,这些App适用场景复杂,比如出行服务App带有金融功能,阅读App带有社交功能,”她表示,对于这些App在哪些情况下申请哪一项权限是合理的问题比较复杂,对评测人员的要求会非常高,审核起来困难比较大。

她还提到,应用开发者和应用商店提供者都是平等的市场主体,如果不赋予法定的管理责任,平等的市场主体之间无法真正落实管理责任。朱玲凤强调,在个人信息保护问题上,应用和应用商店之间是没有用户个人信息的交互的,所以也就没有个人信息使用规则上的边界。

在她看来,应用商店更类似于传统商场入驻商家的平台管理角色,首先需要判断这个商家是否可以合格进入商场销售产品,同时对商家进行一些引导,比如不能销售假冒伪劣产品等,而且也会有公示信息和熔断的机制,当消费者投诉时及时下架商品。

最后,朱玲凤总结了应用商店的个人信息保护管理责任的合理边界。她认为,在引导层面,要在开发者文件中引导个人信息保护的规则;在准入层面,要由监管机构提供测试结果或者技术测试标准,明确App准入门槛;在公示层面,要公示应用的权限和个人信息使用规则;在熔断机制方面,当主管部门或者消费者投诉的时候要及时下架应用。

采写:南都记者 李慧琪

本文来自网络,不代表因凡互动立场,转载请注明出处:http://www.zxgo.com.cn/7124.html

作者: admin

为您推荐

发表评论

电子邮件地址不会被公开。 必填项已用*标注

联系我们

联系我们

13718126670

在线咨询: QQ交谈

邮箱: 1966743444@qq.com

关注微信
微信扫一扫关注我们

微信扫一扫关注我们

关注微博
返回顶部