Aggregator

In the face of sudden trade restrictions, sanctions, or policy shifts, relying on SaaS providers outside your region for identity services is a gamble that companies can no longer afford to take. With trade disputes set to escalate, a sudden policy change could result in SaaS providers pulling out of regions or being forced to comply with new regulations that render identity services inaccessible. While software companies have yet to be put in the crosshairs, … More →

The post The hidden risk in SaaS: Why companies need a digital identity exit strategy appeared first on Help Net Security.

今年央视“3·15晚会”揭露了黑灰产业利用技术外衣非法攫取个人隐私的系列事件。从披着合法外衣的“电子签高利贷陷阱”，到利用AI技术全天候骚扰用户的黑色产业链，个人信息主权正面临前所未有的挑战。

晚会曝光的案例中，借贷宝、人人信等平台以合法协议为幌子，实则通过虚增债务、虚假账号和人脸识别绕过等手段进行牟利，致使借款人陷入维权无门的困境；某些所谓“大数据获客”企业以爬虫技术为工具，肆意扫描短视频平台评论区，抓取用户手机号、社交账号等敏感信息，甚至通过三网通信数据对用户进行超3800项标签分类。近日的百度副总裁之女“开盒”事件更是引发轩然大波，未成年人通过海外“社工库”群组，仅需300元即可精准获取他人户籍、开房记录等敏感信息。

针对晚会曝光的智能骚扰、虚商实名漏洞等问题，工信部与多地通信管理局迅速行动，关停涉事线路、核查数据流向，并督促平台清理违法外呼软件。国家层面正通过执法强化与行业协同，构建隐私保护的全链条防线。政策监管是合规底线，企业与“个人信息处理者”的主动合规才是关键。

作为移动安全领域的守护者，梆梆安全深知，隐私保护不是选择题，而是企业的生命线。基于《个人信息保护法》与行业实践，梆梆安全建议企业应高度关注以下几点，筑牢数据安全屏障：

1.最小必要，从源头扼制过度收集

“强制索权”乱象根源在于企业对“最小必要”原则的漠视。通过动态检测技术，确保仅收集与业务直接相关的信息，杜绝“健康类APP读取通讯录”等违规行为。

2.透明化告知，重建用户知情权

模糊的隐私政策与“被同意”陷阱正在侵蚀用户信任。建议以简明语言披露数据用途、第三方SDK清单，并通过可视化界面让用户真正掌控选择权。

3.严控第三方风险，筑牢数据防火墙

第三方SDK是隐私泄露的重灾区。须严格审核合作方资质，明确数据共享边界，并在隐私政策中披露全链路责任主体，实现风险可追溯。

4.高效响应用户权利，拒绝“注销难”顽疾

用户“查、删、改”诉求常被拖延推诿。建议企业搭建自动化响应系统，确保15个工作日内处理数据请求，并提供一键撤回授权、注销账户等便捷功能。

5.终结非必要自启动，让隐私“退场即安全”

频繁自启动不仅消耗资源，更可能窃取隐私。可通过行为监测技术，识别并拦截非业务必需的关联启动，确保用户退出即终止服务。

从315曝光的黑色产业链，到全民参与的“反开盒”行动，隐私安全已从技术议题升维为社会共识。梆梆安全依托多年技术沉淀，以为“自动化检测+人工审查”形式，根据企业用户业务场景，提供从合规检测、风险评估到整改落地的个人信息隐私合规评估及咨询服务。未来，梆梆安全将持续与政府、行业及用户携手，以技术为盾、以责任为锚，共同捍卫个人信息安全主权。

数智时代发展瞬息万变。把握新趋势、防范新风险、迎接新变革，将成为2025年各行各业的愿景与使命。《网络安全和信息化》杂志和IT运维网联合推出“一年一等待——2024企业数智化转型实践成果”，面向新型信息基础设施、数字安全、IT运维、人工智能四大领域，围绕产业观察、产业趋势、厂商解决方案和案例，汇集成册，推荐给广大行业企业用户。

趋势洞察

鸿蒙应用安全新纪元：移动应用加固技术发展趋势洞察

作者：

北京梆梆安全科技有限公司CTO  陈彪

鸿蒙系统作为国产操作系统的代表，正以迅猛之势拓展其市场版图，构建起庞大的应用生态。随着应用数量的爆发式增长，移动应用安全成为鸿蒙系统不容忽视的关键环节。在网络安全形势日益严峻的当下，未加固的应用极易成为黑客攻击目标。恶意分子可轻易篡改应用代码，植入恶意程序，窃取用户的账号密码、支付信息等重要数据，这不仅会让用户遭受经济损失，还严重侵犯个人隐私。市场分析表明，未来，移动应用安全将更加注重代码加固、运行环境检测以及动态防护能力的提升。这一趋势不仅反映了市场对应用安全的高度重视，也为安全产品的技术演进指明了方向。

鸿蒙移动应用安全问题

1.HarmonyOS全球第三大智能操作系统

2024年6月21日，华为召开开发者大会（HDC.2024），发布全场景智能操作系统HarmonyOS NEXT Bate版。该系统版本采用全新鸿蒙内核，系统性能全方位优化提升，相比HarmonyOS性能提升30%，同时功耗下降了20% 。鸿蒙生态设备数量已超过9亿，开发者人数超过254万，包括淘宝、支付宝、美团、银联、建设银行、招商银行等超过5000款主流应用加入鸿蒙原生应用生态。

2.鸿蒙应用面临的安全风险在快速上升

尽管鸿蒙应用的发布有着严格审核、上架流程，并且只能在华为商店内下载和安装。但随着鸿蒙系统的高速发展，鸿蒙应用承载了越来越多的各种业务，大量开发者和用户加入鸿蒙生态，这也将导致针对鸿蒙应用的黑客攻击越来越多。仅仅依靠华为的上架审核，鸿蒙应用开发企业将面临较高的核心代码泄露、知识产权泄漏等安全风险。

3.移动应用的强监管

随着近几年国家对网络安全的重视，从国家部门到行业监管机构，以及企业内部的信息安全部门，都建立了移动应用安全的各类检查、测评方法，开发者需要通过相关的应用安全测评，才能进行市场发布。包括鸿蒙、Android、iOS等移动应用都在监管审查范围内。而随着应用开发者需要支持更多操作系统的移动应用开发，他们也更加没有时间、精力、技术去解决移动应用安全建设的问题。例如，移动应用需要具备防止代码被逆向破解、防止基于调试工具的内存调试；代码内的明文字符串信息需要加密隐藏保护，数据文件不能够被非法读取和篡改；TS代码文件需要加密保护；SO代码文件需要加密保护；移动应用需要具备防界面截屏录屏保护等。

4.鸿蒙应用的常见安全问题

敏感信息泄露。鸿蒙应用敏感信息泄露漏洞可能因权限管理不当、数据传输不安全或应用内部漏洞而导致用户隐私数据被窃取。攻击者利用这些漏洞，可以获取用户的地理位置、通讯录、短信等敏感信息，进而造成用户财产损失和隐私泄露。使用App的敏感数据包括但不限于口令、密钥、证书、会话标识、License、隐私数据（如短消息的内容）、授权凭据、个人数据（如姓名、住址、电话等）等，在程序文件、配置文件、日志文件、备份文件及数据库中都有可能包含敏感数据。

明文传输核心业务数据泄漏。鸿蒙NEXT应用在某些情况下可能存在明文传输核心业务数据的安全漏洞，这意味着敏感数据（如用户个人信息、交易记录等）在传输过程中未进行加密处理，容易被第三方截获和滥用。此漏洞一旦被恶意攻击者利用，将严重威胁用户的数据安全和隐私保护，可能导致用户敏感信息泄露、财产损失等严重后果，同时，也可能对鸿蒙NEXT应用及华为的品牌声誉造成负面影响。

篡改及二次打包漏洞。鸿蒙NEXT应用面临的篡改及二次打包漏洞指的是恶意攻击者对应用进行逆向工程，修改其代码或资源，然后重新打包并分发，可能导致恶意功能被植入应用中。这种漏洞会破坏应用的完整性，使得用户可能在不知情的情况下下载并安装了被篡改的版本，从而面临隐私泄露、数据损坏或安全攻击的风险。

输入及传输数据泄露风险。鸿蒙NEXT应用在处理输入数据时，如果未对键盘输入进行安全防护，可能会面临键盘记录器等恶意软件的威胁，导致敏感信息如密码和个人信息被非法抓取和分析。传输数据泄漏风险指的是应用在传输过程中如果没有采用加密措施，攻击者可能通过中间人攻击等手段截获、监听和篡改应用的通信数据，造成数据泄露或被恶意利用。

鸿蒙移动应用安全建设

梆梆安全作为率先与华为开展鸿蒙NEXT应用新鸿蒙应用加固技术研发的安全厂商，支持为鸿蒙应用提供ArkTS、标准TS、C/C++、SO等代码的深度混淆加固保护及运行环境风险识别和阻断能力，防止核心代码泄露，保护鸿蒙NEXT应用安全。

梆梆安全鸿蒙应用加固产品，是基于梆梆安全“源到源”加固保护技术自主研发的全新鸿蒙应用加固产品，专门为HarmonyOS NEXT App提供全面的代码防逆向、防分析、防窃取等安全保护服务，充分保护企业开发新鸿蒙应用的核心代码安全。主要保护效果和价值如下：

1.ArkTS代码加固保护

通过核心算法对ArkTS代码进行控制流混淆、虚假控制流、字符串加密、表达式混淆、常量混淆、变量混淆、多样化混淆等安全加固处理，提供全方位保护，极大提升ArkTS代码对抗静态逆向破解能力，让被逆向的代码无法被理解。

2.C/C++代码加固保护

通过核心算法对C/C++代码进行控制流平坦化混淆、基本块切割、不透明谓词、伪造控制流、字符串加密、指令替换、多样化混淆等安全加固处理，提供全方位保护，极大提升C/C++代码对抗静态逆向破解能力，让被逆向的代码无法被理解。

3.SO文件加固保护

为SO二进制文件提供加壳保护能力，保护鸿蒙应用软件核心知识产权安全。

4.运行环境安全保护

为鸿蒙NEXT应用提供运行环境风险检测识别能力，可以防止在不安全的OpenHarmony系统、模拟器等环境中运行，防止被动态调试分析、截屏录屏、屏幕共享、网络代理等攻击行为，全面保障应用运行时的安全。

结语

随着鸿蒙系统的不断演进，梆梆安全应用加固技术也在持续创新。通过代码加固、安全SDK能力开发及实时检测&监测技术的精进，深度适配鸿蒙各版本系列手机，确保应用安全性与兼容性。这一趋势不仅提升了鸿蒙应用的安全防线，也满足了华为应用商店的严格审核标准，为鸿蒙生态的安全未来奠定了坚实基础。