6月11至12日， 2019 腾讯安全国际技术峰会上，腾讯安全科恩实验室对外发布了《2018年Android应用安全白皮书》（以下简称《白皮书》），该实验选取了14个应用市场分类中下载量前100名左右的APP，共计1404个检测样本。检测结果显示，这1404个样本中，有1381个APP存在安全问题，这意味着，98%的安卓应用存在安全风险。

其中共计165款App涉嫌过度收集了位置信息。分别有113款、104款、17款APP涉嫌过度收集或使用短信、手机号码、身份信息。

98%的安卓APP存在安全风险

安卓系统到2018年已经有10年的历史，系统进驻超过20多亿台设备。但2012年到2018年，安卓平台的恶意程序数量增长迅猛。

截至2018年第三季度末，GDATA统计数据显示在安卓系统发现超过320万个新的恶意样本，平均每天发现超过11000个新的恶意软件样本。

其中，影音播放类Android应用存在的安全风险数量最多，其次是通讯社交和网上购物类应用。相对于其他类型的移动应用，这三类应用的产品功能和交互方式都较丰富，且具有较高的用户黏性。存在其中的安全风险一旦爆发，影响的用户量级和范围将大大超乎预期。

在安全风险的类型方面，拒绝服务漏洞、隐式Intent信息泄露以及二进制三类安全风险的数量最多，且影响的App数量也位列前三。

其中，超80%的移动应用皆存有隐式Intent信息泄漏风险。利用这些已深度侵入到Android应用内的漏洞，攻击者即可实现对用户信息的绑架、资费的恶意扣取与消耗等，甚至将多种风险进行整合构建，形成贯穿应用开发、上架和用户交互等全流程的攻击链路，从而容易引发高达亿级的应用安全危机。

政策打击力度加强

除此次白皮书数据之外，来自“电子商务消费纠纷调解平台”的大数据同样显示，近年来包括天猫、淘宝、京东、苏宁易购、唯品会等电商平台，以及大众点评、百度糯米、携程等生活服务平台，均曾出现过用户信息泄露事件。

仅在2018年，就多次出现用户个人信息泄露事件，比如圆通、顺丰十几亿条个人信息在暗网被出售，12306数百万条旅客信息在网上被出售等。

不过，在5与28日，国家互联网信息办公室发布《数据安全管理办法（征求意见稿）》，在“征求意见稿”的数据收集一章中，网信办首先强调APP必须明确产品的信息收集使用规则，不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。

随便注册一个应用就要身份证号，推送来的广告好像会“读心”，大数据“杀熟”防不胜防，注销账号“难于上青天”……这些在个人数据保护中频频出现的难题有望迎刃而解。

根据全国信息安全标准化技术委员会所说，本文件依据相关国家标准提出的个人信息最少够用原则，针对当前移动互联网应用中存在的超范围收集、强制授权、过度索权等个人信息安全问题，结合当前移动互联网技术及应用现状，围绕用户数量大、社会关注度高的移动互联网应用基本业务功能，给出了保障其正常运行所需收集的个人信息，为移动互联网应用收集个人信息提供实践指引。

如何规避信息泄露

互联网给我们带来了方便，信息安全隐患也随之增加，增强个人信息泄露的意识愈加必要。

如何规避，关注以下三点：

1、在合理条件下，尽量保证“百米”内的个人信息

由于物流业的迅速发展，生活中的很多需求都选用“快递”方式来解决。比如送餐、网购等。这样做在获得方便的同时我们的个人信息如姓名、电话、家庭住址等也被公布到商家的数据库，甚至每一个送餐员的手中，信息泄露在所难免。

所以如果条件允许，尽量只将自己的个人信息提供到单元号、楼号，甚至小区门前，这样虽然没有送货上门方便，却从一定程度上保护了自己最精准的个人隐私。

2、尽量减少个人信息之间的关联程度

支付宝等交易软件往往绑定了自己多张银行卡。网购软件中也记录着自己家庭地址、公司位置，生活轨迹一览无余。所以为了避免自己受到“牵一发而动全身”的损害。

尽量将自己涉及隐私的信息单独处理，如使用一张银行卡专用于网络消费；所有收货地址统一选用公司地址等，这样即使个人信息遭受泄露，也可以将损害控制到最小的范围。

3、经常清理遗留个人信息，以及浏览痕迹。网页浏览历史经常清理，接收的包裹要销毁个人信息后再处理。

来源：财经早餐童夏Summer综合新京报、搜狐、央广网等