报告显示：检测国内50家银行小程序，平均每个小程序8项安全风险

       光明网讯（记者 李政葳）近日，在由国家网信办指导、国家计算机网络应急技术处理协调中心（CNCERT/CC）主办的2021年中国网络安全年会上，国家计算机网络应急技术处理协调中心（CNCERT/CC）编写的《2020年中国互联网网络安全报告》（以下简称《报告》）对外发布。《报告》显示，App违法违规收集个人信息治理取得积极成效，但个人信息非法售卖情况仍较为严重，联网数据库和微信小程序数据泄露风险较为突出。

　　最新数据显示，截至2020年底，国内主流应用商店可下载的在架活跃App达到267万款。为落实《中华人民共和国网络安全法》，进一步规范App个人信息收集行为，保障个人信息安全，国家四部门持续开展App违法违规收集使用个人信息治理工作，对存在未经同意收集、超范围收集、强制授权、过度索权等违法违规问题的App依法予以公开曝光或下架处理；研究起草了《常见类型移动互联网应用程序（App）必要个人信息范围规定（征求意见稿）》，并面向社会公开征求意见，规定地图导航、网络约车、即时通信等常见类型App的必要个人信息范围。

　　《报告》还提到，经监测发现，涉及身份证号码、手机号码、家庭住址、学历、工作等敏感个人信息暴露在互联网上，全年仅CNCERT/CC就累计监测发现政务公开、招考公示等平台未脱敏展示公民个人信息事件107起，涉及未脱敏个人信息近10万条。此外，全年累计监测发现个人信息非法售卖事件203起。其中，银行、证券、保险相关行业用户个人信息遭非法售卖的事件占比较高，约占数据非法交易事件总数的40%。

　　近年来，微信小程序发展迅速，但也暴露出较为突出的安全隐患，特别是用户个人信息泄露风险较为严峻。《报告》显示，CNCERT/CC从程序代码安全、服务交互安全、本地数据安全、网络传输安全、安全漏洞等5个维度，对国内50家银行发布的小程序进行了安全性检测。检测结果显示，平均1个小程序存在8项安全风险，在程序源代码暴露关键信息和输入敏感信息时，未采取防护措施的小程序数量占比超90%；未提供个人信息收集协议的超80%；个人信息在本地储存和网络传输过程中未进行加密处理的超60%；少数小程序则存在较严重的越权风险。

　　另外，随着恶意App治理工作持续推进，正规平台上恶意App数量逐年呈下降趋势，仿冒App已难以通过正规平台上架和传播，但有些恶意程序经常仿冒App综合运用定向投递、多次跳转、泛域名解析等多种手段规避检测。比如，一些不法分子制作仿冒App并通过分发平台生成二维码或下载链接，采取定向投递等方式，通过短信、社交工具等向目标人群发送二维码或下载链接，诱骗受害人下载安装。同时，还综合运用下载链接多次跳转、域名随机变化、泛域名解析等多种技术手段，规避检测。当某个仿冒App下载链接被处置后，立即生成新的传播链接，以达到规避检测的目的，增加了治理难度。

　　据了解，自2008年起，CNCERT持续编写发布中国互联网网络安全年度报告。《2020年中国互联网网络安全报告》汇总分析了CNCERT自有网络安全监测数据和CNCERT网络安全应急服务支撑单位报送的数据，内容涵盖我国互联网网络安全态势分析、网络安全监测数据分析、网络安全事件案例详解、网络安全政策和技术动态等多个方面。