微信、抖音和支付宝的小程序的月活用户总数接近全球最受欢迎的社交网络 Facebook 28.9 亿 MAU
。北京电子科技学院的论文《细孔沉千帆:小程序权限漏洞研究》对小程序权限进行研究。系统分析了9个
流行的移动应用生态系统超过 700 万
个小程序,测试了超过 2,580 个 API
,发现6类
潜在安全漏洞,银联、字节、微信、QQ、支付宝、百度、小米、华为纷纷中招,并总结了小程序保护用户隐私的系统性建议。
- 加强主应用、应用厂商和用户的协同,形成个人隐私保护的管理体系的小程序。
- 小程序通过宿主应用上架,
宿主应用应严格控制权限管理
,积极整治涉及用户敏感权限的API,最大程度保护用户隐私。 - 应用厂商需要考虑现有的操作系统如何处理特定的API和结果反馈。 例如,工程师在一段时间后自动清除剪贴板。
- 用户在使用小程序时也需要增强个人信息保护的安全意识,警惕来路不明的小程序,不要将自己的隐私信息快速授权给小程序,以免
被非法收集和泄露,造成不必要的损失
。 - 鼓励用户积极举报违法行为。
推荐阅读:《细孔沉千帆:小程序权限漏洞研究》