近日,谷歌将拼多多应用下架,称拼多多存在未经用户同意收集个人信息、使用非法的广告技术以及通过其他非法活动来获取收入等恶意行为。此前也有消息称,拼多多公司在2020年组建了一支由100名工程师和产品经理组成的团队,致力于挖掘Android手机漏洞,开发漏洞利用方法,将其转化为利润。有知名互联网厂商也表示,拼多多利用Android系统的漏洞窃取竞争对手软件的数据,同时还突破沙箱机制、绕开权限系统修改用户桌面配置隐藏自身或欺骗用户,以防止自身被卸载。在被曝光之后,该团队于三月初被解散。但据安全专家称,漏洞利用代码虽然已经移除,但底层代码仍然留在那里,仍然可以被重新激活去执行攻击。而此次事件中的恶意软件就是指为窃取数据或损坏计算机系统和移动设备而开发的任何软件,这也让拼多多的数据隐私和安全问题备受关注。
拼多多一类的互联网企业,由于掌握着大量的真实数据,在数据安全问题上不仅受到商业道德层面的关注与拷问,也遭受着各国政府更加严格的监管。相关法规政策:在2021 年施行的《网络产品安全漏洞管理规定》第四条明确规定:“任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动,不得非法收集、出售、发布网络产品安全漏洞信息;明知他人利用网络产品安全漏洞从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。”而根据4 月 6 日消息,谷歌为了增强安卓生态的透明度,扩大用户对其数据的控制权,在 Google Play 宣布启用新政策:要求开发者必须在应用内或者网页端提供删除数据和账号的选项。
新政策原文如下:
Google规定,Play开发者必须"删除与该应用账户相关的用户数据"。暂时停用账户、禁用或"冻结"应用账户并不符合删除账户的条件。如果出于安全、防止欺诈或遵守法规等合法原因需要保留某些数据,开发者必须明确告知用户的数据保留做法(例如在隐私政策内)。
影响到全球所有的应用程序,考虑到开发人员必须投入的工作,Google正在慢慢推出这一政策要求。作为第一步,我们要求开发者在12月7日前在你的应用程序的数据安全表格中提交对新的数据删除问题的答案。明年年初,Google Play用户将开始在应用商店列表中看到反映的变化,包括数据安全部分刷新的数据删除徽章和新的数据删除区域。新的 Play 商店规则将于明年全面生效,首先要求开发者在 12 月 7 日之前分享有关其数据删除做法的更多详细信息。从 2024 年初开始,用户将能够在应用程序的商品详情中看到提交的数据删除信息,包括在新的数据删除区域以及数据安全部分中刷新的数据删除标志。未及时备案删除实践信息的用户将无法再发布新应用或发布应用更新。虽然开发者可以通过 Play 管理中心申请延期至 2024 年 5 月 31 日,但在此日期之后,不合规的应用程序可能会面临从 Google Play 中移除的风险。谷歌的声明是在苹果采取类似举措之后做出的,从 2022 年 6 月开始,苹果一直要求具有帐户创建选项的应用程序开发人员还为用户提供从应用程序中删除其帐户的方法。
来源:谈思实验室、E安全;版权归属原作者,分享仅供学习参考,如有不当,请联系我们处理。