根据一家向中国互联网监督机构报告的团体发布的网络安全报告,在微信中运行的小程序对个人数据泄露构成了“重大”风险。
中国国家计算机网络应急技术处理协调中心(CNCERT/CC)测试了50个个人银行小程序,发现超过60%的用户信息没有在设备上或传输时加密。
此外,超过90%的应用程序没有对用户的敏感数据进行保护。
该报告于周四发布。报告作者指出:“近年来,微信小程序发展迅速,但它们也暴露出突出的安全风险,特别是用户个人信息泄露的风险相当严重。”
小程序是可以在微信中启动的轻量级应用,不需要下载和安装。在测试了50个银行小程序后,报告发现平均每个小程序都包含8个安全风险。
该报告没有披露这些应用程序的名称,也不清楚应用程序的开发者是否已经被要求修复安全问题。
国家计算机网络应急技术处理协调中心是一个设在北京的公共机构,向国家互联网信息办公室报告。国家互联网信息办公室是中国互联网监督机构,对最近上市的网约车巨头滴滴出行发起了网络安全的调查。
根据微信对小程序开发者的安全指南,敏感信息(如果泄露可能对开发者的业务、合作伙伴和用户造成伤害的信息)不应以明文形式出现在小程序文件中。而一些敏感信息,如用户的银行账户号码和电话号码,在显示时应被遮挡或截断。
指南还说,如果发现小程序存在与潜在的敏感信息泄露有关的问题,微信可能会删除该小程序并暂停其服务。
然而,一些中国软件开发商表示,微信通常比苹果公司的审核更宽松,苹果公司以其严格的应用程序商店规则和有时混乱的审核标准而闻名。
今年的报告是在中国将数据安全摆在议程重要位置时发布的,重点是防止重要的数据流向国外,以及防止企业滥用个人信息。
为了解决这两个问题,中国最近已经发布或正在制定新的法律和法规,包括将于9月1日生效的《数据安全法》和预计将于今年晚些时候发布的《个人信息保护法》。
报告还指出,在2020年,未经脱敏且含有大量患者个人信息的医学成像数据被转移到国外近40万次。
2020年,有203起个人信息被非法出售的案件,其中40%涉及银行、证券和保险行业的用户,20%与电子商务和社交媒体平台的用户有关,12%涉及教育行业的用户。
报告称,美国是去年在中国发现的外国恶意软件攻击的主要来源,占所有外国攻击的53.1%,而7.2%来自印度。
