恶意收费、流量耗费、侵害个人信息安全……你是不是也担心装个手机App，就“全裸”了？4月16日，现代快报记者了解到，江苏预计在近期发布《智能终端应用软件安全性测评技术要求》（以下简称《技术要求》）地方标准，目前已在国标委备案完成。收集或修改用户数据、信息泄露、费用损失等方面都有了测评方法和标准。

  现代快报/ZAKER南京记者 徐岑

  部分App擅自收集

  消费者隐私信息

  此次地方标准由江苏省软件工程标准化技术委员会提出，南京市质检院、国家软件产品质量监督检验中心（江苏）、江苏苏测软件检测技术有限公司、南京大学、国网电力科学研究院、南京慕测信息科技有限公司为主要起草单位。

  “这两年院里承担了部分手机产品的风险监测任务，对智能手机预置软件的卸载，收集消费者通讯录、通话信息、短信、位置信息情况，流量耗费，信息泄露方面进行检测。”南京市质检院、国家软件产品质检中心工程师刘艳介绍，结果显示，部分批次的手机预置软件不可卸载，存在未向用户明示并经用户同意，擅自收集信息以及擅自调用终端通信功能，造成用户流量耗费和信息泄露的风险。

  “我们也在应用商店抽了部分App进行下载测试，也存在擅自收集消费者各类隐私信息的风险。”刘艳表示，这些问题会占用大量手机内存，影响手机运行速度，偷跑手机流量，泄露用户隐私。

  国家尚无App安全管理规范和检测标准

  如何解决这个问题？此次标准的主要起草人之一、国家软件产品质检中心副主任刘晓波介绍，目前国家层面还没有相应App软件安全的管理规范和检测标准。“以Android系统为例，它的系统开放程度较高，降低了开发者的门槛；但另一方面由于下载数量很多，对应用软件的质量监测力度就比较低，容易导致恶意应用软件下载、传播。”他表示，虽然各家应用商店有App上架规定，但规则不一，对用户的安全保护也比较弱。

  刘晓波表示，此次江苏发布地方标准，就是希望为App开发商(个人)、应用商店、行业管理提供一个App上架发布前检测技术标准参考，保证用户数据的安全存储，确保用户数据不被非法访问、不被非法获取、不被非法篡改。

  未经授权不得擅自修改和调用用户数据

  根据《技术要求》，恶意吸费，未经授权的修改、删除、向外传送用户数据等行为，都是不允许的。合格的应用软件本身不应该存在信息安全漏洞，不应该存在超出其功能范围收集手机用户隐私数据、故意偷跑流量、恶意消耗手机资源等安全隐患。

  具体测评方式是，当智能终端应用软件处于正常工作状态时，使用基于特征码扫描、静态源代码分析、动态行为监测等检测方法进行检测。若在用户没有确认的情况下，开启通话录音、本地录音、拍照/摄像和定位的行为，则测评结果为“不符合要求”。同样，若在测试中发现擅自调用终端通信功能，造成信息泄露的行为，也“不符合要求”。

  此外，安装卸载也有检测标准，不能捆绑下载其他应用软件。卸载要非常彻底，不能在系统中留下应用软件的临时文件和活动程序或模块。

  合格的App上架时带有检测机构标志

  “技术测评有一定难度，需要专业检测机构检测。如果没有达到标准里的安全要求，建议暂停上架各类应用商店，经整改复测合格后再上架。”刘晓波表示，地方标准并不是强制标准，主要针对没有国家标准和行业标准的产品，效力低于国家标准与行业标准。他建议，经信部门、质量技术监督部门实施监管。

  对于消费者来说，由于目前移动应用软件暂无安全性标志，无法判断所用软件是否符合要求。他建议标准正式实施后，对经检测机构检测符合标准要求的应用软件，在应用商店上架或安装时向消费者展示带有检测机构logo的标志信息，告知消费者该应用软件已通过检测。

  此外，质监部门提醒消费者，不要在应用商店下载无名App、不要在USB模式下直接安装App、看到涉及隐私的危险权限要谨慎安装。同时，可以关闭位置信息访问权限，禁用后台进程，也可以借助第三方软件禁止广告。