1月12日,工业和信息化部公布了2023年移动互联网应用服务能力提升优秀案例名单。本次征集从优化服务体验、强化管理能力、建设行业生态三大维度出发,共60个项目入选,其中货拉拉凭借《研发部署隐私合规检测 强化APK安全保障能力实践》这一优秀案例成功上榜。此案例介绍了货拉拉在移动互联网领域中的安全与隐私合规解决方案,为移动应用行业提升自身应用的合规性和安全性提供了一个有益的探索方向。
据了解,该方案主要聚焦在隐私合规问题和应用安全问题的解决。在隐私合规方面,货拉拉提供了动态和静态检查。动态合规检查通过将隐私保护技术集成到产品或服务中,配合自动化测试平台,确保应用在最苛刻的测试场景下依旧符合隐私合规标准。静态检查则通过静态分析技术对代码或数据进行检查,更加严格地审核代码层面是否存在相关隐私API的调用,目前各个业务均已接入了代码扫描平台,可以通过正则、编译检查等技术来静态地发现是否存在隐私API的调用。
在应用安全保障方面,货拉拉针对即将发布的安装包增加了APP安全相关的扫描,该能力可以将APK(Android application package,Android应用程序包)的安全风险上传到公司安全平台。目前,货拉拉有安全攻防测评、网络通信测评、数据存储与隐私测评、应用行为测评、组件安全测评等多种安全测评。此外,为了规避他人通过逆向技术绕过应用程序安全性破解应用程序,获取他人隐私信息这一问题,货拉拉通过资源混淆、代码混淆、APK加固等多种方式结合来提高反逆向能力,让黑产难以找到具体的程序入口和获取核心文件,从而增加逆向的难度,还引入了签名校验和应用加壳措施,当发现签名不对时,货拉拉可以立刻停止对该用户进行授权,以保障应用安全,防止篡改和数据泄露,从而保障用户信息和权益。同时,货拉拉利用自研持续集成流水线的能力,将上述提到的各个能力进行串联,保证各个业务可以快速接入和快速使用。
该案例强调了安全和隐私合规的重要性,为其他移动应用开发者和运营者提供了经验参考,通过采用类似的解决方案,能够提升其自身应用的合规性和安全性,有助于整个行业更好地保护用户隐私,降低数据泄露和网络攻击的风险。截至目前,货拉拉成功检测了超过1000次的隐私合规问题,提前发现数次潜在风险,APK的加固约2000次以上,并有效抑制了诸如抢单外挂等黑产功能,保障了货拉拉平台近百万司机的权益不会因此受到相应的损失,并持续为用户隐私安全保驾护航。