安全牛点评：

工信部的APP黑名单制度已经酝酿多时，但遗憾的是，此次出炉的《通知》中，对社会最为关注的个人隐私保护的打击力度较为欠缺，对第三方应用商店的审核标准、问责制度以及相关安全人员的安全培训等细则效力尚待观察。

根据思科2013年度安全报告称，2013年99%的移动恶意软件瞄准了Android设备。而中国又是全球最大的Android智能手机市场，更是Android恶意软件的重灾区。根据国家互联网应急中心(CNCERT)发布的《2013年我国互联网网络安全态势综述》，2013年中国移动互联网恶意程序数量大幅增长，国家互联网应急中心通过自主监测和交换捕获的移动互联网恶意程序样本达70.3万个，较2012年增长3.3倍，针对安卓平台恶意程序占99.5%。随着4G网络的大面积商用、移动互联网带宽提速和WiFi 热点的普及，物联网、社交网络、移动支付和二维码扫描等领域将面临移动恶意软件的新挑战。

工信部近日发布《关于在打击治理移动互联网恶意程序专项行动中做好应用商店安全检查工作的通知》。该《通知》指出，应用商店应建立应用软件黑名单管理制度、黑名单申述机制，并积极推动黑名单信息行业内共享。

《通知》要求，在应用软件上架前，应用商店应自行或委托第三方对其进行安全检测，对含有恶意扣费、信息窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗欺诈等行为，以及含有法律法规禁止内容的应用软件，不得上架发布，并将其纳入应用软件黑名单。应用商店应定期对已上架的应用软件进行安全复查。

《通知》明确提出各通信管理局要组织技术力量对本地区应用商店中的应用程序进行远程或现场抽检。对发现的具有手机窃听、隐私窃取、恶意扣费、诱骗欺诈等明显侵害用户权益的恶意程序，通知应用商店进行下架处置，对拒不下架的进行公开曝光等。

附件：

移动互联网应用商店网络安全责任指南

为明确应用商店网络安全责任，突出安全检查要点，督促应用商店建立完善安全管理制度，依据《全国人大常委会关于加强网络信息保护的决定》、《互联网信息服务管理办法》、《电信业务经营许可管理办法》、《非经营性互联网信息服务备案管理办法》、《通信网络安全防护管理办法》、《电信和互联网用户个人信息保护规定》等法律法规和部门规章，结合工作实践，特制定本指南，供应用商店安全检查中参考使用。

一、应用商店对本商店内上架的应用软件负有安全管理的责任。

二、应用商店应要求应用软件提供者如实提供身份信息(包括个人身份信息、营业执照、联系方式等)，并由应用商店进行信息核验和留存。

三、应用商店应在与应用软件提供者的合作协议中明确应用软件提供者的安全责任，要求应用软件提供者承诺不提交违反我国网络与信息安全相关法律法规以及含有恶意行为的应用软件(含版本升级后的应用软件)。

四、应用商店应要求应用软件提供者在提交应用软件时声明其获取的使用权限及用途。应用商店应将上述信息向应用软件下载用户明示。

五、在应用软件上架前，应用商店应自行或委托第三方对其进行安全检测，对含有恶意扣费、信息窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗欺诈等行为，以及含有法律法规禁止内容的应用软件，不得上架发布，并将其纳入应用软件黑名单。应用商店应定期对已上架的应用软件进行安全复查。

六、应用商店应留存应用软件及其基本信息(版本、上线时间、应用软件简介、用途等)、状态信息(上线、下架)等，相关信息的留存时间不短于60日。

七、应用商店应建立应用软件举报制度，提供便利的举报渠道，当收到存在安全问题的应用软件举报时，应及时验证、处理。同时，建立与行业协会组织间的公众监督举报渠道。

八、应用商店应建立应用软件黑名单管理制度、黑名单申述机制，并积极推动黑名单信息行业内共享。

九、应用商店应按电信管理机构的要求及时下架存在安全问题的应用软件。

十、应用商店应当为电信管理机构开展安全检查提供便捷的获取上架应用软件的条件。

十一、应用商店应当加强自身系统的安全防护，保障自身系统安全和用户个人信息安全。

十二、应用商店应指定专人负责安全管理工作，加强对相关人员的安全教育和培训。

Via 移动Labs