[TH2022-001]THSRC APP隐私类漏洞评分规则V2.0

公告编号:[TH2022-001]作者:审核小姐姐发布日期:2022/01/06 18:52:38

THSRC更新隐私漏洞的评分规则V2.0版本!在参考行业和专家意见后,隐私漏洞评分规则2.0做如下改动,新增严重、中危两个等级漏洞,重新定义区分漏洞级别,凸显高危漏洞价值。同时为了鼓励白帽子更高效的上报漏洞和支持企业隐私安全合规工作,降低沟通成本,奖励高水平的白帽子,新增额外加分项。


本规则从2022年1月6日起开始实施。


1、隐私漏洞定义

APP隐私类漏洞是指侵害用户隐私权益的行为,包括但不限于未公开个人信息收集使用规则、未明示收集使用个人信息的目的、方式和范围、未经用户同意收集使用个人信息、违反必要原则,收集与其提供的服务无关的个人信息、未经同意向他人提供个人信息、未按法律规定提供删除或更正个人信息功能或未公布投诉、举报方式等信息的。


隐私问题的定义范围参考行业监管部门的认定标准,具体细则如下:

App违法违规收集使用个人信息行为认定方法》

http://www.cac.gov.cn/2019-12/27/c_1578986455686625.htm

《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》

http://www.cac.gov.cn/2020-07/28/c_1597492913060262.htm

《常见类型移动互联网应用程序必要个人信息范围规定》

http://www.cac.gov.cn/2021-03/22/c_1617990997054277.htm


2、APP隐私类问题的收集范围和奖励

以我司或关联子公司的名下,在中国境内监管部门监管范围内。发布上架至各大应用商店,APPStore上提供的途虎业务的APP/小程序/SDK。包括途虎养车APP/小程序,以及其他商户类,汽车保养、轮胎洗美、道路救援、二手车业务、汽配龙业务、途虎收购的业务及系统产品的APP,以及途虎委托指定的第三方软件开发商开发的APP,途虎APP中嵌入的第三方SDK等。内部员工专用的封闭式APP可以上报账号登录之外的功能的隐私问题(禁止通过社工他人账号登录获取隐私漏洞的方式)


依据漏洞危害程度,漏洞等级分为严重、高、中、低四个等级。THSRC结合利用场景中漏洞的严重程度、利用难度、业务范围等综合因素给予相应的漏洞奖励。


123.JPG


4、APP隐私类漏洞报告特殊要求及评分原则

    A、白帽子提交的隐私漏洞需要符合《App违法违规收集使用个人信息行为认定方法》定义内(该方法可随监管部门政策更新同步最新版本,不含征求意见稿)。

    B、隐私类漏洞报告务必包含:提供APP下载应用商店,版本,日期,测试硬件机型,操作系统版本,问题截图位置,必要的触发步骤和现象视频等信息。漏洞认定方法和理解必须和监管保持一致,不支持个人私下解读。

    C、隐私类漏洞所涉及APP和版本,必须是我司的官网和各主流应用下载商店的全量新版本,内测版本(我司/三方内测发版平台,苹果TestFlight)和陈旧版本的漏洞不作为有效漏洞接收。

    D、漏洞以提交时间为准,第一个报告者获得奖励,后续报告者不得奖励。隐私漏洞政策如有变化,因为认定方法变化导致的漏洞可再次提交算做有效漏洞接收。漏洞状态改成“已修复”后,在高版本再次出现的同样漏洞的,作为有效漏洞接收。

    E、APP必须是我司面向消费者提供开放式账号注册的APP,内部专用的封闭式APP仅限在账号登录范围之外的功能的隐私类问题测试,个人信息的定义仅限消费侧用户,不包括服务供给侧用户信息,非我司开发的外部企业级服务商的APP(譬如企业微信,钉钉,视频会议手机版,滴滴打车企业版之类)不在奖励范围。

    F、隐私类漏洞的提交有效日期自2021年9月5日开始,隐私漏洞所对应APP的发版日期也同日开始计算,之前历史版本的漏洞不接收。

   G、部分技术注意事项:权限部分必须在安卓6.0以上的版本上进行测试(6.0之前没有动态权限申请的概念,申请即用),小米华为等定制os自带的隐私检测工具只能辅助测试不作为最后结论(白帽子需要关注系统权限工具自动授权和空白通行证机制的干扰,避免误报),由于Bug和兼容性原因导致的不合规现象不接收,通过底层干扰伪造的漏洞不接收,通过扫描器发现无手工验证的漏洞不接收,文字游戏曲解法律条款协议的漏洞不接收,政策尚处于征求意见或试行阶段的不合规项不接收,判定漏洞是否成立须以工信部标准和实操认定为准。

   H、白帽子提交隐私漏洞,仍然需要遵守SRC行业安全测试规范,友善提交