典型移动APP安全风险提醒

研究背景

随着互联网和移动设备的发展,手机已成为人人都拥有的设备,各式各样的App更是丰富了人们的生活:从社交到出行、从网购到外卖,从办公到娱乐等,App已成为大众生活必需品。然而,App的流行使人们对App违规收集个人信息的风险更加担忧。

为切实加强用户个人信息保护,为人民群众提供更安全、更健康、更干净的信息环境,国家工业和信息化部为此发布了一系列的相关法律法规和监管标准通知,并在全国范围内组织开展App违法违规收集使用个人信息专项治理工作。

2022年第一季度,奇安信病毒响应中心共收录全国应用市场新增App活跃样本近30万个。本报告依据《App违法违规收集使用个人信息行为认定方法》等内容要求,使用奇安信自研安卓动态引擎QADE对新增APP样本进行抽样检测,重点评估“无提示收集个人信息”和“高频次收集个人信息”两种最为常见、影响较深的合规性问题。

  1. 检测引擎

本次检测采用奇安信完全自主研发安卓动态引擎QADE(后文统称奇安信QADE引擎)。奇安信QADE引擎既支持对App进行传统恶意检测,同时也支持对App违规收集个人信息及索权等合规性问题的检测,是“综合一体化”动态引擎。

  1. 检测依据

本次报告主要参考以下相关的国家法律法规作为检测标准依据:

《网络安全法》、《电信和互联网用户个人信息保护规定》、《GB/T 35273-2020信息安全技术个人信息安全规范》、《关于开展纵深推进App侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)、《App违法违规收集使用个人信息行为认定方法》

  1. 检测内容

本次报告重点检测了相关App在以下两方面的合规性问题:

无提示收集个人信息

无提示收集个人信息是指存在无隐私说明提示或者未点同意隐私协议便开始收集用户个人信息的情况。

无提示收集个人信息,实际上就是在不告知用户,或用户不知情的情况下,秘密收集用户的各种个人信息,从而给用户带来个人信息泄露、个人信息被滥用等网络安全风险。很多App为了实现自身不当的商业利益,会选择不告知用户个人信息收集规则,或只告知用户部分个人信息收集规则。

高频次收集个人信息

高频次收集个人信息是指存在高频率(每百秒的收集次数)收集用户个人信息的情况。

高频次收集个人信息,会导致用户个人活动信息被过渡收集,从而危害用户个人信息和隐私安全,同时还会快速消耗用户手机电量和网络流量。

关于什么样的收集频次属于高频次收集,相关法律法规并没有特别明确的具体规定。在本报告中,每百秒内收集个人信息超过2次(包含2次),即认定为高频次收集。

  1. 数据范围

本次报告的检测周期为2022年1月1日至2022年3月31日,国内四个应用市场的新收录及更新的APP样本共近30万个。这四个应用市场分别是:豌豆荚、多多软件站、pc6应用市场和2265应用市场。

流行App违规风险形势分析

存在违规风险的App规模

2022年第一季度,在针对近30万个新增活跃App样本的抽样检测中,存在“无提示收集个人信息”风险和“高频次收集个人信息”风险的App,分别占到检测样本总量的21.3%和14.7%。总体来看,平均每5个App中,就会有一个存在个人信息收集方面的违规风险。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-47SjbAsU-1691328650067)(http://public.host.github5.com/media/a18e0d7ceba197a38d36f8aacd927a68.png)]

本季度检出的所有存在违规风险的App中,至少有1款下载量超过1亿次,4款下载量超过1000万次,19款下载量超过100万次。仅这24款App就至少影响国内超过2亿用户。

存在违规风险的App类型

从App类型来看,在2022年第一季度的检测中,存在违规风险最多的App是网上购物类App,约占所有存在违规风险App总数的20.1%;其次是生活休闲类,占比为15.6%。办公商务类排名第三,占比13.6%。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WKD6EnfP-1691328650068)(http://public.host.github5.com/media/ee61b55ba5847379ac002b3337631ce5.png)]

典型App违规风险行为分析

无提示收集个人信息类型分析

检测显示,在所有存在“无提示收集个人信息”风险的App中,IMEI、MAC地址和IMSI是App静默收集个人信息最主要的三个类型。其中,87.6%会无提示收集IMEI 信息,50.6%会无提示收集MAC地址,16.7%会无提示收集IMSI信息,而无提示收集其他个人信息的情况,仅占1.7%。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SjUwZnSW-1691328650069)(http://public.host.github5.com/media/79ceebce61eba1e7898a6dce55d968eb.png)]

名词解释

IMEI

国际移动设备识别码(英语:IMEI,International Mobile Equipment Identity),是用于在移动电话网络中识别每一部独立的手机等移动通信设备。

MAC地址

硬件位址(英语:Media Access Control Address),也称为局域网地址、MAC位址、以太网地址或物理地址,它是一个用来确认网络设备位置的位址。

IMSI

国际移动用户识别码(英语:IMSI,International Mobile Subscriber Identity),是用于区分蜂窝网络中不同用户的、在所有蜂窝网络中不重复的识别码。

高频次收集个人信息情况分析

如前所述,在2022年第一季度检测的所有新增活跃App样本中,一百秒内收集用户个人信息超过2次(包含2次)的App占到了所有被检测App总量的14.7%。在所有存在高频次收集个人信息风险的App中,每一百秒收集个人信息次数大于等于2次,但低于5次的App约占44.0%;6~10次的占比28.7%,11~20次的占比18.8%,大于20次的占比8.5%。

特别的,我们在本季度的检测中,发现某款收集个人信息最为频繁App,竟然在一百秒内对IMEI信息收集了138次,平均每秒1.38次,相当于平均约每0.7秒就收集一次,可谓是对用户个人信息的“不间断”收集。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1WQZ3S5s-1691328650070)(http://public.host.github5.com/media/b950740367c97125d880acb48e9fe814.png)]

违规个人信息收集者分析

App对于用户个人信息的收集,未必都是由App自身来完成的,很多时候是因为App集成了第三方SDK,而第三方SDK存在个人信息收集行为。如果相关App在用户协议中,没有告知其集成的第三方SDK存在的个人信息收集情况,同样也会构成“无提示收集个人信息”的违规风险。如果第三方SDK存在“高频次收集个人信息”的情况,那么相关App也会存在同样的违规风险。

统计显示,在所有存在“无提示收集个人信息”和“高频次收集个人信息”风险的App中,对用户信息进行违规收集的,84.0%属于第三方SDK行为,仅有16.0%属于App自身行为。也就是说,对第三方SDK的不规范使用,以及第三方SDK自身的不规范行为,是导致当前部分App存在违规收集用户个人信息风险的主要原因。检测还发现,有两款知名的第三方SDK,分别覆盖了存在违规行为的App总量的29.0%和21.0%。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VOrSaqp6-1691328650071)(http://public.host.github5.com/media/f0995a3e294e0bddb767a4d094b5cf58.png)]

研究还发现,在某些存在违规收集用户个人信息风险的App中,集成了不止一款存在违规收集用户信息行为的第三方SDK。统计显示,在所有集成了违规收集个人信息SDK的App中,只集成了1款违规SDK的App占比为84.4%,集成了2款违规SDK的App占比为12.7%,另有2.9%的App集成3款及以上的违规SDK。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-slMs25CS-1691328650072)(http://public.host.github5.com/media/20384540d74ae4cfc8fbdf1c4d0ab08e.png)]

奇安信病毒响应中心

奇安信病毒响应中心是奇安信集团旗下的专业病毒鉴定及响应团队。中心以奇安信核心云平台为基础,拥有每日千万级样本检测及处置能力、每日亿级安全数据关联分析能力。结合多年反病毒核心安全技术、运营经验,基于集团自主研发的QOWL和QDE引擎,形成跨平台木马病毒查杀能力与漏洞修复能力,并且具有强大的大数据分析能力,可以实现全平台安全和防护预警能力。

奇安信病毒响应中心支撑奇安信全线安全产品的病毒检测,积极响应客户侧的安全反馈问题,可第一时间为客户排除疑难杂症。中心曾多次处置重大病毒传播事件,多次参与重大活动安全保障工作,受到客户的高度认可。

奇安信病毒响应中心移动安全团队

奇安信病毒响应中心移动安全团队一直致力移动安全领域及Android安全生态的研究,不仅可以为奇安信移动安全产品提供常见的移动端病毒木马查杀能力,也可以精准识别时下流行的刷量、诈骗、博彩、违规、色情等黑产类软件,并支持对App的合规化安全检测。

团队创新研发的高价值移动端攻击发现流程,已成功捕获到国内外多起针对移动平台的重大攻击事件,并发布了多篇移动黑产报告,披露了多个通过移动平台发起攻击的APT组织及其活动。特别的,近两年来,团队首发披露了包括诺崇狮组织SilencerLion、利刃鹰组织BladeHawk、艾叶豹组织SnowLeopard和金刚象组织VajraEleph在内的多个全新的APT组织。团队的高级威胁的分析与追踪溯源能力在国内外均处于领先水平。

奇安信移动安全产品介绍

奇安信移动终端安全管理系统(天机)是面向公安、司法、政府、金融、运营商、能源、制造等行业客户,具有强终端管控和强终端安全特性的移动终端安全管理产品。产品基于奇安信在海量移动终端上的安全技术积淀与运营经验,从硬件、OS、应用、数据到链路等多层次的安全防护方案,确保企业数据和应用在移动终端的安全性。

奇安信移动态势感知系统是由奇安信集团态势感知团队与奇安信病毒响应中心移动团队合力推出的一个移动态势感知管理产品,主要面向具有监管责任的政企机构客户,着重于监测App的下载与使用环节,协助相关监管机构摸清辖区范围内App的使用情况,给客户提供App违法检测、合规性分析及App溯源等功能。

延伸阅读

更多内容 可以 App违规收集个人信息风险分析报告. 进一步学习

联系我们

DB50-T 1404-2023 生猪无抗养殖生物安全控制技术规范 重庆市.pdf

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/29411.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

rust基础

这是笔者学习rust的学习笔记(如有谬误,请君轻喷) 参考视频: https://www.bilibili.com/video/BV1hp4y1k7SV参考书籍:rust程序设计语言:https://rust.bootcss.com/title-page.htmlmarkdown地址:h…

Blazor前后端框架Known-V1.2.11

V1.2.11 Known是基于C#和Blazor开发的前后端分离快速开发框架,开箱即用,跨平台,一处代码,多处运行。 Gitee: https://gitee.com/known/KnownGithub:https://github.com/known/Known 概述 基于C#和Blazo…

跨境电商中的安全挑战与隐擎Fox指纹浏览器的应用

随着全球互联网的蓬勃发展,跨境电商已经成为了国际贸易的重要组成部分。然而,跨境电商的迅速崛起也伴随着一系列安全挑战,其中之一就是恶意活动和隐私泄露。为了应对这些挑战,诸多技术手段被开发出来,其中隐擎Fox指纹浏…

@RequestBody注解,自定义注解

public Result update(RequestBody EmployeeDTO employeeDTO){,为什么要加RequestBody ,什么时候加什么时候不加? 在这段代码中,RequestBody EmployeeDTO employeeDTO 表示将请求体中的数据解析为 EmployeeDTO 对象,并…

springboot启动忽略某些类

springboot启动忽略某些类 描述解决方案单拉一个提交,把所有的涉及kafka消费的都不注入容器通过配置ComponentScan的excludeFilters配置了不生效后续处理改之前改之后解释 总结 拆分环境 感触解决实现demo参考 描述 目前我这的开发环境和测试环境数据库是两份&#…

opencv基础-33 图像平滑处理-中值滤波cv2.medianBlur()

中值滤波是一种常见的图像处理滤波技术,用于去除图像中的噪声。它的原理是用一个滑动窗口(也称为卷积核)在图像上移动,对窗口中的像素值进行排序,然后用窗口中像素值的中值来替换中心像素的值。这样,中值滤…

【算法|数组】双指针

算法|数组——双指针 引入 给你一个按 非递减顺序 排序的整数数组 nums,返回 每个数字的平方 组成的新数组,要求也按 非递减顺序 排序。 示例 1: 输入:nums [-4,-1,0,3,10] 输出:[0,1,9,16,100] 解释:…

docker安装kafka

docker安装kafka 1.首先,下载Kafka和Zookeeper的Docker镜像, docker pull wurstmeister/kafka docker pull wurstmeister/zookeeper2.启动Zookeeper容器: docker run -d --name zookeeper -p 2181:2181 -t wurstmeister/zookeeper3.启动Ka…

gitee linux免密/SSH 方式连接免登录

目录 生成SSH公钥通过 ssh-keygen 程序创建找到SSH公钥 在gitee中添加公钥 生成SSH公钥 通过 ssh-keygen 程序创建 shell> ssh-keygen -t rsa -C "xxxxxx.com" Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rs…

JVM详情

JVM详情 一、JVM内存划分二、双亲委派模型(重点考察)三、 GC(垃圾回收机制)垃圾的判定算法垃圾回收算法 一、JVM内存划分 堆:存放new出来的对象;(成员变量) 方法区:存放…

flutter:二维码生成与读取

前言 这csdn真的是服了,图片里有个二维码就直接变成违规图片了。至于效果的话,自己运行一下看看吧。 生成 flutter中生成二维码可以使用 qr_flutter。 官方文档 https://pub-web.flutter-io.cn/packages/qr_flutter 安装 flutter pub add qr_flutt…

Visual Studio Code中对打开的脚本格式统一

什么是Language Server Protocol (LSP)? Language Server Protocol(语言服务器协议,简称LSP)是微软在2016年提出的一套统一的通讯协议方案。LSP定义了一套编辑器或者IDE与语言服务器(Language Server)之间使用的协议&…

网络基本概念

目录 一、IP地址 1. 概念 2. 格式 3. 特殊IP 二、端口号 1.概念 2. 格式 3.注意事项 三、 协议 1. 概念 2. 作用 四、协议分层 1. 网络设备所在分层 五、封装与分用 六、客户端和服务器 1. 客户端与服务器通信的过程 一、IP地址 1. 概念 IP地址主要用于标识网络主机.其他网络…

基于关系有向图的知识推理2022ACM 8.9

基于关系有向图的知识推理 摘要介绍相关工作基于路径的方法基于GNN的方法 关系有向图RED-GCN实验 摘要 知识图推理旨在从已有的知识中推断出新的事实。基于关系路径的方法在文献中显示出较强的可解释性和归纳推理能力。然而,在KG中 捕获复杂拓扑(Capturing complex…

动手学深度学习Pytorch 4.4练习

1.这个多项式回归问题可以准确地解出吗?提⽰:使⽤线性代数。 可以,把多项式问题,用matlab的str2sym表示出来,再用solve求解。 2.考虑多项式的模型选择。 1. 绘制训练损失与模型复杂度(多项式的阶数)的关系…

Java 判断一个字符串在另一个字符串中出现的次数

1.split实现 package com.jiayou.peis.official.account.biz.utils;public class Test {public static void main(String[] args) {String k"0110110100100010101111100101011001101110111111000101101001100010101" "011101100101011010100011111010111001001…

Redis | 哨兵模式

Redis | 哨兵模式 1. 简介 Redis Sentinel(哨兵)是Redis提供的一种高可用性解决方案。它是一个独立的进程,用于监控和管理Redis主从模式的节点,并在主节点故障时自动进行故障转移。哨兵模式可以确保Redis集群的高可用性和数据一…

uniapp微信小程序底部弹窗自定义组件

基础弹窗效果组件 <template><view><viewclass"tui-actionsheet-class tui-actionsheet":class"[show ? tui-actionsheet-show : ]"><view class"regional-selection">底部弹窗</view></view><!-- 遮罩…

Pytorch深度学习-----现有网络模型的使用及修改(VGG16模型)

系列文章目录 PyTorch深度学习——Anaconda和PyTorch安装 Pytorch深度学习-----数据模块Dataset类 Pytorch深度学习------TensorBoard的使用 Pytorch深度学习------Torchvision中Transforms的使用&#xff08;ToTensor&#xff0c;Normalize&#xff0c;Resize &#xff0c;Co…

PostgreSql 日期时间输出风格及顺序

一、概述 PostgreSQL 中日期时间的输出格式及顺序均由 datestyle 参数控制&#xff0c;两者可以被独立设置或者一起设置。默认值是 ISO,MDY。 二、输出格式 PostgreSQL 中时间/日期类型的输出格式可以设成四种风格之一&#xff1a;ISO 8601、SQL&#xff08;Ingres&#xff09…