超两成App存在违规收集个人信息风险 影响国内2亿用户

首页 / 业界 / 资讯 /  正文
作者:西西
来源:安全419
发布于:2022-05-25
随着互联网和移动设备的发展,手机已成为人人都拥有的设备,各式各样的App更是丰富了人们的生活:从社交到出行、从网购到外卖,从办公到娱乐等,App已成为大众生活必需品。然而,App的流行使人们对App违规收集个人信息的风险更加担忧。
 
为切实加强用户个人信息保护,为人民群众提供更安全、更健康、更干净的信息环境,国家工业和信息化部为此发布了一系列的相关法律法规和监管标准通知,并在全国范围内组织开展App违法违规收集使用个人信息专项治理工作。
 
 
安全419了解到,奇安信病毒响应中心近日发布《App违规收集个人信息风险分析报告》(2022年第一季度),依据《App违法违规收集使用个人信息行为认定方法》等内容要求,使用奇安信自研安卓动态引擎QADE对新增APP样本(奇安信病毒响应中心在2022年第一季度共收录全国应用市场新增App活跃样本近30万个)进行抽样检测,重点评估“无提示收集个人信息”和“高频次收集个人信息”两种最为常见、影响较深的合规性问题。
 
根据报告定义,无提示收集个人信息是指存在无隐私说明提示或者未点同意隐私协议便开始收集用户个人信息的情况。实际上就是在不告知用户,或用户不知情的情况下,秘密收集用户的各种个人信息,从而给用户带来个人信息泄露、个人信息被滥用等网络安全风险。很多App为了实现自身不当的商业利益,会选择不告知用户个人信息收集规则,或只告知用户部分个人信息收集规则。
 
高频次收集个人信息是指存在高频率(每百秒的收集次数)收集用户个人信息的情况。这会导致用户个人活动信息被过渡收集,从而危害用户个人信息和隐私安全,同时还会快速消耗用户手机电量和网络流量。 在该报告中,每百秒内收集个人信息超过2次(包含2次),即认定为高频次收集。
 
安全419将报告的核心发现梳理如下:
 
· 21.3%的新增活跃App样本存在“无提示收集个人信息”风险,14.7%存在“高频次收集个人信息”风险。
 
· 在本季度检出的所有存在违规风险的App中,至少有1款下载量超过1亿次,4款下载量超过1000万次,19款下载量超过100万次。仅这24款App就至少影响超过2亿用户。
 
· 存在违规风险最多的是网上购物类App,,约占所有存在违规风险App总数的20.1%;其次是生活休闲类,占比为15.6%。办公商务类排名第三,占比13.6%。
 
· 在所有存在“无提示收集个人信息”风险的App中,87.6%会无提示收集IMEI 信息,50.6%会无提示收集MAC地址,16.7%会无提示收集IMSI信息。
 
· 在所有存在高频次收集个人信息风险的App中,每一百秒收集个人信息2~5次的App约占44.0%;6~10次的占比28.7%,11~20次的占比18.8%,大于20次的占比8.5%。个别App竟然会在一百秒内对IMEI信息收集多达138次,相当于平均约每0.7秒就收集一次。
 
· 对用户信息进行违规收集的,84.0%属于第三方SDK行为,仅有16.0%属于App自身行为。
 
· 在所有集成了违规收集个人信息SDK的App中,只集成了1款违规SDK的App占比为84.4%,集成了2款违规SDK的App占比为12.7%,另有2.9%的App集成3款及以上的违规SDK。
 
综合上述数据,报告认为,App违规收集个人信息的现象仍然十分普遍,平均每5个App中,就有一个存在违规收集个人信息的风险。其中,“无提示收集个人信息”和“高频次收集个人信息”问题最为显著,也是报告关注的重点问题。个别App平均约每0.7秒就会无提示收集一次用户个人信息,可谓是对用户个人信息的“不间断”的收集。
 
部分存在违规收集个人信息风险的App社会影响面巨大,仅下载量排名靠前的24款App就至少影响国内超过2亿用户。网上购物、生活休闲、办公商务等常用App的违规风险问题最为突出。
 
八成以上的违规个人信息收集行为,实际上是由于App集成了某些不规范的第三方SDK,或者是没有对第三方SDK收集个人信息的行为进行声明造成的。作为软件开发者,在集成第三方SDK时,应当遵守相关法律法规,拒绝使用存在违规风险的SDK,从而努力规避自身的违规风险。
 
同时,安全419也了解到,奇安信已面向公安、司法、政府、金融、运营商、能源、制造等行业推出移动终端安全管理系统(天机),提供从硬件、OS、应用、数据到链路等多层次的安全防护方案,确保企业数据和应用在移动终端的安全性,具有强终端管控和强终端安全特性。另建有面向具有监管责任的政企机构的移动态势感知系统,着重于监测App的下载与使用环节,协助相关监管机构摸清辖区范围内App的使用情况,给客户提供App违法检测、合规性分析及App溯源等功能。