CNCERT权威测试报告!9款浏览器App个人信息收集情况一览无余

首页 / 业界 / 资讯 /  正文
作者:藏青
来源:安全419
发布于:2023-03-20
据“网信中国”公众号消息,近期中国网络空间安全协会、国家计算机网络应急技术处理协调中心等权威机构对“浏览器类”公众大量使用的部分App收集个人信息情况进行了测试。测试对象选取了包括华为、小米、UC、QQ、夸克、搜狗、360浏览器、悟空、火狐在内的9款下载过亿次的“浏览器类”App。
 
在相同品牌、型号的手机终端,相同版本安卓操作系统的测试环境;相同测试场景和测试内容下,经测试发现,在系统权限调用方面,9款App主要调用了位置、设备信息、剪切板、应用列表、相册5类系统权限,大家最为担心的麦克风、通讯录等其他权限事实上都没有发现调用情况,担心浏览器窃听自己的朋友们听到这里可以松了口气了。
 
详细来看一下数据:
在启动App场景中,调用系统权限种类最多的为悟空浏览器,共5类权限,调用系统权限次数最多的为UC浏览器,高达88次,在这方面做的最好的火狐浏览器,虽然也存在调用剪切板的行为,但人家只有2次,所以88次就很离谱了吧;
 
在访问信息场景中,通过浏览器打开网站时,调用系统权限种类和次数最多的均为悟空浏览器;通过浏览器下载文件时,调用系统权限次数最多的仍然UC浏览器和悟空浏览器;在后台静默场景中,调用系统权限种类最多的除了UC和悟空外,夸克和360浏览器也命中了,调用系统权限次数最多的变成了360浏览器,一共调用了16次,而浏览器App之光1次都没有。
 
在个人信息上传方面,9款App上传了4种类型个人信息:①包括经纬度、街道地址等位置信息;②包括IMEI、安卓ID、手机MAC地址等唯一设备识别码;③包括手机上已安装、新安装、新卸载的应用列表信息,④用户在App内的截图操作信息。具体情况就不展开了,UC浏览器、悟空浏览器仍然在启动App、搜索信息、访问信息、后台静默场景上传个人信息种类中屡登榜首。
 
而在网络上传流量方面,9款App在用户完成一次网站浏览活动时,上传数据流量平均最多的为悟空浏览器,约为1608KB;平均最少的为小米浏览器,约为472KB。在用户完成一次文件下载活动时,上传数据流量平均最多的为QQ浏览器,约为1994KB;平均最少的依然是小米浏览器,约为152KB。后台静默12小时,上传数据流量平均最多的仍然为UC浏览器,约为2506KB;平均最少的为华为浏览器,约为87KB。不得不说,小米浏览器和华为浏览器在这方面还是做得很棒的。
 
那根据这一测试报告,综合来看悟空浏览器、UC浏览器实在不忍直视,在系统权限调用、个人信息上传以及网络上传流量三种场景下均高于同类产品,虽然调用权限次数并不能说明存在违规的事实,但也不能否认存在过度索取系统权限和频繁上传个人信息的嫌疑。而火狐浏览器堪称浏览器App之光,在各个方面的表现都极为优秀,在各种测试场景下几乎都没有发现索取和上传个人信息的情况,值得点赞!
 
应用商店这么多浏览器类的App,究竟哪一款浏览器更好用的问题,我们暂时无法回答,但谁更尊重用户隐私,更值得用户信赖,看完这份报告相信大家心中已经有了答案。同时我们也提醒哪些频繁索取和上传个人信息的App,小心被用户吐槽哦。

315晚会曝光 手机数据安全成关注焦点
 
3月15日,一年一度的消费者权益保护日如约而至,在历年的315晚会上,电信诈骗一直都是关注焦点。今年同样也不例外,针对钓鱼诈骗、手机窃听等针对个人用户数据安全的安全陷阱成为了315晚会曝光重灾区。
 
安全陷阱一:免费破解版App成手机窃听器
 
近年来随着移动终端的快速发展,各类移动应用厂商可谓是赚得盆满钵满,不管是网盘类应用还是娱乐影音类应用,不充个会员基本上是用不成的。苹果党可能就算了,但对于我们安卓党来说,谁的手机上不装几个破解版、修改版APP?谁没装过非官方渠道的APP?
 
毕竟破解版本跟白嫖的没啥区别,免费看付费电影、免费听会员音乐、不限速下载网盘资源,谁能顶得住这样的诱惑?
 
But,世界上没有免费的午餐!虽然各种破解版App很香,一旦贪图便宜使用了这些有问题的破解版App,就如同给手机安了监控,风险极高。
 
在315信息安全实验室技术人员对十余款常用的视频、音乐、小说等应用软件的破解版,即盗版版本,的实时监测中,发现了不少的猫腻。
 
比如一款破解版的某主流视频App,测试人员发现它虽然可以免费看会员视频,却被额外嵌入了3款和官方版本毫不相关的第三方插件,即SDK软件包。只要运行APP,这3款多出来的SDK包就能悄悄地偷走用户手机里的个人信息,从上网的硬件地址,到手机设备的识别号,再到电话卡的识别码,甚至手机操作系统的识别码,用户所有的关键识别信息都被一网打尽。
 
只要掌握其中2-3种信息,即使用户更换了手机或电话号码,它也能精准锁定用户,实时捕捉和追踪用户动态,形成用户的精准画像,从而推送大量的广告,实现流量变现。更有甚者,如果你授予了录音、相机、短信等敏感权限,它们将会化身为监视器,实时监控用户的生活、通话录音、短信记录等,所有隐私都暴露无遗。你点开过什么、看过什么、跟谁联系过、在哪个界面停留多长时间,APP比你自己都清楚。
 
收集到的信息会上传到服务器,进行统一的洗练和汇总,然后匹配其他渠道获得的资料,描绘详细的用户画像。画像可以具体到,你叫什么名字、住在哪里、用着什么手机、看过什么视频、手机号码多少、学历层次、喜好、现在在哪里(手机定位),对你的认知比你爸妈都深刻。
 
吃相好些呢,一般收集来的用户画像,用于大数据广告投放或者精准营销。因此时常出现刚在某APP搜索某产品,打开淘宝发现全是该商品推荐信息的诡异现象。时不时接到推销电话,客服准确地说出你的姓名、年龄,最近准备买房子的信息等等。
 
如果是吃相不好的,就会直接打包卖给黑灰产团伙了,一个又一个的杀猪盘、精准诈骗你就等着接招吧。
 
因此,在这里要提醒大家,千万不要随意安装不明来源的第三方APP和破解版APP,如果真的对抗不了白嫖的诱惑,也不要开放任何权限,毕竟占小便宜吃大亏的老话可不是说着玩的。
 
安全陷阱二:隔空盗刷”钓鱼链接别瞎点
 
近年来消费者的网络购物等需求越来越多,很多不法分子通过“ETC卡禁用”“快递丢失理赔”等骗局,诱骗消费者登录钓鱼网站对其进行诈骗。在315晚会上,央视曝光了一个这样“隔空盗刷”钓鱼骗局。
 
陈女士曾收到了一条提示她的 ETC 卡已禁用的短信,需登录网页进行签办。陈女士点击链接后却发现,打开的页面看上去没什么问题,于是她跟着提示输入了自己的手机号、银行卡号等个人信息。但接下来陈女士三秒钟内接连收到六条扣款短信。
 
315信息安全实验室对此作出提醒:陈女士遭遇的是典型的钓鱼网站诈骗,消费者按照钓鱼网站的要求,每填写一项,系统就会自动记录下来。姓名、身份证号、手机号、银行账户信息甚至余额都会被不法分子掌握。
 
所以,在收到一些陌生短信后,当有一些奇怪的链接时,不要信不要点,特别是有个人信息填写的,更不要去提交。当对方发起屏幕共享,远程协助时,更要提高警惕,因为此刻消费者手机上的一举一动都会实时传递给诈骗分子。特别是老年人,因为他们对手机的操作不太熟悉,容易轻信对方是帮自己的,从而造成财产的损失。
 
随着科技的不断发展进步,电子产品已经成为人们生活中的必需品,尤其手机不离手已经成为了国人的现状。但相应的安全风险着实不能小觑,面对纷繁复杂的网络世界,务必要守好网络安全关,增强个人安全意识、提升安全技能刻不容缓。
 
关注安全419,我们下周再见~