官方发布图书、拍摄、云盘三类App个人信息收集情况测试报告

安全419关注到，国家互联网应急中心CNCERT 27日发布“电子图书类”“拍摄美化类”“云盘类”App个人信息收集情况测试报告，由中国网络空间安全协会、国家计算机网络应急技术处理协调中心对上述三类公众大量使用的部分App收集个人信息情况进行了测试。安全419在此梳理测试报告中的核心关键发现，以期为大众提供参考。
 
“电子图书类”App个人信息收集情况
 
测试选取了19家应用商店⁽累计下载量达到1亿次的“电子图书类”App，共计8款，其基本情况如下。
 


针对系统权限调用情况，测试发现，8款App在4种场景下调用了位置、设备信息、应用列表、剪切板5类系统权限，未发现调用相机、麦克风、通讯录等其他权限。在启动App场景中，调用系统权限种类最多的为番茄免费小说（4类），调用系统权限次数最多的为百度阅读（23次）。在搜索图书场景中，调用系统权限种类最多的为番茄免费小说（2类），调用系统权限次数最多的为爱读掌阅和番茄免费小说（均为2次）。在阅读图书场景中，调用系统权限种类最多的为番茄免费小说（3类），调用系统权限次数最多的为七猫免费小说（5次）。在后台静默场景中，调用系统权限种类和次数最多的为百度阅读（3类，8次）。具体情况如下。









针对个人信息上传情况，测试发现，8款App上传了4种类型个人信息：①位置信息，包括经纬度、当前连接Wi-Fi MAC地址、当前连接基站信息；②唯一设备识别码，包括Android ID（安卓ID）、OAID（开放匿名设备标识符）、手机MAC地址；③应用列表信息，包括手机上已安装、新安装和新卸载的应用信息；④用户使用App产生的交互信息，包括搜索词。
 
“拍摄美化类”App个人信息收集情况
 
测试选取了19家应用商店累计下载量达到1亿次的“拍摄美化类”App，共计5款，其基本情况如下。



针对系统权限调用情况，测试发现，5款App在启动App、拍摄照片、美化照片、后台静默等4种场景下调用了位置、设备信息、应用列表、剪切板、相机5类系统权限，未发现调用麦克风、通讯录等其他权限。
 
针对个人信息上传情况，5款App上传了3种类型个人信息：①位置信息，包括经纬度；②唯一设备识别码，包括Android ID（安卓ID）、OAID（开放匿名设备标识符）、手机MAC地址；③应用列表信息，包括手机上已安装、新安装和新卸载的应用信息。在启动App场景和拍摄照片场景中，个人信息上传种类最多的均为美图秀秀，在美化照片场景和后台静默场景中，个人信息上传种类最多的为美图秀秀和Faceu激萌。具体情况如下。
 








“云盘类”App个人信息收集情况
 
测试选取了19家应用商店累计下载量达到1亿次的“云盘类”App，共计5款，其基本情况如下。



针对系统权限调用情况，测试发现，5款App在启动App、上传文件、下载文件、后台静默等4种场景下调用了位置、设备信息、应用列表、剪切板、存储5类系统权限，未发现调用相机、麦克风、通讯录等其他权限。
 
针对个人信息上传情况，测试发现，5款App上传了3种类型个人信息：①位置信息，包括经纬度、当前连接Wi-Fi MAC地址；②唯一设备识别码，包括Android ID（安卓ID）、OAID（开放匿名设备标识符）、手机MAC地址；③应用列表信息，包括手机上已安装的应用信息。
 
针对网络上传流量情况，5款App在用户完成一次云盘文件传输活动（启动App、上传文件、下载文件）时，上传数据流量平均最多的为百度网盘，约为2270KB；平均最少的为阿里云盘，约为201KB。）5款App后台静默12小时，上传数据流量平均最多的为天翼云盘，约为80KB；平均最少的为腾讯微云，约为8KB。