研究背景

隨著互聯(lián)網(wǎng)和移動(dòng)設(shè)備的發(fā)展，手機(jī)已成為人人都擁有的設(shè)備，各式各樣的App更是豐富了人們的生活：從社交到出行、從網(wǎng)購到外賣，從辦公到娛樂等，App已成為大眾生活必需品。然而，App的流行使人們對App違規(guī)收集個(gè)人信息的風(fēng)險(xiǎn)更加擔(dān)憂。

為切實(shí)加強(qiáng)用戶個(gè)人信息保護(hù)，為人民群眾提供更安全、更健康、更干凈的信息環(huán)境，國家工業(yè)和信息化部為此發(fā)布了一系列的相關(guān)法律法規(guī)和監(jiān)管標(biāo)準(zhǔn)通知，并在全國范圍內(nèi)組織開展App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理工作。

2022年第一季度，奇安信病毒響應(yīng)中心共收錄全國應(yīng)用市場新增App活躍樣本近30萬個(gè)。本報(bào)告依據(jù)《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》等內(nèi)容要求，使用奇安信自研安卓動(dòng)態(tài)引擎QADE對新增APP樣本進(jìn)行抽樣檢測，重點(diǎn)評估“無提示收集個(gè)人信息”和“高頻次收集個(gè)人信息”兩種最為常見、影響較深的合規(guī)性問題。

1. 檢測引擎

本次檢測采用奇安信完全自主研發(fā)安卓動(dòng)態(tài)引擎QADE（后文統(tǒng)稱奇安信QADE引擎）。奇安信QADE引擎既支持對App進(jìn)行傳統(tǒng)惡意檢測，同時(shí)也支持對App違規(guī)收集個(gè)人信息及索權(quán)等合規(guī)性問題的檢測，是“綜合一體化”動(dòng)態(tài)引擎。

1. 檢測依據(jù)

本次報(bào)告主要參考以下相關(guān)的國家法律法規(guī)作為檢測標(biāo)準(zhǔn)依據(jù)：

《網(wǎng)絡(luò)安全法》、《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》、《GB/T 35273-2020信息安全技術(shù)個(gè)人信息安全規(guī)范》、《關(guān)于開展縱深推進(jìn)App侵害用戶權(quán)益專項(xiàng)整治行動(dòng)的通知》（工信部信管函〔2020〕164號(hào)）、《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》

1. 檢測內(nèi)容

本次報(bào)告重點(diǎn)檢測了相關(guān)App在以下兩方面的合規(guī)性問題：

無提示收集個(gè)人信息

無提示收集個(gè)人信息是指存在無隱私說明提示或者未點(diǎn)同意隱私協(xié)議便開始收集用戶個(gè)人信息的情況。

無提示收集個(gè)人信息，實(shí)際上就是在不告知用戶，或用戶不知情的情況下，秘密收集用戶的各種個(gè)人信息，從而給用戶帶來個(gè)人信息泄露、個(gè)人信息被濫用等網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。很多App為了實(shí)現(xiàn)自身不當(dāng)?shù)纳虡I(yè)利益，會(huì)選擇不告知用戶個(gè)人信息收集規(guī)則，或只告知用戶部分個(gè)人信息收集規(guī)則。

高頻次收集個(gè)人信息

高頻次收集個(gè)人信息是指存在高頻率（每百秒的收集次數(shù)）收集用戶個(gè)人信息的情況。

高頻次收集個(gè)人信息，會(huì)導(dǎo)致用戶個(gè)人活動(dòng)信息被過渡收集，從而危害用戶個(gè)人信息和隱私安全，同時(shí)還會(huì)快速消耗用戶手機(jī)電量和網(wǎng)絡(luò)流量。

關(guān)于什么樣的收集頻次屬于高頻次收集，相關(guān)法律法規(guī)并沒有特別明確的具體規(guī)定。在本報(bào)告中，每百秒內(nèi)收集個(gè)人信息超過2次（包含2次），即認(rèn)定為高頻次收集。

1. 數(shù)據(jù)范圍

本次報(bào)告的檢測周期為2022年1月1日至2022年3月31日，國內(nèi)四個(gè)應(yīng)用市場的新收錄及更新的APP樣本共近30萬個(gè)。這四個(gè)應(yīng)用市場分別是：豌豆莢、多多軟件站、pc6應(yīng)用市場和2265應(yīng)用市場。

流行App違規(guī)風(fēng)險(xiǎn)形勢分析

存在違規(guī)風(fēng)險(xiǎn)的App規(guī)模

2022年第一季度，在針對近30萬個(gè)新增活躍App樣本的抽樣檢測中，存在“無提示收集個(gè)人信息”風(fēng)險(xiǎn)和“高頻次收集個(gè)人信息”風(fēng)險(xiǎn)的App，分別占到檢測樣本總量的21.3%和14.7%?？傮w來看，平均每5個(gè)App中，就會(huì)有一個(gè)存在個(gè)人信息收集方面的違規(guī)風(fēng)險(xiǎn)。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-47SjbAsU-1691328650067)(http://public.host.github5.com/media/a18e0d7ceba197a38d36f8aacd927a68.png)]

本季度檢出的所有存在違規(guī)風(fēng)險(xiǎn)的App中，至少有1款下載量超過1億次，4款下載量超過1000萬次，19款下載量超過100萬次。僅這24款A(yù)pp就至少影響國內(nèi)超過2億用戶。

存在違規(guī)風(fēng)險(xiǎn)的App類型

從App類型來看，在2022年第一季度的檢測中，存在違規(guī)風(fēng)險(xiǎn)最多的App是網(wǎng)上購物類App,約占所有存在違規(guī)風(fēng)險(xiǎn)App總數(shù)的20.1%；其次是生活休閑類，占比為15.6%。辦公商務(wù)類排名第三，占比13.6%。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-WKD6EnfP-1691328650068)(http://public.host.github5.com/media/ee61b55ba5847379ac002b3337631ce5.png)]

典型App違規(guī)風(fēng)險(xiǎn)行為分析

無提示收集個(gè)人信息類型分析

檢測顯示，在所有存在“無提示收集個(gè)人信息”風(fēng)險(xiǎn)的App中，IMEI、MAC地址和IMSI是App靜默收集個(gè)人信息最主要的三個(gè)類型。其中，87.6%會(huì)無提示收集IMEI 信息，50.6%會(huì)無提示收集MAC地址，16.7%會(huì)無提示收集IMSI信息，而無提示收集其他個(gè)人信息的情況，僅占1.7%。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-SjUwZnSW-1691328650069)(http://public.host.github5.com/media/79ceebce61eba1e7898a6dce55d968eb.png)]

名詞解釋

IMEI

國際移動(dòng)設(shè)備識(shí)別碼（英語：IMEI，International Mobile Equipment Identity），是用于在移動(dòng)電話網(wǎng)絡(luò)中識(shí)別每一部獨(dú)立的手機(jī)等移動(dòng)通信設(shè)備。

MAC地址

硬件位址（英語：Media Access Control Address），也稱為局域網(wǎng)地址、MAC位址、以太網(wǎng)地址或物理地址，它是一個(gè)用來確認(rèn)網(wǎng)絡(luò)設(shè)備位置的位址。

IMSI

國際移動(dòng)用戶識(shí)別碼（英語：IMSI，International Mobile Subscriber Identity），是用于區(qū)分蜂窩網(wǎng)絡(luò)中不同用戶的、在所有蜂窩網(wǎng)絡(luò)中不重復(fù)的識(shí)別碼。

高頻次收集個(gè)人信息情況分析

如前所述，在2022年第一季度檢測的所有新增活躍App樣本中，一百秒內(nèi)收集用戶個(gè)人信息超過2次（包含2次）的App占到了所有被檢測App總量的14.7%。在所有存在高頻次收集個(gè)人信息風(fēng)險(xiǎn)的App中，每一百秒收集個(gè)人信息次數(shù)大于等于2次，但低于5次的App約占44.0%；6~10次的占比28.7%,11~20次的占比18.8%，大于20次的占比8.5%。

特別的，我們在本季度的檢測中，發(fā)現(xiàn)某款收集個(gè)人信息最為頻繁App，竟然在一百秒內(nèi)對IMEI信息收集了138次，平均每秒1.38次，相當(dāng)于平均約每0.7秒就收集一次，可謂是對用戶個(gè)人信息的“不間斷”收集。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-1WQZ3S5s-1691328650070)(http://public.host.github5.com/media/b950740367c97125d880acb48e9fe814.png)]

違規(guī)個(gè)人信息收集者分析

App對于用戶個(gè)人信息的收集，未必都是由App自身來完成的，很多時(shí)候是因?yàn)锳pp集成了第三方SDK，而第三方SDK存在個(gè)人信息收集行為。如果相關(guān)App在用戶協(xié)議中，沒有告知其集成的第三方SDK存在的個(gè)人信息收集情況，同樣也會(huì)構(gòu)成“無提示收集個(gè)人信息”的違規(guī)風(fēng)險(xiǎn)。如果第三方SDK存在“高頻次收集個(gè)人信息”的情況，那么相關(guān)App也會(huì)存在同樣的違規(guī)風(fēng)險(xiǎn)。

統(tǒng)計(jì)顯示，在所有存在“無提示收集個(gè)人信息”和“高頻次收集個(gè)人信息”風(fēng)險(xiǎn)的App中，對用戶信息進(jìn)行違規(guī)收集的，84.0%屬于第三方SDK行為，僅有16.0%屬于App自身行為。也就是說，對第三方SDK的不規(guī)范使用，以及第三方SDK自身的不規(guī)范行為，是導(dǎo)致當(dāng)前部分App存在違規(guī)收集用戶個(gè)人信息風(fēng)險(xiǎn)的主要原因。檢測還發(fā)現(xiàn)，有兩款知名的第三方SDK，分別覆蓋了存在違規(guī)行為的App總量的29.0%和21.0%。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-VOrSaqp6-1691328650071)(http://public.host.github5.com/media/f0995a3e294e0bddb767a4d094b5cf58.png)]

研究還發(fā)現(xiàn)，在某些存在違規(guī)收集用戶個(gè)人信息風(fēng)險(xiǎn)的App中，集成了不止一款存在違規(guī)收集用戶信息行為的第三方SDK。統(tǒng)計(jì)顯示，在所有集成了違規(guī)收集個(gè)人信息SDK的App中，只集成了1款違規(guī)SDK的App占比為84.4%，集成了2款違規(guī)SDK的App占比為12.7%，另有2.9%的App集成3款及以上的違規(guī)SDK。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-slMs25CS-1691328650072)(http://public.host.github5.com/media/20384540d74ae4cfc8fbdf1c4d0ab08e.png)]

奇安信病毒響應(yīng)中心

奇安信病毒響應(yīng)中心是奇安信集團(tuán)旗下的專業(yè)病毒鑒定及響應(yīng)團(tuán)隊(duì)。中心以奇安信核心云平臺(tái)為基礎(chǔ)，擁有每日千萬級(jí)樣本檢測及處置能力、每日億級(jí)安全數(shù)據(jù)關(guān)聯(lián)分析能力。結(jié)合多年反病毒核心安全技術(shù)、運(yùn)營經(jīng)驗(yàn)，基于集團(tuán)自主研發(fā)的QOWL和QDE引擎，形成跨平臺(tái)木馬病毒查殺能力與漏洞修復(fù)能力，并且具有強(qiáng)大的大數(shù)據(jù)分析能力，可以實(shí)現(xiàn)全平臺(tái)安全和防護(hù)預(yù)警能力。

奇安信病毒響應(yīng)中心支撐奇安信全線安全產(chǎn)品的病毒檢測，積極響應(yīng)客戶側(cè)的安全反饋問題，可第一時(shí)間為客戶排除疑難雜癥。中心曾多次處置重大病毒傳播事件，多次參與重大活動(dòng)安全保障工作，受到客戶的高度認(rèn)可。

奇安信病毒響應(yīng)中心移動(dòng)安全團(tuán)隊(duì)

奇安信病毒響應(yīng)中心移動(dòng)安全團(tuán)隊(duì)一直致力移動(dòng)安全領(lǐng)域及Android安全生態(tài)的研究，不僅可以為奇安信移動(dòng)安全產(chǎn)品提供常見的移動(dòng)端病毒木馬查殺能力，也可以精準(zhǔn)識(shí)別時(shí)下流行的刷量、詐騙、博彩、違規(guī)、色情等黑產(chǎn)類軟件，并支持對App的合規(guī)化安全檢測。

團(tuán)隊(duì)創(chuàng)新研發(fā)的高價(jià)值移動(dòng)端攻擊發(fā)現(xiàn)流程，已成功捕獲到國內(nèi)外多起針對移動(dòng)平臺(tái)的重大攻擊事件，并發(fā)布了多篇移動(dòng)黑產(chǎn)報(bào)告，披露了多個(gè)通過移動(dòng)平臺(tái)發(fā)起攻擊的APT組織及其活動(dòng)。特別的，近兩年來，團(tuán)隊(duì)首發(fā)披露了包括諾崇獅組織SilencerLion、利刃鷹組織BladeHawk、艾葉豹組織SnowLeopard和金剛象組織VajraEleph在內(nèi)的多個(gè)全新的APT組織。團(tuán)隊(duì)的高級(jí)威脅的分析與追蹤溯源能力在國內(nèi)外均處于領(lǐng)先水平。

奇安信移動(dòng)安全產(chǎn)品介紹

奇安信移動(dòng)終端安全管理系統(tǒng)（天機(jī)）是面向公安、司法、政府、金融、運(yùn)營商、能源、制造等行業(yè)客戶，具有強(qiáng)終端管控和強(qiáng)終端安全特性的移動(dòng)終端安全管理產(chǎn)品。產(chǎn)品基于奇安信在海量移動(dòng)終端上的安全技術(shù)積淀與運(yùn)營經(jīng)驗(yàn)，從硬件、OS、應(yīng)用、數(shù)據(jù)到鏈路等多層次的安全防護(hù)方案，確保企業(yè)數(shù)據(jù)和應(yīng)用在移動(dòng)終端的安全性。

奇安信移動(dòng)態(tài)勢感知系統(tǒng)是由奇安信集團(tuán)態(tài)勢感知團(tuán)隊(duì)與奇安信病毒響應(yīng)中心移動(dòng)團(tuán)隊(duì)合力推出的一個(gè)移動(dòng)態(tài)勢感知管理產(chǎn)品，主要面向具有監(jiān)管責(zé)任的政企機(jī)構(gòu)客戶，著重于監(jiān)測App的下載與使用環(huán)節(jié)，協(xié)助相關(guān)監(jiān)管機(jī)構(gòu)摸清轄區(qū)范圍內(nèi)App的使用情況，給客戶提供App違法檢測、合規(guī)性分析及App溯源等功能。

延伸閱讀

更多內(nèi)容 可以 App違規(guī)收集個(gè)人信息風(fēng)險(xiǎn)分析報(bào)告. 進(jìn)一步學(xué)習(xí)

聯(lián)系我們

DB50-T 1404-2023 生豬無抗養(yǎng)殖生物安全控制技術(shù)規(guī)范 重慶市.pdf