云计算和大数据

约两成App存在违规收集个人信息风险 影响超两亿用户

LensNews

14.7%App存在高频收集个人信息现象 最快每0.7秒收集一次

“要厘清数据所有权、使用权、运营权、收益权等权利,在保障国家网络和数据安全的基础上激发企业创新活力。”在5月17日召开的“推动数字经济持续健康发展”专题协商会上,数据安全和个人隐私再次成为了关注的焦点。

然而就目前的形势来看,数据安全和个人隐私问题依旧十分突出,其中各大App对于用户隐私的过度收集就是典型代表。近日,奇安信病毒响应中心发布了2022年第一季度《App违规收集个人信息风险分析报告》(简称《报告》),对近30万个全国应用市场新增App活跃样本个人信息收集情况进行了详细的分析。

《报告》显示,在针对近30万个新增活跃App样本的抽样检测中,存在“无提示收集个人信息”风险和“高频次收集个人信息”风险的App,分别占到检测样本总量的21.3%和14.7%。总体来看,平均每5个App中,就会有一个存在个人信息收集方面的违规风险。在本季度检出的所有存在违规风险的App中,至少有1款下载量超过1亿次,4款下载量超过1000万次,19款下载量超过100万次,仅所有抽样检测存在违规风险的24款App就至少影响国内超过2亿用户。

约两成App存在违规收集个人信息风险 影响超两亿用户

《报告》发现,在所有存在“无提示收集个人信息”风险的App中,IMEI(国际移动设备识别码)、MAC(硬件地址)地址和IMSI(国际移动用户识别码)是App静默收集个人信息最主要的三个类型。其中,87.6%会无提示收集IMEI 信息,50.6%会无提示收集MAC地址,16.7%会无提示收集IMSI信息,而无提示收集其他个人信息的情况,仅占1.7%。

约两成App存在违规收集个人信息风险 影响超两亿用户

另一方面,在2022年第一季度检测的所有新增活跃App样本中,一百秒内收集用户个人信息超过2次(包含2次)的App占到了所有被检测App总量的14.7%,存在高频收集个人信息现象。而在所有存在高频次收集个人信息风险的App中,每一百秒收集个人信息次数大于等于2次,但低于5次的App约占44.0%;6~10次的占比28.7%,11~20次的占比18.8%,大于20次的占比8.5%。

值得注意的是,某款收集个人信息最为频繁App,竟然在一百秒内对IMEI信息收集了138次,平均每秒1.38次,相当于平均约每0.7秒就收集一次,可谓是对用户个人信息的“不间断”收集。

约两成App存在违规收集个人信息风险 影响超两亿用户

尽管大量App仍存在违规收集个人信息的现象,但未必都是由App自身来完成的,很多时候是因为App集成了第三方SDK,而第三方SDK存在个人信息收集行为。如果相关App在用户协议中,没有告知其集成的第三方SDK存在的个人信息收集情况,同样也会构成“无提示收集个人信息”的违规风险。如果第三方SDK存在“高频次收集个人信息”的情况,那么相关App也会存在同样的违规风险。

《报告》显示,在所有存在“无提示收集个人信息”和“高频次收集个人信息”风险的App中,对用户信息进行违规收集的,84.0%属于第三方SDK行为,仅有16.0%属于App自身行为。也就是说,对第三方SDK的不规范使用,以及第三方SDK自身的不规范行为,是导致当前部分App存在违规收集用户个人信息风险的主要原因。检测还发现,有两款知名的第三方SDK,分别覆盖了存在违规行为的App总量的29.0%和21.0%。

约两成App存在违规收集个人信息风险 影响超两亿用户

《报告》还发现,在某些存在违规收集用户个人信息风险的App中,集成了不止一款存在违规收集用户信息行为的第三方SDK。统计显示,在所有集成了违规收集个人信息SDK的App中,只集成了1款违规SDK的App占比为84.4%,集成了2款违规SDK的App占比为12.7%,另有2.9%的App集成3款及以上的违规SDK。

约两成App存在违规收集个人信息风险 影响超两亿用户

关于奇安信病毒响应中心

奇安信病毒响应中心是奇安信集团旗下的专业病毒鉴定及响应团队。中心以奇安信核心云平台为基础,拥有每日千万级样本检测及处置能力、每日亿级安全数据关联分析能力。结合多年反病毒核心安全技术、运营经验,基于集团自主研发的QOWL和QDE引擎,形成跨平台木马病毒查杀能力与漏洞修复能力,并且具有强大的大数据分析能力,可以实现全平台安全和防护预警能力。

奇安信病毒响应中心支撑奇安信全线安全产品的病毒检测,积极响应客户侧的安全反馈问题,可第一时间为客户排除疑难杂症。中心曾多次处置重大病毒传播事件,多次参与重大活动安全保障工作,受到客户的高度认可。

本次检测采用奇安信完全自主研发安卓动态引擎QADE(后文统称奇安信QADE引擎)。奇安信QADE引擎既支持对App进行传统恶意检测,同时也支持对App违规收集个人信息及索权等合规性问题的检测,是“综合一体化”动态引擎。

(4)

本文由 计算杂谈 作者:云中子 发表,转载请注明来源!

关键词:
LensNews

热评文章

发表评论