2023年度 App侵害用戶權(quán)益檢測報(bào)告-2024.02

目

錄第一章

研究背景

...............................................................

1一、

檢測引擎

..................................................................................1二、

檢測依據(jù)

..................................................................................2三、

檢測內(nèi)容

..................................................................................2四、

數(shù)據(jù)范圍

..................................................................................3第二章

違規(guī)收集個人信息分析.........................................

4一、

違規(guī)收集個人信息

APP分類情況

...........................................4二、

無提示收集個人信息檢出率情況

...........................................5三、

無提示收集個人信息類型分布情況........................................5四、

高頻次收集個人信息情況分析

...............................................7五、

違規(guī)個人信息收集者分析

.......................................................8第三章

總結(jié)與建議...........................................................10一、

影響評估

................................................................................10二、

總結(jié)&建議

..............................................................................10附錄

奇安信病毒響應(yīng)中心

...............................................11附錄

奇安信病毒響應(yīng)中心移動安全團(tuán)隊(duì).........................12附錄

奇安信移動安全產(chǎn)品介紹........................................13附錄

名詞解釋..................................................................14第一章

研究背景隨著互聯(lián)網(wǎng)和移動設(shè)備的發(fā)展，手機(jī)已成為人人都擁有的設(shè)備，其中各式各樣的

APP更是豐富了人們的生活，從社交到出行、從網(wǎng)購到外賣，從辦公到娛樂等，APP已成為大眾生活必需品，但也因此暴露出

APP收集個人信息的風(fēng)險(xiǎn)。為切實(shí)加強(qiáng)用戶個人信息保護(hù)，為人民群眾提供更安全、更健康、更干凈的信息環(huán)境，國家工業(yè)和信息化部為此發(fā)布了一系列的相關(guān)法律法規(guī)和監(jiān)管標(biāo)準(zhǔn)通知，并在全國范圍組織開展

APP違法違規(guī)收集使用個人信息專項(xiàng)治理。2023年度，奇安信病毒響應(yīng)中心共收錄全國應(yīng)用市場新收錄新更新

APP近

80萬個。本報(bào)告依據(jù)《工業(yè)和信息化部關(guān)于開展

APP侵害用戶權(quán)益專項(xiàng)整治工作的通知》工信部信管函〔2019〕337

號文件、《工業(yè)和信息化部關(guān)于開展縱深推進(jìn)

APP

侵害用戶權(quán)益專項(xiàng)整治行動的通知》工信部信管函〔2020〕164號文件和《APP違法違規(guī)收集使用個人信息行為認(rèn)定方法》等內(nèi)容要求，使用奇安信完全自主研發(fā)安卓動態(tài)引擎

QADE（后文統(tǒng)稱奇安信QADE引擎）對

2023年年應(yīng)用市場新收錄新更新的頭部主流

APP抽樣檢測。該檢測主要是為了評估當(dāng)下

APP侵害用戶權(quán)益的問題，并提供相應(yīng)的技術(shù)支持和參考。一、

檢測引擎本次檢測采用奇安信

QADE引擎。奇安信

QADE引擎是首款既支持對

APP進(jìn)行傳統(tǒng)惡意檢測，并支持對違規(guī)收集個人信息及索取權(quán)限檢測等

APP當(dāng)下流行問題進(jìn)行檢測的綜合一體化動態(tài)引擎。此次檢測采用該引擎對違規(guī)收集個人信息進(jìn)行檢測。這個問題也是

APP侵害用戶權(quán)益問題中比較常見且影響較深的問題。1二、

檢測依據(jù)此次

APP收集個人信息檢測，我們參考了以下相關(guān)的國家法律法規(guī)作為檢測標(biāo)準(zhǔn)依據(jù)：

《網(wǎng)絡(luò)安全法》

《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》

《GB/T35273-2020信息安全技術(shù)個人信息安全規(guī)范》

《工業(yè)和信息化部關(guān)于開展

APP

侵害用戶權(quán)益專項(xiàng)整治工作的通知》（工信部信管函〔2019〕337號）

《工業(yè)和信息化部關(guān)于開展縱深推進(jìn)

APP

侵害用戶權(quán)益專項(xiàng)整治行動的通知》（工信部信管函〔2020〕164號）

《APP違法違規(guī)收集使用個人信息行為認(rèn)定方法》三、

檢測內(nèi)容在對

2023年度應(yīng)用市場新收錄的

APP抽查發(fā)現(xiàn)，存在相當(dāng)部分

APP在未經(jīng)用戶同意就開始收集用戶個人信息，個別應(yīng)用還頻繁收集用戶個人信息;這些違規(guī)行為不僅影響了用戶的使用體驗(yàn)，并且嚴(yán)重侵害了用戶個人隱私。所以，我們根據(jù)《工業(yè)和信息化部關(guān)于開展

APP侵害用戶權(quán)益專項(xiàng)整治工作的通知》工信部信管函〔2019〕337號文件、《工業(yè)和信息化部關(guān)于開展縱深推進(jìn)APP侵害用戶權(quán)益專項(xiàng)整治行動的通知》工信部信管函〔2020〕164

號文件、《關(guān)于開展縱深推進(jìn)

APP

侵害用戶權(quán)益專項(xiàng)整治行動的通知》第三條以及《網(wǎng)絡(luò)安全法》第四章對收錄的

APP進(jìn)行檢測，此次

APP收集個人信息檢測，我們使用了奇安信

QADE引擎對以下侵害用戶權(quán)益的檢測內(nèi)容進(jìn)行自動化檢測：

違規(guī)收集個人信息：21.

無提示收集個人信息檢測存在無隱私說明提示或者未點(diǎn)同意隱私協(xié)議便開始收集用戶個人信息。2.

高頻次收集個人信息檢測存在按頻率(每百秒的收集次數(shù))收集用戶個人信息。四、

數(shù)據(jù)范圍檢測周期為

2023年

1月

1日至

2023年

12月

31日應(yīng)用市場的新收錄新更新數(shù)據(jù)，主要來源于

34

個應(yīng)用市場，其中應(yīng)用數(shù)量最多的分別是華為應(yīng)用市場、360手機(jī)助手應(yīng)用市場和豌豆莢應(yīng)用市場。3第二章

違規(guī)收集個人信息分析一、

違規(guī)收集個人信息

APP分類情況本次檢測到的違規(guī)收集個人信息問題的

APP中，生活休閑和網(wǎng)上購物的

APP違規(guī)占比最高，分別占比

18.5%和

12.0%。存在違規(guī)收集個人信風(fēng)險(xiǎn)的

APP類型分布具體情況可見下圖：4二、

無提示收集個人信息檢出率情況在本次檢測抽檢的頭部主流

APP中，發(fā)現(xiàn)

34262個

APP存在無提示收集個人信息，占比

4.3%?？v觀

2023年上半年和下半年的檢出情況，下半年的檢出率（2.0%）較上半年檢出率（5.9%）稍呈下降趨勢。具體分布如下圖所示：三、

無提示收集個人信息類型分布情況根據(jù)《GB/T

35273-2020

信息安全技術(shù)個人信息安全規(guī)范》中的個人信息內(nèi)容定義，奇安信

QADE

引擎進(jìn)行了收集個人信息的類型檢測。我們發(fā)現(xiàn)此次檢測到的無提示收集個人信息的類型主要有

4個。其中主要為個人常用設(shè)備信息

Android

ID，其次i為個人常用設(shè)備信息

IMEIii、個人常用設(shè)備信息

MAC

地址iii和個人常用設(shè)備信息

Serial

Numberiv；同時(shí)，我們還發(fā)現(xiàn)存在個別APP還收集了用戶的定位信息、用戶當(dāng)前電話號碼和用戶已安裝應(yīng)用信息。在此次

2023

年度檢測中，APP

無提示收集信息類型排名前四的依次為：Android

ID（占比

73.9%）、IMEI（占比

58.5%）、MAC地址（占比

34.6%）以及

Serial

Number(占比

27.3%)。具體5APP無提示收集個人信息的類型及占比分布如下圖所示：從

2023年上半年和下半年來看，Android

ID、IMEI、MAC地址和

Serial

Number

這四類無提示收集個人信息的

APP

占比在逐步減少。其中

Android

ID從

76.5%下降到

65.6%，占比下降了10.9個百分比，IMEI下降了

10.8個百分比。MAC地址占比下降最多，下降了

15.8個百分比。從不同類型無提示收集信息的

APP在上半年和下半年的占比情況來看，占比最大的無提示收集信息類型始終是

Android

ID，其次為

IMEI和

MAC地址。具體分布如下圖所示：6四、

高頻次收集個人信息情況分析本文中，我們將一百秒內(nèi)，單個

APP收集個人信息次數(shù)大于等于

2次的行為定義為存在“高頻次收集個人信息”問題。2023

年度檢測中，違規(guī)收集個人信息的

APP

中有

58.8%的APP還存在高頻次收集個人信息，高頻次收集個人信息情況依然較為嚴(yán)重，下半年高頻次收集個情況和上半年相比情況稍好，下半年高頻次收集下降了

13.6個百分比。其中最高一款

APP在短短一百秒對個人信息

IMEI收集了

440次。高頻次收集個人信息主要還是集中在

Android

ID、IMEI和MAC地址中，在收集

Android

ID和

IMEI的

APP中，平均每個

APP都收集了至少

4次。本次檢出的高頻次收集個人信息的

APP中，大部分

APP高頻次收集次數(shù)主要集中在

2~5

次，占比

65.5%，其次是

6~10

次占比

20.0%和

11~20次占比

8.8%，超過

20次的占比也達(dá)到了

5.7%。詳細(xì)分布可見圖表：7五、

違規(guī)個人信息收集者分析本次檢測到的違規(guī)收集個人信息問題的

APP中，有

74.4%的APP包含了第三方

SDK收集情況。下半年和上半年相比，第三方SDK收集情況并無太大變化。這意味著當(dāng)前多數(shù)

APP自身不存在違規(guī)收集個人信息行為，主要還是集成了第三方

SDK后而造成的APP出現(xiàn)違規(guī)收集個人信息問題。在本次

2023

年度檢測中，在違規(guī)收集個人信息第三方

SDK中，排名靠前的

SDK都為市場知名

SDK，其中一知名

SDK占比高達(dá)

23.2%，具體分布如圖：8本次檢測到的包含第三方

SDK違規(guī)收集個人信息問題的

APP中，大部分

APP都是由于集成了一款違規(guī)

SDK而導(dǎo)致違規(guī)，這部分占比

71.2%，少部分

APP集成至少兩款違規(guī)收集個人信息的第三方

SDK，占比

28.8%。具體占比情況如圖：9第三章

總結(jié)與建議一、

影響評估此次檢測到侵犯用戶權(quán)益的

APP中（存在違規(guī)收集個人信息），我們發(fā)現(xiàn)其中有

21

款

APP

下載量在億次以上，有

111

款A(yù)PP下載量在千萬次以上，183款

APP

下載量在百萬次以上。可見

APP侵害用戶權(quán)益問題的影響面非常廣，至少影響到上億用戶。二、

總結(jié)&建議從

2023

年度檢測的結(jié)果來看，在國家相關(guān)的法律法規(guī)下，今年侵害用戶權(quán)益

APP

的檢出率較低，整體趨勢處于下降趨勢；但從侵害用戶權(quán)益

APP的下載量來看，影響面仍較廣，這也代表該問題仍需要繼續(xù)保持治理。在此次檢測的發(fā)現(xiàn)的主要問題，雖有一部分

APP是自身產(chǎn)生的違規(guī)收集個人信息情況，但更多的是由于集成了第三方

SDK導(dǎo)致。因此我們也建議一方面第三方

SDK廠商在整改后，在如何更好的引導(dǎo)

APP開發(fā)者按新版按要求更快速更便捷的進(jìn)行升級解決做的更好，在做好自己的這個點(diǎn)的同時(shí)，也能和

APP開發(fā)者這個上游點(diǎn)能聯(lián)動形成一條安全線。另一方面

APP開發(fā)者也要有相應(yīng)的個人信息安全意識，按照國家法律法規(guī)，不進(jìn)行違規(guī)收集個人信息。10附錄

奇安信病毒響應(yīng)中心奇安信病毒響應(yīng)中心是北京奇安信科技有限公司（奇安信集團(tuán)）旗下的病毒鑒定及響應(yīng)專業(yè)團(tuán)隊(duì)，背靠奇安信核心云平臺，擁有每日千萬級樣本檢測及處置能力、每日億級安全數(shù)據(jù)關(guān)聯(lián)分析能力。結(jié)合多年反病毒核心安全技術(shù)、運(yùn)營經(jīng)驗(yàn)，基于集團(tuán)自主研發(fā)的

QOWL和

QDE（人工智能）引擎，形成跨平臺木馬病毒、漏洞的查殺與修復(fù)能力，并且具有強(qiáng)大的大數(shù)據(jù)分析以及實(shí)現(xiàn)全平臺安全和防護(hù)預(yù)警能力。奇安信病毒響應(yīng)中心負(fù)責(zé)支撐奇安信全線安全產(chǎn)品的病毒檢測，積極響應(yīng)客戶側(cè)的安全反饋問題，可第一時(shí)間為客戶排除疑難雜癥。中心曾多次處置重大病毒事件、參與重大活動安全保障工作，受到客戶的高度認(rèn)可，提升了奇安信在業(yè)內(nèi)的品牌影響力。11附錄

奇安信病毒響應(yīng)中心移動安全團(tuán)隊(duì)奇安信病毒響應(yīng)中心移動安全團(tuán)隊(duì)一直致力移動安全領(lǐng)域及

Android安全生態(tài)的研究。目前，奇安信的移動安全產(chǎn)品除了可以查殺常見的移動端病毒木馬，也可以精準(zhǔn)查殺時(shí)下流行的刷量、詐騙、博彩、違規(guī)、色情等黑產(chǎn)類軟件。通過其內(nèi)部分析系統(tǒng)可以有效支持對溯源分析等追蹤。團(tuán)隊(duì)結(jié)合自研

QADE

引擎和高價(jià)值移動端攻擊發(fā)現(xiàn)流程已捕獲到多起移動攻擊事件，并發(fā)布了多篇移動黑產(chǎn)報(bào)告，對外披露了多個

APT組織活動。近四年來已首發(fā)披露五個全新

APT組織（諾崇獅組織

SilencerLion、利

刃鷹組織

BladeHawk、艾葉豹組織

SnowLeopard、金剛象組織VajraEleph和沙猁貓組織

Caracal

Kitten）。未來我們還會持續(xù)走在全球移動安全研究的前沿，第一時(shí)間追蹤分析最新的移動安全事件、對國內(nèi)移動相關(guān)的黑灰產(chǎn)攻擊進(jìn)行深入挖掘和跟蹤，為維護(hù)移動端上的網(wǎng)絡(luò)安全砥礪前行。12附錄

奇安信移動安全產(chǎn)品介紹奇安信移動終端安全管理系統(tǒng)（天機(jī)）是面向公安、司法、政府、金融、運(yùn)營商、能源、制造等行業(yè)客戶，具有強(qiáng)終端管控和強(qiáng)終端安全特性的移動終端安全管理