定制报告-个性化定制-按需专项定制研究报告
行业报告、薪酬报告
联系:400-6363-638
《奇安信:2023年度App侵害用户权益检测报告(16页).pdf》由会员分享,可在线阅读,更多相关《奇安信:2023年度App侵害用户权益检测报告(16页).pdf(16页珍藏版)》请在本站上搜索。 1、 目 录 第一章第一章 研究背景研究背景.1 一、检测引擎.1 二、检测依据.2 三、检测内容.2 四、数据范围.3 第二章第二章 违规收集个人信息分析违规收集个人信息分析.4 一、违规收集个人信息 APP 分类情况.4 二、无提示收集个人信息检出率情况.5 三、无提示收集个人信息类型分布情况.5 四、高频次收集个人信息情况分析.7 五、违规个人信息收集者分析.8 第三章第三章 总结与建议总结与建议.10 一、影响评估.10 二、总结&建议.10 附录附录 奇安信病毒响应中心奇安信病毒响应中心.11 附录附录 奇安信病毒响应中心移动安全团队奇安信病毒响应中心移动安全团队.12 附录附录 奇安信2、移动安全产品介绍奇安信移动安全产品介绍.13 附录附录 名词解释名词解释.14 1 第一章 研究背景 随着互联网和移动设备的发展,手机已成为人人都拥有的设备,其中各式各样的 APP 更是丰富了人们的生活,从社交到出行、从网购到外卖,从办公到娱乐等,APP 已成为大众生活必需品,但也因此暴露出 APP 收集个人信息的风险。为切实加强用户个人信息保护,为人民群众提供更安全、更健康、更干净的信息环境,国家工业和信息化部为此发布了一系列的相关法律法规和监管标准通知,并在全国范围组织开展 APP 违法违规收集使用个人信息专项治理。2023 年度,奇安信病毒响应中心共收录全国应用市场新收录新更新 APP 3、近 8080 万个万个。本报告依据工业和信息化部关于开展 APP 侵害用户权益专项整治工作的通知 工信部信管函 2019337 号文件、工业和信息化部关于开展纵深推进 APP 侵害用户权益专项整治行动的通知工信部信管函2020164 号文件和APP 违法违规收集使用个人信息行为认定方法等内容要求,使用奇安信完全自主研发安卓动态引擎 QADE(后文统称奇安信QADE 引擎)对 2023 年年应用市场新收录新更新的头部主流 APP抽样检测。该检测主要是为了评估当下 APP 侵害用户权益的问题,并提供相应的技术支持和参考。一、检测引擎 本次检测采用奇安信 QADE 引擎。奇安信 QADE 引擎是首款4、既支持对 APP 进行传统恶意检测,并支持对违规收集个人信息及索取权限检测等 APP 当下流行问题进行检测的综合一体化动态引擎。此次检测采用该引擎对违规收集个人信息进行检测。这个问题也是 APP 侵害用户权益问题中比较常见且影响较深的问题。2 二、检测依据 此次 APP 收集个人信息检测,我们参考了以下相关的国家法律法规作为检测标准依据:网络安全法 电信和互联网用户个人信息保护规定 GB/T 35273-2020 信息安全技术个人信息安全规范 工业和信息化部关于开展 APP 侵害用户权益专项整治工作的通知(工信部信管函2019337 号)工业和信息化部关于开展纵深推进 APP 侵害用户权益专项5、整治行动的通知(工信部信管函2020164 号)APP 违法违规收集使用个人信息行为认定方法 三、检测内容 在对 2023 年度应用市场新收录的 APP 抽查发现,存在相当部分 APP 在未经用户同意就开始收集用户个人信息,个别应用还频繁收集用户个人信息;这些违规行为不仅影响了用户的使用体验,并且严重侵害了用户个人隐私。所以,我们根据工业和信息化部关于开展 APP 侵害用户权益专项整治工作的通知 工信部信管函2019337 号文件、工业和信息化部关于开展纵深推进APP 侵害用户权益专项整治行动的通知工信部信管函2020164 号文件、关于开展纵深推进 APP 侵害用户权益专项整治行动的通知第三6、条以及网络安全法第四章对收录的 APP 进行检测,此次 APP 收集个人信息检测,我们使用了奇安信 QADE 引擎对以下侵害用户权益的检测内容进行自动化检测:违规收集个人信息:3 1.无提示收集个人信息 检测存在无隐私说明提示或者未点同意隐私协议便开始收集用户个人信息。2.高频次收集个人信息 检测存在按频率(每百秒的收集次数)收集用户个人信息。四、数据范围 检测周期为 2023 年 1 月 1 日至 2023 年 12 月 31 日应用市场的新收录新更新数据,主要来源于 34 个应用市场,其中应用数量最多的分别是华为应用市场、360 手机助手应用市场和豌豆荚应用市场。4 第二章 违规收集个人信7、息分析 一、违规收集个人信息 APP 分类情况 本次检测到的违规收集个人信息问题的 APP 中,生活休闲和网上购物的 APP 违规占比最高,分别占比 18.5%和 12.0%。存在违规收集个人信风险的 APP 类型分布具体情况可见下图:5 二、无提示收集个人信息检出率情况 在本次检测抽检的头部主流 APP 中,发现 3426234262 个个 APP 存在无提示收集个人信息,占比 4.3%。纵观 2023 年上半年和下半年的检出情况,下半年的检出率(2.0%)较上半年检出率(5.9%)稍呈下降趋势。具体分布如下图所示:三、无提示收集个人信息类型分布情况 根据GB/T 35273-2020 信息8、安全技术个人信息安全规范中的个人信息内容定义,奇安信 QADE 引擎进行了收集个人信息的类型检测。我们发现此次检测到的无提示收集个人信息的类型主要有 4 个。其中主要为个人常用设备信息 Android IDi,其次为个人常用设备信息 IMEIii、个人常用设备信息 MAC 地址iii和个人常用设备信息 Serial Numberiv;同时,我们还发现存在个别APP 还收集了用户的定位信息、用户当前电话号码和用户已安装应用信息。在此次 2023 年度检测中,APP 无提示收集信息类型排名前四的依次为:Android ID(占比 73.9%)、IMEI(占比 58.5%)、MAC 地址(占比 349、.6%)以及 Serial Number(占比 27.3%)。具体 6 APP 无提示收集个人信息的类型及占比分布如下图所示:从 2023 年上半年和下半年来看,Android ID、IMEI、MAC 地址和 Serial Number 这四类无提示收集个人信息的 APP 占比在逐步减少。其中 Android ID 从 76.5%下降到 65.6%,占比下降了10.9 个百分比,IMEI 下降了 10.8 个百分比。MAC 地址占比下降最多,下降了 15.8 个百分比。从不同类型无提示收集信息的 APP 在上半年和下半年的占比情况来看,占比最大的无提示收集信息类型始终是 Android ID,10、其次为 IMEI 和 MAC 地址。具体分布如下图所示:7 四、高频次收集个人信息情况分析 本文中,我们将一百秒内,单个 APP 收集个人信息次数大于等于 2 次的行为定义为存在“高频次收集个人信息”问题。2023 年度检测中,违规收集个人信息的 APP 中有 58.8%的APP 还存在高频次收集个人信息,高频次收集个人信息情况依然较为严重,下半年高频次收集个情况和上半年相比情况稍好,下半年高频次收集下降了 13.6 个百分比。其中最高一款 APP 在短短一百秒对个人信息 IMEI 收集了 440 次。高频次收集个人信息主要还是集中在 Android ID、IMEI 和MAC 地址中,在收集 11、Android ID 和 IMEI 的 APP 中,平均每个 APP都收集了至少 4 次。本次检出的高频次收集个人信息的 APP 中,大部分 APP 高频次收集次数主要集中在 25 次,占比 65.5%,其次是 610 次占比20.0%和1120次占比8.8%,超过20次的占比也达到了5.7%。详细分布可见图表:8 五、违规个人信息收集者分析 本次检测到的违规收集个人信息问题的 APP 中,有 74.4%的APP 包含了第三方 SDK 收集情况。下半年和上半年相比,第三方SDK 收集情况并无太大变化。这意味着当前多数 APP 自身不存在违规收集个人信息行为,主要还是集成了第三方 SDK 后而造12、成的APP 出现违规收集个人信息问题。在本次 2023 年度检测中,在违规收集个人信息第三方 SDK中,排名靠前的 SDK 都为市场知名 SDK,其中一知名 SDK 占比高达 23.2%,具体分布如图:9 本次检测到的包含第三方 SDK 违规收集个人信息问题的 APP中,大部分 APP 都是由于集成了一款违规 SDK 而导致违规,这部分占比 71.2%,少部分 APP 集成至少两款违规收集个人信息的第三方 SDK,占比 28.8%。具体占比情况如图:10 第三章 总结与建议 一、影响评估 此次检测到侵犯用户权益的 APP 中(存在违规收集个人信息),我们发现其中有 21 款 APP 下载量在亿13、次以上,有 111 款APP 下载量在千万次以上,183 款 APP 下载量在百万次以上。可见 APP 侵害用户权益问题的影响面非常广,至少影响到上亿用户。二、总结&建议 从 2023 年度检测的结果来看,在国家相关的法律法规下,今年侵害用户权益 APP 的检出率较低,整体趋势处于下降趋势;但从侵害用户权益 APP 的下载量来看,影响面仍较广,这也代表该问题仍需要继续保持治理。在此次检测的发现的主要问题,虽有一部分 APP 是自身产生的违规收集个人信息情况,但更多的是由于集成了第三方 SDK 导致。因此我们也建议一方面第三方 SDK 厂商在整改后,在如何更好的引导 APP 开发者按新版按要求更14、快速更便捷的进行升级解决做的更好,在做好自己的这个点的同时,也能和 APP 开发者这个上游点能联动形成一条安全线。另一方面 APP 开发者也要有相应的个人信息安全意识,按照国家法律法规,不进行违规收集个人信息。11 附录 奇安信病毒响应中心 奇安信病毒响应中心是北京奇安信科技有限公司(奇安信集团)旗下的病毒鉴定及响应专业团队,背靠奇安信核心云平台,拥有每日千万级样本检测及处置能力、每日亿级安全数据关联分析能力。结合多年反病毒核心安全技术、运营经验,基于集团自主研发的 QOWL 和 QDE(人工智能)引擎,形成跨平台木马病毒、漏洞的查杀与修复能力,并且具有强大的大数据分析以及实现全平台安全和防护15、预警能力。奇安信病毒响应中心负责支撑奇安信全线安全产品的病毒检测,积极响应客户侧的安全反馈问题,可第一时间为客户排除疑难杂症。中心曾多次处置重大病毒事件、参与重大活动安全保障工作,受到客户的高度认可,提升了奇安信在业内的品牌影响力。12 附录 奇安信病毒响应中心移动安全团队 奇安信病毒响应中心移动安全团队一直致力移动安全领域及 Android 安全生态的研究。目前,奇安信的移动安全产品除了可以查杀常见的移动端病毒木马,也可以精准查杀时下流行的刷量、诈骗、博彩、违规、色情等黑产类软件。通过其内部分析系统可以有效支持对溯源分析等追踪。团队结合自研 QADE 引擎和高价值移动端攻击发现流程已捕获到多16、起移动攻击事件,并发布了多篇移动黑产报告,对外披露了多个 APT 组织活动。近四年来已首发披露五个全新 APT 组织(诺崇狮组织 SilencerLion、利刃鹰组织 BladeHawk、艾叶豹组织 SnowLeopard、金刚象组织VajraEleph 和沙猁猫组织 Caracal Kitten)。未来我们还会持续走在全球移动安全研究的前沿,第一时间追踪分析最新的移动安全事件、对国内移动相关的黑灰产攻击进行深入挖掘和跟踪,为维护移动端上的网络安全砥砺前行。13 附录 奇安信移动安全产品介绍 奇安信移动终端安全管理系统奇安信移动终端安全管理系统(天机)是面向公安、司法、政府、金融、运营商、能源17、、制造等行业客户,具有强终端管控和强终端安全特性的移动终端安全管理产品。产品基于奇安信在海量移动终端上的安全技术积淀与运营经验,从硬件、OS、应用、数据到链路等多层次的安全防护方案,确保企业数据和应用在移动终端的安全性。奇安信移动态势感知系统奇安信移动态势感知系统是由奇安信安全监管 BG 态势感知第一事业部及其合作伙伴奇安信病毒响应中心移动团队合力推出的一个移动态势感知管理产品。不同于传统移动安全厂商着重于 APP 生产,发布环节,为客户提供 APP 加固、检测、分析等;移动态势感知面向具有监管责任的客户,更加着重于 APP 的下载,使用环节,摸清辖区范围内 APP 的使用情况,给客户提供 A18、PP 违法检测、合规性分析、溯源等功能。14 附录 名词解释 i Android ID:Android ID 是在 Android 设备上唯一的标识符,它可以用于许多方面,如广告跟踪、应用程序授权和设备管理等。ii IMEI:国际移动设备识别码(International Mobile Equipment Identity,IMEI),即通常所说的手机序列号 iii MAC 地址:国际移动用户识别码(英语:IMSI,International Mobile Subscriber Identity),是用于区分蜂窝网络中不同用户的、在所有蜂窝网络中不重复的识别码。iv Serial Number:产品序列号,产品序列是为了验证“产品的合法身份”而引入的一个概念,它是用来保障用户的正版权益,享受合法服务的。