定制报告-个性化定制-按需专项定制研究报告
行业报告、薪酬报告
联系:400-6363-638
《奇安信:2023上半年APP侵害用户权益检测报告(25页).pdf》由会员分享,可在线阅读,更多相关《奇安信:2023上半年APP侵害用户权益检测报告(25页).pdf(25页珍藏版)》请在本站上搜索。 1、 目 录 第一章第一章 研究背景研究背景.1 一、检测引擎.1 二、检测依据.2 三、检测内容.2 四、数据范围.3 第二章第二章 违规收集个人信息分析违规收集个人信息分析.5 一、违规收集个人信息 APP 分类情况.5 二、无提示收集个人信息检出率情况.6 三、无提示收集个人信息类型分布情况.6 四、高频次收集个人信息情况分析.7 五、违规个人信息收集者分析.8 第三章第三章 APPAPP 强制、频繁、过度索取权限分析强制、频繁、过度索取权限分析.10 一、存在索取权限问题 APP 类型分布.10 二、索取权限结果分析.11 三、索取权限检出分析.12 四、权限使用情况.14 第四章第四章 2、违规索取权限与违规收集个人信息违规索取权限与违规收集个人信息.17 第五章第五章 总结与建议总结与建议.18 一、影响评估.18 二、总结&建议.18 附录附录 奇安信病毒响应中心奇安信病毒响应中心.19 附录附录 奇安信病毒响应中心移奇安信病毒响应中心移动安全团队动安全团队.20 附录附录 奇安信移动安全产品介绍奇安信移动安全产品介绍.21 附录附录 名词解释名词解释.22 1 第一章 研究背景 随着互联网和移动设备的发展,手机已成为人人都拥有的设备,其中各式各样的 APP 更是丰富了人们的生活,从社交到出行、从网购到外卖,从办公到娱乐等,APP 已成为大众生活必需品,但也因此暴露出 APP3、 收集个人信息的风险。为切实加强用户个人信息保护,为人民群众提供更安全、更健康、更干净的信息环境,国家工业和信息化部为此发布了一系列的相关法律法规和监管标准通知,并在全国范围组织开展 APP 违法违规收集使用个人信息专项治理。2023 年上半年,奇安信病毒响应中心共收录全国应用市场新收录新更新 APP 近 40 万个。本报告依据工业和信息化部关于开展 APP 侵害用户权益专项整治工作的通知工信部信管函2019 337 号文件、工业和信息化部关于开展纵深推进 APP 侵害用户权益专项整治行动的通知工信部信管函2020164 号文件和APP 违法违规收集使用个人信息行为认定方法等内容要求,使用奇安4、信完全自主研发安卓动态引擎 QADE(后文统称奇安信 QADE 引擎)对 2023 年上半年应用市场新收录新更新的头部主流 APP 抽样检测。该检测主要是为了评估当下 APP 侵害用户权益的问题,并提供相应的技术支持和参考。一、检测引擎 本次检测采用奇安信 QADE 引擎。奇安信 QADE 引擎是首款既支持对 APP 进行传统恶意检测,并支持对违规收集个人信息及索取权限检测等 APP 当下流行问题进行检测的综合一体化动态引擎。此次检测采用该引擎对违规收集个人信息和 APP 强制、频繁、过度索取权限两个问题进行检测。这两个问题也是 APP 侵害用户 2 权益问题中比较常见且影响较深的问题。二、检5、测依据 此次 APP 收集个人信息检测,我们参考了以下相关的国家法律法规作为检测标准依据:网络安全法 电信和互联网用户个人信息保护规定 GB/T 35273-2020 信息安全技术个人信息安全规范 工业和信息化部关于开展 APP 侵害用户权益专项整治工作的通知(工信部信管函2019337 号)工业和信息化部关于开展纵深推进 APP 侵害用户权益专项整治行动的通知(工信部信管函2020164 号)APP 违法违规收集使用个人信息行为认定方法 三、检测内容 在对 2023 年上半年应用市场新收录的 APP 抽查发现,存在相当部分 APP 在未经用户同意就开始收集用户个人信息,个别应用还频繁收集用户6、个人信息;同时,APP 违规索取权限问题也相当突出,相当部分 APP 存在频繁索取权限行为,个别应用还存在过度索取权限行为,这些违规行为不仅影响了用户的使用体验,并且严重侵害了用户个人隐私。所以,我们根据工业和信息化部关于开展 APP 侵害用户权益专项整治工作的通知 工信部信管函2019337 号文件、工业和信息化部关于开展纵深推进 APP侵害用户权益专项整治行动的通知工信部信管函2020164号文件、关于开展纵深推进 APP 侵害用户权益专项整治行动的通知 第三条以及 网络安全法 第四章对收录的 APP 进行检测,3 此次 APP 收集个人信息检测,我们使用了奇安信 QADE 引擎对以下两项7、侵害用户权益的检测内容进行自动化检测:违规收集个人信息:1.无提示收集个人信息 检测存在无隐私说明提示或者未点同意隐私协议便开始收集用户个人信息。2.高频次收集个人信息 检测存在按频率(每百秒的收集次数)收集用户个人信息。APP 强制、频繁、过度索取权限:1.强制索取权限 APP 安装、运行和使用相关功能时,非服务所必需或无合理应用场景下,用户拒绝相关授权申请后,应用自动退出或关闭的行为。2.过度索取权限 APP 未及时明确告知用户索取权限的目的和用途,提前申请超出其业务功能等权限的行为。3.频繁索取权限 APP 短时长、高频次,在用户明确拒绝权限申请后,频繁弹窗、反复申请与当前服务场景无关权8、限的行为。四、数据范围 检测周期为 2023 年 1 月 1 日至 2023 年 6 月 30 日应用市场的新收录新更新数据,主要来源于 34 个应用市场,其中应用数 4 量最多的分别是华为应用市场、豌豆荚应用市场、APKMirror 应用市场。5 第二章 违规收集个人信息分析 一、违规收集个人信息 APP 分类情况 本次检测到的违规收集个人信息问题的 APP 中,生活休闲和网上购物类型的 APP 违规占比最高,分别占比 29.1%和 14.6%。存在违规收集个人信风险的 APP 类型分布具体情况可见下图:6 二、无提示收集个人信息检出率情况 在本次检测抽检的头部主流 APP 中,有 5.9%9、的 APP 存在无提示收集个人信息。三、无提示收集个人信息类型分布情况 根据GB/T 35273-2020 信息安全技术个人信息安全规范中的个人信息内容定义,奇安信 QADE 引擎进行了收集个人信息的类型检测。我们发现此次检测到的无提示收集个人信息的类型主要有 4 个。其中主要为个人常用设备信息 Android IDi,其次为个人常用设备信息 IMEIii、个人常用设备信息 MAC 地址iii和个人常用设备信息 Serial Numberiv;同时,我们还发现存在个别APP 还收集了用户的定位信息、用户当前电话号码和用户已安装应用信息。在此次 2023 年上半年检测中,APP 无提示收集信息类10、型排名前四的依次为:Android ID(占比 76.5%)、IMEI(占比 65.0%)、MAC 地址(占比 40.2%)以及 Serial Number(占比 31.4%)。具体APP 无提示收集个人信息的类型及占比分布如下图所示:7 四、高频次收集个人信息情况分析 本文中,我们将一百秒内,单个 APP 收集个人信息次数大于等于 2 次的行为定义为存在“高频次收集个人信息”问题。2023 年上半年度检测中,高频次收集个人信息情况较为严重,违规收集个人信息的 APP 中有 65.7%的 APP 还存在高频次收集个人信息,其中最高一款 APP 在短短一百秒对个人信息 IMEI收集了 440 次11、。高频次收集个人信息主要还是集中在 Android ID、IMEI 和MAC 地址中,在收集 Android ID 和 IMEI 的 APP 中,平均每个 APP都收集了至少 4 次。本次检出的高频次收集个人信息的 APP 中,大部分 APP 高频次收集次数主要集中在 25 次,占比 62.6%,其次是 610 次占比21.5%和1120次占比9.7%,超过20次的占比也达到了6.2%。详细分布可见图表:8 五、违规个人信息收集者分析 本次检测到的违规收集个人信息问题的 APP 中,有 72.7%的APP 包含了第三方 SDK 收集情况。这意味着当前多数 APP 自身不存在违规收集个人信息行为12、,主要还是集成了第三方 SDK 后而造成的 APP 出现违规收集个人信息问题。在本次 2023 年上半年检测中,在违规收集个人信息第三方SDK 中,排名靠前的 SDK 都为市场知名 SDK,其中一知名 SDK 占比高达 20.0%。具体分布如图:9 本次检测到的包含第三方 SDK 违规收集个人信息问题的 APP中,大部分 APP 都是由于集成了一款违规 SDK 而导致违规,这部分占比 70.1%,少部分 APP 集成至少两款违规收集个人信息的第三方 SDK,占比 29.9%。具体占比情况如图:10 第三章 APP 强制、频繁、过度索取权限分析 一、存在索取权限问题 APP 类型分布 本次检出到13、存在索取权限问题的 APP 中,主要来自豌豆荚应用市场和 APK8 安卓网应用市场。本次检测到的存在索取权限问题的 APP 中,生活休闲类型的应用占最多数,其次是网上购物类型,总体情况可见图表:11 对表图中的结果可知,对电商类 APP和部分生活类 APP来说,收集的信息越多,用户画像就越精准,能开展的经营活动就更多,获利更丰厚。二、索取权限结果分析 存在索取权限问题的 APP 中,频繁索取权限问题最为严重,过度索取权限问题次之。此次检出存在索取权限问题的 APP 中,生活休闲类型的 APP检出量最多,网上购物类型的 APP 检出量第二。其中生活休闲类型的 APP 索取权限检测结果中,大部分 14、APP 存在频繁索取权限的情况。12 网上购物类型的 APP 索取权限检测结果中,大部分 APP 存在频繁索取权限或过度索取权限的情况。三、索取权限检出分析 在本次存在频繁索取权限问题的 APP 中,其中生活休闲类型的 APP 的占比最多,网上购物类型次之。13 在本次存在过度索取权限问题的 APP 中,其中生活休闲类型的 APP 的占比最多,网上购物类型次之。在本次存在强制索取权限问题的 APP 中,其中生活休闲类型的 APP 的占比最多,网上购物类型次之。14 四、权限使用情况 通过对检出数量最多的生活休闲类型 APP 和网上购物类型APP 中频繁索取权限、强制索取权限的情况分析,能看到出15、现频次最高五个权限是:WRITE_EXTERNAL_STORAGE READ_PHONE_STATE ACCESS_FINE_LOCATION ACCESS_COARSE_LOCATION READ_EXTERNAL_STORAGE 15 其中索取权限检出头部类型中频繁索取权限检出比例情况如下:16 在观察出现索取权限问题的样本时,发现普遍存在一个样本同时检出频繁索取权限和过度取权限的情况,共同检出情况分别占频繁索取权限检出的 80.3%、占过度索取权限检出的 85.4%,所以可以得到结论:多数过度索取权限行为往往伴随着频繁索取权限行为。17 第四章 违规索取权限与违规收集个人信息 在此次检测16、中,有 8.3%的 APP 存在侵犯用户权益的问题(存在违规索取权限或者违规收集个人信息),同时在侵犯用户权益的 APP 中,存在 16.7%同时存在违规索取权限问题和违规收集个人信息问题。18 第五章 总结与建议 一、影响评估 此次检测到侵犯用户权益的 APP 中(存在违规索取权限或者违规收集个人信息),我们发现其中有 6 款 APP 下载量在亿次以上,有 76 款 APP 下载量在千万次以上,297 款 APP 下载量在百万次以上。可见 APP 侵害用户权益问题的影响面非常广,至少影响到上亿用户。二、总结&建议 从 2023 年上半年度检测的结果来看,在国家相关的法律法规下,此次侵害用户权17、益 APP 的检出率较低,但从侵害用户权益APP 的下载量来看,影响面仍较广,这也代表该问题仍需要继续保持治理。在此次检测的发现的主要问题,虽有一部分 APP 是自身产生的违规收集个人信息情况,但更多的是由于集成了第三方 SDK 导致。因此我们也建议一方面第三方 SDK 厂商在整改后,在如何更好的引导 APP 开发者按新版按要求更快速更便捷的进行升级解决做的更好,在做好自己的这个点的同时,也能和 APP 开发者这个上游点能联动形成一条安全线。另一方面 APP 开发者也要有相应的个人信息安全意识,按照国家法律法规,不进行违规收集个人信息。19 附录 奇安信病毒响应中心 奇安信病毒响应中心是北京奇18、安信科技有限公司(奇安信集团)旗下的病毒鉴定及响应专业团队,背靠奇安信核心云平台,拥有每日千万级样本检测及处置能力、每日亿级安全数据关联分析能力。结合多年反病毒核心安全技术、运营经验,基于集团自主研发的 QOWL 和 QDE(人工智能)引擎,形成跨平台木马病毒、漏洞的查杀与修复能力,并且具有强大的大数据分析以及实现全平台安全和防护预警能力。奇安信病毒响应中心负责支撑奇安信全线安全产品的病毒检测,积极响应客户侧的安全反馈问题,可第一时间为客户排除疑难杂症。中心曾多次处置重大病毒事件、参与重大活动安全保障工作,受到客户的高度认可,提升了奇安信在业内的品牌影响力。20 附录 奇安信病毒响应中心移动安19、全团队 奇安信病毒响应中心移动安全团队一直致力移动安全领域及 Android 安全生态的研究。目前,奇安信的移动安全产品除了可以查杀常见的移动端病毒木马,也可以精准查杀时下流行的刷量、诈骗、博彩、违规、色情等黑产类软件,并支持对 APP 合规化安全检测。通过其高价值移动端攻击发现流程已捕获到多起攻击事件,并发布了多篇移动黑产报告,对外披露了多个 APT 组织活动,近三年已首发披露 4 个国家背景下的新 APT 组织(诺崇狮组织 SilencerLion、利刃鹰组织 BladeHawk、艾叶豹组织SnowLeopard 和金刚象组织 VajraEleph)。未来我们还会持续走在全球移动安全研究的20、前沿,第一时间追踪分析最新的移动安全事件、对国内移动相关的黑灰产攻击进行深入挖掘和跟踪,为维护移动端上的网络安全砥砺前行。21 附录 奇安信移动安全产品介绍 奇安信移动终端安全管理系统奇安信移动终端安全管理系统(天机)是面向公安、司法、政府、金融、运营商、能源、制造等行业客户,具有强终端管控和强终端安全特性的移动终端安全管理产品。产品基于奇安信在海量移动终端上的安全技术积淀与运营经验,从硬件、OS、应用、数据到链路等多层次的安全防护方案,确保企业数据和应用在移动终端的安全性。奇安信移动态势感知系统奇安信移动态势感知系统是由奇安信安全监管 BG 态势感知第一事业部及其合作伙伴奇安信病毒响应中心移21、动团队合力推出的一个移动态势感知管理产品。不同于传统移动安全厂商着重于 APP 生产,发布环节,为客户提供 APP 加固、检测、分析等;移动态势感知面向具有监管责任的客户,更加着重于 APP 的下载,使用环节,摸清辖区范围内 APP 的使用情况,给客户提供 APP 违法检测、合规性分析、溯源等功能。22 附录 名词解释 i Android ID:Android ID 是在 Android 设备上唯一的标识符,它可以用于许多方面,如广告跟踪、应用程序授权和设备管理等。ii IMEI:国际移动设备识别码(International Mobile Equipment Identity,IMEI),即通常所说的手机序列号 iii MAC 地址:国际移动用户识别码(英语:IMSI,International Mobile Subscriber Identity),是用于区分蜂窝网络中不同用户的、在所有蜂窝网络中不重复的识别码。iv Serial Number:产品序列号,产品序列是为了验证“产品的合法身份”而引入的一个概念,它是用来保障用户的正版权益,享受合法服务的。