摘 要
2022年度,奇安信对新收录的APP进行抽样合规检测,发现当下较多的APP存在违规问题,违规APP的数量占到了本次检测APP数量的25.3%。
违规APP中类型占比最高的是生活休闲类。
检测发现违规的APP中有78.8%都包含了第三方SDK违规收集的行为,说明第三方SDK违规是造成APP违规的主要原因。
检测发现部分违规APP在100秒中对个人信息至少收集了2次,这部分APP占违规APP数量的24.7%。
违规APP的影响较为广泛,本次检测发现违规APP的总下载量超过了上亿次。
研究背景
随着互联网和移动设备的发展,手机已成为人人都拥有的设备,其中各式各样的APP更是丰富了人们的生活,从社交到出行、从网购到外卖,从办公到娱乐等,APP已成为大众生活必需品,但也因此暴露出APP收集个人信息的风险。为切实加强用户个人信息保护,为人民群众提供更安全、更健康、更干净的信息环境,国家工业和信息化部为此发布了一系列的相关法律法规和监管标准通知,并在全国范围组织开展APP违法违规收集使用个人信息专项治理。
2022年度,奇安信病毒响应中心共收录全国应用市场新收录新更新APP近118万个。本报告依据《APP违法违规收集使用个人信息行为认定方法》等内容要求,使用奇安信自研安卓动态引擎QADE对2022年度应用市场新收录新更新的头部主流APP抽样检测。该检测主要是为了评估当下APP收集个人信息的一些问题,并给予相应的提供技术支撑和参考。
01 检测引擎
本次检测采用奇安信完全自主研发安卓动态引擎QADE(后文统称奇安信QADE引擎)。奇安信QADE引擎是首款既支持对APP进行传统恶意检测,并支持对违规收集个人信息及索权等APP当下流行问题进行检测的综合一体化动态引擎。此次检测采用该引擎对无提示收集个人信息和高频次收集个人信息两个问题进行检测。这两个也是违规收集个人信息问题中比较常见且影响较深的问题。
02 检测依据
此次APP收集个人信息检测,我们参考了以下相关的国家法律法规作为检测标准依据:
《网络安全法》
《电信和互联网用户个人信息保护规定》
《GB/T 35273-2020信息安全技术个人信息安全规范》
《关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)
《APP违法违规收集使用个人信息行为认定方法》
03 检测内容
在对2022年度应用市场新收录的APP抽查发现,存在相当部分APP在未经用户同意就开始收集用户个人信息,个别应用还频繁收集用户个人信息,这些违规行为对用户来说无感知,但又严重侵害了用户个人隐私。所以,我们根据《关于开展纵深推进APP侵害用户权益专项整治行动的通知》第三条以及《网络安全法》第四章,此次APP收集个人信息检测,我们使用了奇安信QADE引擎对以下两项检测内容进行自动化检测:
无提示收集个人信息:
检测存在无隐私说明提示或者未点同意隐私协议便开始收集用户个人信息。
高频次收集个人信息:
检测存在按频率(每百秒的收集次数)收集用户个人信息。
04 数据范围
检测周期为2022年1月1日至2022年12月31日应用市场的新收录新更新数据,主要来源八个应用市场,分别是PC6应用市场、豌豆荚应用市场、多多软件站应用市场、360手机助手应用市场、华为应用市场、历趣应用市场、7230手游网应用市场和APK8安卓网应用市场。
05 应用分布
本次检测到的违规收集个人信息问题的APP中,生活休闲类型的APP违规占比最高,占比43.5%;第二是网上购物类型的APP,占比9.2%;第三是办公商务类型的APP,占比8.4%。可见违规问题最多的还是集中在生活休闲类型APP上。存在违规收集个人信息风险的APP类型分布具体情况可见下图:
无提示收集个人信息情况分析
01 无提示收集个人信息检出率情况
在本次检测抽检的头部主流APP中,有25.3%的APP存在无提示收集个人信息。纵观2022年四个季度的检出情况,第二季度检出率(21.2%)较第一季度检出率(27.2%)稍有增高,第三季度检出率(20.7%)和第四季度检出率(13.3%)都呈下降趋势。可见,APP无提示违规手机个人信息检出情况在逐渐好转。具体分布如下图所示:
02 无提示收集个人信息类型分布情况
根据《GB/T 35273-2020信息安全技术个人信息安全规范》中的个人信息内容定义,奇安信QADE引擎进行了收集个人信息的类型检测。我们发现此次检测到的无提示收集个人信息的类型主要有3个。其中主要为个人常用设备信息IMEIi,其次为个人常用设备信息MAC地址ii和个人常用设备信息IMSIiii;同时,我们还发现存在个别APP还收集了用户的定位信息、剪切板iv信息 和用户已安装应用信息。
在此次2022年年度检测中,APP无提示收集信息类型排名前三的依次为:IMEI(占比85.2%)、MAC地址(占比46.2%)以及IMSI(占比20.1%)。具体APP无提示收集个人信息的类型及占比分布如下图所示:
从2022年四个季度来看,IMEI与MAC地址两类无提示收集信息的APP占比在逐步减少,IMSI与其他类型总体上占比越来越多。其中IMEI从第一季度的87.4%下降到79.3%,占比下降了8.1个百分比,MAC地址下降了10.6个百分比。而IMSI有所上升,第三季度达到最高点22.8%。
从不同类型无提示收集信息的APP在各季度占比情况来看,每个季度占比最大的无提示收集信息类型始终是IMEI,其次为MAC地址和IMSI。具体分布如下图所示:
高频次收集个人信息情况分析
本文中,我们将一百秒内,单个APP收集个人信息次数大于等于2次的行为定义为存在“高频次收集个人信息”问题。
2022年度检测中,违规收集个人信息的APP中有24.7%的APP还存在高频次收集个人信息,其中最高一款APP在短短一百秒对个人信息IMEI收集了715次。
01 高频次收集个人信息检出率情况
在整个2022年度,我们发现,高频次收集个人信息检出率总体呈上升趋势。在检测到的违规收集个人信息问题的App中,第一季度有14.9%的违规APP存在高频次收集个人信息的情况,第二季度有25.1%的违规APP高频次收集个人信息,第四季度达到最高,有27.1%的违规APP存在高频词收集个人信息的情况。具体各季度分布如下图所示:
高频次收集个人信息主要还是集中在IMEI、MAC地址和IMSI,在收集IMEI的APP中,平均每个APP都收集了4次,其中有27.9%的APP收集IMEI的次数都超过了平均值;在收集MAC地址和IMSI的APP中,存在近三分之一的APP收集次数都超过了3次。
02 高频次收集个人信息次数分布情况
本次检出的APP高频次收集个人信息次数情况较为严峻,大部分APP高频次收集次数主要集中在2~5次,占比35.5%,其次是6~10次占比27.8%和11~20次占比21.5%,超过20次的占比也达到了15.2%。详细分布可见图表:
违规个人信息收集者分析
本次检测到的违规收集个人信息问题的APP中,有78.8%的APP包含了第三方SDK收集情况。这意味着当前多数APP自身不存在违规收集个人信息行为,主要还是集成了第三方SDK后而造成的APP出现违规收集个人信息问题。
01 第三方SDK收集情况
2022整个年度中,在国家相关的法律法规影响下,第三方SDK违规收集的现象总体呈现下降趋势。2022年度中,第三方SDK违规收集占比最高的为第一季度,占比84.2%;第四季度占比最低,占比为75.2%。具体各季度分布占比如图:
在本次2022年度检测中,共检测到307款违规SDK,在违规收集个人信息第三方SDK中,排名靠前的SDK都为市场知名SDK。具体分布如图:
02 集成多个第三方SDK收集情况
本次检测到的包含第三方SDK违规收集个人信息问题的APP中,大部分APP都是由于集成了一款违规SDK而导致违规,这部分占比82.8%,少部分APP集成至少两款违规收集个人信息的第三方SDK,占比17.2%。具体占比情况如图:
总结与建议
01 影响评估
此次检测到违规收集个人信息问题的APP中,我们发现其中有1款APP下载量在亿次以上,有7款APP下载量在千万次以上,22款APP下载量在百万次以上。可见违规收集个人信息问题的影响面仍然较广,至少影响到上亿用户。
02 总结&建议
从2022年度检测的结果来看,在此次两项检测内容中,违规收集个人信息的APP检出率总体呈现略微下降的趋势,建议APP开发者及时按照国家相关法律法规规范自己的APP行为;另此次违规收集个人信息的APP影响面仍较广,这也代表该问题仍需要继续保持治理。
此次检测的发现的主要问题,虽有一部分APP是自身产生的违规收集个人信息情况,但更多的是由于集成了第三方SDK导致。因此我们也建议一方面第三方SDK厂商在整改后,在如何更好的引导APP开发者按新版按要求更快速更便捷的进行升级解决做的更好,在做好自己的这个点的同时,也能和APP开发者这个上游点能联动形成一条安全线。另一方面APP开发者也要有相应的个人信息安全意识,按照国家法律法规,不进行违规收集个人信息。
附录1 奇安信病毒响应中心
奇安信病毒响应中心是北京奇安信科技有限公司(奇安信集团)旗下的病毒鉴定及响应专业团队,背靠奇安信核心云平台,拥有每日千万级样本检测及处置能力、每日亿级安全数据关联分析能力。结合多年反病毒核心安全技术、运营经验,基于集团自主研发的QOWL和QDE(人工智能)引擎,形成跨平台木马病毒、漏洞的查杀与修复能力,并且具有强大的大数据分析以及实现全平台安全和防护预警能力。
奇安信病毒响应中心负责支撑奇安信全线安全产品的病毒检测,积极响应客户侧的安全反馈问题,可第一时间为客户排除疑难杂症。中心曾多次处置重大病毒事件、参与重大活动安全保障工作,受到客户的高度认可,提升了奇安信在业内的品牌影响力。
附录2 奇安信病毒响应中心移动安全团队
奇安信病毒响应中心移动安全团队一直致力移动安全领域及Android安全生态的研究。目前,奇安信的移动安全产品除了可以查杀常见的移动端病毒木马,也可以精准查杀时下流行的刷量、诈骗、博彩、违规、色情等黑产类软件,并支持对APP合规化安全检测。通过其高价值移动端攻击发现流程已捕获到多起攻击事件,并发布了多篇移动黑产报告,对外披露了多个APT组织活动,近三年已首发披露4个国家背景下的新APT组织(诺崇狮组织SilencerLion、利刃鹰组织BladeHawk、艾叶豹组织SnowLeopard和金刚象组织VajraEleph)。未来我们还会持续走在全球移动安全研究的前沿,第一时间追踪分析最新的移动安全事件、对国内移动相关的黑灰产攻击进行深入挖掘和跟踪,为维护移动端上的网络安全砥砺前行。
附录3 奇安信移动安全产品介绍
奇安信移动终端安全管理系统(天机)是面向公安、司法、政府、金融、运营商、能源、制造等行业客户,具有强终端管控和强终端安全特性的移动终端安全管理产品。产品基于奇安信在海量移动终端上的安全技术积淀与运营经验,从硬件、OS、应用、数据到链路等多层次的安全防护方案,确保企业数据和应用在移动终端的安全性。
奇安信移动态势感知系统是由奇安信安全监管BG态势感知第一事业部及其合作伙伴奇安信病毒响应中心移动团队合力推出的一个移动态势感知管理产品。不同于传统移动安全厂商着重于APP生产,发布环节,为客户提供APP加固、检测、分析等;移动态势感知面向具有监管责任的客户,更加着重于APP的下载,使用环节,摸清辖区范围内APP的使用情况,给客户提供APP违法检测、合规性分析、溯源等功能。
附录4 名词解释
i IMEI:国际移动设备识别码(International Mobile Equipment Identity,IMEI),即通常所说的手机序列号。
ii MAC地址:MAC地址(英语:Media Access Control Address),直译为媒体存取控制位址,也称为局域网地址(LAN Address),MAC位址,以太网地址(Ethernet Address)或物理地址(Physical Address),它是一个用来确认网络设备位置的位址。
iii IMSI:国际移动用户识别码(英语:IMSI,International Mobile Subscriber Identity),是用于区分蜂窝网络中不同用户的、在所有蜂窝网络中不重复的识别码。
iv剪切板:剪切板中存储着用户复制或者剪切的数据。
声明:本文来自奇安信病毒响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。