报告总结
研究背景与目的
随着互联网和移动设备的普及,APP成为人们日常生活中不可或缺的一部分,但同时也引发了个人信息保护的担忧。为应对这一挑战,国家相关部门出台了一系列法规和指导,旨在加强用户个人信息保护,营造安全健康的数字环境。本报告基于此背景,利用奇安信病毒响应中心自主研发的QADE引擎,对2022年第二季度应用市场中的新收录APP进行检测,重点关注无提示收集个人信息和高频次收集个人信息的问题。
检测方法与依据
- 检测引擎:奇安信QADE引擎,融合了传统恶意检测与违规个人信息收集检测功能。
- 检测依据:遵循《网络安全法》、《电信和互联网用户个人信息保护规定》、《GB/T 35273-2020信息安全技术个人信息安全规范》等相关法律法规。
- 检测内容:针对无提示收集个人信息和高频次收集个人信息两个问题进行自动化检测。
- 数据范围:覆盖2022年4月至6月期间新收录的38万个APP。
主要发现
- 无提示收集个人信息:27.2%的头部主流APP存在此问题,检出率环比增长5.9%。约4.6%的APP在第一季度已被识别为同类问题。
- 个人信息类型:主要涉及IMEI、MAC地址、IMSI、定位信息、剪切板信息和已安装应用信息。
- 高频次收集个人信息:25.1%的APP存在此类行为,其中IMEI、IMSI和MAC地址为主要收集对象。最高检测到的APP在100秒内收集IMEI信息达715次。
- 违规第三方SDK:76.7%的违规收集个人信息APP包含第三方SDK,其中市场知名SDK占比显著。13.8%的APP集成至少两个违规SDK。
- 影响评估:违规APP影响广泛,涉及亿级、千万级和百万级下载量的应用,影响至少上亿用户。
结论与建议
- 影响趋势:违规收集个人信息的检出率呈上升趋势,影响面广。
- 改进措施:
- 开发者应遵循法律法规,规范APP行为。
- 提升SDK管理,确保第三方SDK合规。
- 加强个人信息安全意识培训。
- 推动上下游合作,形成安全生态链。
附录信息
- 奇安信病毒响应中心:提供病毒鉴定、响应与处置服务,具备强大安全分析与预警能力。
- 移动安全团队:专注于移动安全研究,发现并报告多起APT组织活动,提升移动安全水平。
- 移动安全产品:包括移动终端安全管理系统(天机)和移动态势感知系统,提供全方位的安全防护解决方案。
