2022年第二季度App收集个人信息检测报告

2022年第二季度 APP收集个人信息检测报告 奇安信病毒响应中心 2022年9月15日 研究背景2 （一）检测引擎2 （二）检测依据2 （三）检测内容2 （四）数据范围3 （五）应用分布3 第一章无提示收集个人信息情况分析4 （一）无提示收集个人信息检出率情况4 （二）无提示收集个人信息类型分布情况4 第二章高频次收集个人信息情况分析6 第三章违规个人信息收集者分析8 （一）本次检测个人信息收集者情况8 （二）存在集成多个第三方SDK收集情况10 第四章总结与建议11 （一）影响评估11 （二）总结&建议11 附录A奇安信病毒响应中心12 附录B奇安信病毒响应中心移动安全团队12 附录C奇安信移动安全产品介绍12 附录D名词解释12 随着互联网和移动设备的发展，手机已成为人人都拥有的设备，其中各式各样的APP更是丰富了人们的生活，从社交到出行、从网购到外卖，从办公到娱乐等，APP已成为大众生活必需品，但也因此暴露出APP收集个人信息的风险。为切实加强用户个人信息保护，为人民群众提供更安全、更健康、更干净的信息环境，国家工业和信息化部为此发布了一系列的相关法律法规和监管标准通知，并在全国范围组织开展APP违法违规收集使用个人信息专项治理。 2022年第二季度，奇安信病毒响应中心共收录全国应用市场新收录新更新APP近38万个。本报告依据《APP违法违规收集使用个人信息行为认定方法》等内容要求，使用奇安信自研安卓动态引擎QADE对2022年第二季度应用市场新收录新更新的头部主流APP抽样检测。该检测主要是为了评估当下APP收集个人信息的一些问题，并给予相应的提供技术支撑和参考。 （一）检测引擎 本次检测采用奇安信完全自主研发安卓动态引擎QADE（后文统称奇安信QADE引擎）。奇安信QADE引擎是首款既支持对APP进行传统恶意检测，并支持对违规收集个人信息及索权等APP当下流行问题进行检测的综合一体化动态引擎。此次检测采用该引擎对无提示收集个人信息和高频次收集个人信息两个问题进行检测。这两个也是违规收集个人信息问题中比较常见且影响较深的问题。 （二）检测依据 此次APP收集个人信息检测，我们参考了以下相关的国家法律法规作为检测标准依据： 1)《网络安全法》 2)《电信和互联网用户个人信息保护规定》 3)《GB/T35273-2020信息安全技术个人信息安全规范》 4)《关于开展纵深推进APP侵害用户权益专项整治行动的通知》（工信部信管函 〔2020〕164号） 5)《APP违法违规收集使用个人信息行为认定方法》 （三）检测内容 在对2022年第二季度应用市场新收录的APP抽查发现，存在相当部分APP在未经用户同意就开始收集用户个人信息，个别应用还频繁收集用户个人信息，这些违规行为对用户来说无感知，但又严重侵害了用户个人隐私。所以，我们根据《关于开展纵深推进APP侵害用户权益专项整治行动的通知》第三条以及《网络安全法》第四章，此次APP收集个人信息检测，我们使用了奇安信QADE引擎对以下两项检测内容进行自动化检测： 1)无提示收集个人信息 检测存在无隐私说明提示或者未点同意隐私协议便开始收集用户个人信息。 2)高频次收集个人信息 检测存在按频率(每百秒的收集次数)收集用户个人信息。 （四）数据范围 检测周期为2022年4月1日至2022年6月30日应用市场的新收录新更新数据，主要来源五个应用市场，分别是pc6应用市场、豌豆荚应用市场、多多软件站、360手机助手和华为应用市场。 （五）应用分布 本次检测到的违规收集个人信息问题的APP中，APP的类型分布总体情况可见图表： 对表图中的结果可知，违规收集个人信息在休闲益智类APP上风险较大，其次是网上购物。 第一章无提示收集个人信息情况分析 （一）无提示收集个人信息检出率情况 1)在本次抽检的头部主流APP中，有27.2%的APP存在无提示收集个人信息，同2022第一季度相比，检出率环比增加5.9%。同时，我们在本次的抽检中发现，存在无提示收集个人信息的APP中，有4.6%的APP在2022第一季度中已被检测为无提示收集个人信息。 （二）无提示收集个人信息类型分布情况 根据《GB/T35273-2020信息安全技术个人信息安全规范》中的个人信息内容定义，奇安信QADE引擎进行了收集个人信息的类型检测。我们发现此次检测到的无提示收集个人信息的类型主要有3个。其中主要为个人常用设备信息IMEIi，其次为个人常用设备信息MAC地址ii、个人常用设备信息IMSIiii；同时，我们还发现存在个别APP还收集了用户的定位信息、剪切板信息iv和用户已安装应用信息。 1)在此次检测中，APP无提示收集主要的三种个人信息类型占比情况如图： 2)环比2022第一季度APP无提示收集个人信息类型分布，我们发现无提示收集中主要三种类型差距不大。 第二章高频次收集个人信息情况分析 本次检测到的违规收集个人信息问题的APP，其中有25.1%的APP还存在高频次收集个人信息，这批APP在短短一百秒中存在至少收集2次,其中最高一款APP在短短一百秒对IMEI收集了715次。 对比第一季度，我们发现，高频次收集个人信息检出率环比增加10.4%，增幅较大。 高频次收集个人信息主要还是集中在IMEI、IMSI和MAC地址，在收集IMEI的APP中，存在25%的APP收集了4次以上；在收集MAC地址和IMSI的APP中，大部分APP都收集了3次及以上。 本次检出的APP高频次收集个人信息次数情况较为严峻，其中存在18.7%的APP在短短一百秒内收集个人信息达20次以上，详细分布可见图表： 第三章违规个人信息收集者分析 （一）本次检测个人信息收集者情况 1)本次检测到的违规收集个人信息问题的APP中，有76.7%的APP包含了第三方SDK收集情况，环比2022第一季度下降7.3%。这意味着当前多数APP自身不存在违规收集个人信息行为，主要还是集成了第三方SDK后而造成的APP出现违规收集个人信息问题。 注：“自身APP”代表APP自身存在违规收集个人信息问题。 2)本次检测到的违规收集个人信息第三方SDK中，其中市场知名SDK占比较大。 3)本次检出违规第三方SDK230款，其中存在99款SDK在2022第一季度中已检出， 剩余131款为本次新增检出SDK。可以发现，SDK收集个人信息情况仍然较为严重，同时，截止到2022第二季度，我们已经检出违规第三方SDK总共253款。 （二）存在集成多个第三方SDK收集情况 本次检测到的违规收集个人信息问题的APP中，存在13.8%APP集成至少两个违规收集个人信息的第三方SDK，相比第一季度，环比下降1.6%。这意味着APP自身在集成第三方SDK这个环节，当下还有一些问题，需要双方更高效更紧密的配合，特别是对第三方SDK有更高的要求。 第四章总结与建议 （一）影响评估 此次检测到违规收集个人信息问题的APP中，我们发现其中有1款APP下载量在亿以上，有12款APP下载量在千万以上，16款APP下载量在百万以上。可见违规收集个人信息问题的影响面仍然较广，至少影响到上亿用户。 （二）总结&建议 从本次检出结果来看，在此次两项检测内容中，违规收集个人信息的APP检出率存在增长的趋势，建议APP开发者及时按照国家相关法律法规规范自己的APP行为；另此次违规收集个人信息的APP影响面仍较广，这也代表该问题仍需要继续保持治理。 此次检测的发现的主要问题，虽有一部分APP是自身产生的违规收集个人信息情况，但更多的是由于集成了第三方SDK导致。因此我们也建议一方面第三方SDK厂商在整改后，在如何更好的引导APP开发者按新版按要求更快速更便捷的进行升级解决做的更好，在做好自己的这个点的同时，也能和APP开发者这个上游点能联动形成一条安全线。另一方面APP开发者也要有相应的个人信息安全意识，按照国家法律法规，不进行违规收集个人信息。 附录A奇安信病毒响应中心 奇安信病毒响应中心是北京奇安信科技有限公司（奇安信集团）旗下的病毒鉴定及响应专业团队，背靠奇安信核心云平台，拥有每日千万级样本检测及处置能力、每日亿级安全数据关联分析能力。结合多年反病毒核心安全技术、运营经验，基于集团自主研发的QOWL和QDE（人工智能）引擎，形成跨平台木马病毒、漏洞的查杀与修复能力，并且具有强大的大数据分析以及实现全平台安全和防护预警能力。 奇安信病毒响应中心负责支撑奇安信全线安全产品的病毒检测，积极响应客户侧的安全反馈问题，可第一时间为客户排除疑难杂症。中心曾多次处置重大病毒事件、参与重大活动安全保障工作，受到客户的高度认可，提升了奇安信在业内的品牌影响力。 附录B奇安信病毒响应中心移动安全团队 奇安信病毒响应中心移动安全团队一直致力移动安全领域及Android安全生态的研究。目前，奇安信的移动安全产品除了可以查杀常见的移动端病毒木马，也可以精准查杀时下流行的刷量、诈骗、博彩、违规、色情等黑产类软件，并支持对APP合规化安全检测。通过其高价值移动端攻击发现流程已捕获到多起攻击事件，并发布了多篇移动黑产报告，对外披露了多个APT组织活动，近两年已首发披露4个国家背景下的新APT组织（诺崇狮组织SilencerLion、利刃鹰组织BladeHawk、艾叶豹组织SnowLeopard和金刚象组织VajraEleph）。未来我们还会持续走在全球移动安全研究的前沿，第一时间追踪分析最新的移动安全事件、对国内移动相关的黑灰产攻击进行深入挖掘和跟踪，为维护移动端上的网络安全砥砺前行。 附录C奇安信移动安全产品介绍 奇安信移动终端安全管理系统（天机）是面向公安、司法、政府、金融、运营商、能源、制造等行业客户，具有强终端管控和强终端安全特性的移动终端安全管理产品。产品基于奇安信在海量移动终端上的安全技术积淀与运营经验，从硬件、OS、应用、数据到链路等多层次的安全防护方案，确保企业数据和应用在移动终端的安全性。 奇安信移动态势感知系统是由奇安信安全监管BG态势感知第一事业部及其合作伙伴奇安信病毒响应中心移动团队合力推出的一个移动态势感知管理产品。不同于传统移动安全厂商着重于APP生产，发布环节，为客户提供APP加固、检测、分析等；移动态势感知面向具有监管责任的客户，更加着重于APP的下载，使用环节，摸清辖区范围内APP的使用情况，给客户提供APP违法检测、合规性分析、溯源等功能。 附录D名词解释 iIMEI：国际移动设备识别码（InternationalMobileEquipmentIdentity，IMEI），即通常所说的手机序列号。 iiMAC地址：MAC地址（英语：MediaAccessControlAddress），直译为媒体存取控制位 址，也称为局域网地址（LANAddress），MAC位址，以太网地址（EthernetAddress）或物理地址（PhysicalAddress），它是一个用来确认网络设备位置的位址。 iiiIMSI：国际移动用户识别码（英语：IMSI，InternationalMobileSubscriberIdentity），是用于区分蜂窝网络中不同用户的、在所有蜂窝网络中不重复的识别码。iv剪切板：剪切板中存储着用户复制或者剪切的数据。