日期:
来源:中国信息安全收集编辑:
邮发代号 2-786
征订热线:010-82341063
近期,中国网络空间安全协会、国家计算机网络应急技术处理协调中心对“新闻资讯类”公众大量使用的部分App收集个人信息情况进行了测试。测试情况及结果如下:本次测试选取了19家应用商店⁽¹⁾累计下载量达到1亿次的“新闻资讯类”App,共计8款,其基本情况如表1。
本次测试选取相同品牌、型号的手机终端,安装相同版本安卓操作系统,分别部署8款App,在相同网络环境下进行同步操作。 以完成一次新闻资讯浏览活动作为测试单元,包括启动App、刷新首页新闻、查看新闻内容、分享新闻链接4种用户使用场景,以及后台静默应用场景⁽²⁾。本次测试包括系统权限调用、个人信息上传、网络上传流量3项内容。
(一)系统权限调用情况
测试发现,8款App在5种场景下调用了位置、设备信息、应用列表、剪切板4类系统权限,未发现调用相机、麦克风、通讯录等其他权限。
(1)在启动App场景中,调用系统权限种类最多的为今日头条、百度、新浪新闻(均为4类),调用系统权限次数最多的为搜狐新闻(18次)。具体情况如表2。
(2)在刷新首页新闻场景中,调用系统权限种类最多的为今日头条、新浪新闻、网易新闻、趣头条(均为2类),调用系统权限次数最多的为一点资讯(18次)。具体情况如表3。
(3)在查看新闻内容场景中,调用系统权限种类和次数最多的均为网易新闻(2类、3次)。具体情况如表4。(4)在分享新闻链接场景中,调用系统权限种类和次数最多的均为网易新闻(2类、3次)。具体情况如表5。(5)在后台静默场景中,调用系统权限种类最多的为网易新闻和趣头条(均为3类),调用系统权限次数最多的为网易新闻(5次)。具体情况如表6。
测试发现,8款App上传了4种类型个人信息:①位置信息,包括经纬度、街道地址、当前连接Wi-Fi MAC地址、当前连接基站信息、周边可用Wi-Fi MAC地址;②唯一设备识别码,包括IMEI(国际移动设备识别码)、Android ID(安卓ID)、OAID(开放匿名设备标识符)、手机MAC地址;③应用列表信息,包括手机上已安装、新安装和新卸载的应用信息,自上次使用App以来的应用信息变化情况(包括更新、安装和卸载);④用户在App首页的截图信息,包括截图操作(记录有截图动作发生)、截图内容(截图产生的图片)。(1)在启动App场景中,个人信息上传种类最多的为百度和新浪新闻(均为3类)。具体情况如表7。(2)在刷新首页新闻场景中,个人信息上传种类最多的为网易新闻(3类)。具体情况如表8。(3)在查看新闻内容场景中,个人信息上传种类最多的为今日头条和网易新闻(均为2类)。具体情况如表9。
(4)在分享新闻链接场景中,个人信息上传种类最多的为网易新闻(2类)。具体情况如表10。
(5)在后台静默场景中,个人信息上传种类最多的为今日头条、新浪新闻、网易新闻、趣头条(均为2类)。具体情况如表11。(1)8款App在用户完成一次新闻资讯浏览活动(启动App、刷新首页新闻、查看新闻内容、分享新闻链接)时,上传数据流量平均⁽³⁾最多的为新浪新闻,约为1200KB;平均最少的为一点资讯,约为195KB。具体情况如图1。图1 完成一次新闻资讯浏览活动的平均上传数据流量(单位:KB)
(2)8款App后台静默12小时,上传数据流量平均⁽⁴⁾最多的为今日头条,约为1301KB;平均最少的为百度,约为154KB。具体情况如图2。图2 后台静默12小时平均上传数据流量(单位:KB)
⁽¹⁾包括华为应用市场、小米应用商店、腾讯应用宝、OPPO软件商店、VIVO应用市场、360手机助手、百度手机助手、豌豆荚手机助手、历趣应用商店、乐商店、魅族应用商店、移动MM商店、太平洋下载、中关村在线、木蚂蚁安卓应用市场、多特软件站、华军软件园、西西软件园、绿色资源网。⁽²⁾启动App指用户点击图标启动App至首页加载完毕;刷新首页新闻指用户在首页刷新一次新闻列表;查看新闻内容指用户点击列表中的一条具体新闻,至该条新闻内容加载完毕;分享新闻链接指用户在新闻内容页面上进行一次分享操作,将新闻分享到其它平台;后台静默指用户启动App后,直接切换到后台保持静默状态。⁽⁴⁾共重复测试10次。