本文來自奇安信。
近日,奇安信病毒響應(yīng)中心發(fā)布了2022年第一季度《App違規(guī)收集個(gè)人信息風(fēng)險(xiǎn)分析報(bào)告》(簡(jiǎn)稱《報(bào)告》),對(duì)近30萬個(gè)全國(guó)應(yīng)用市場(chǎng)新增App活躍樣本個(gè)人信息收集情況進(jìn)行了詳細(xì)的分析。
《報(bào)告》顯示,在針對(duì)近30萬個(gè)新增活躍App樣本的抽樣檢測(cè)中,存在“無提示收集個(gè)人信息”風(fēng)險(xiǎn)和“高頻次收集個(gè)人信息”風(fēng)險(xiǎn)的App,分別占到檢測(cè)樣本總量的21.3%和14.7%。
總體來看,平均每5個(gè)App中,就會(huì)有一個(gè)存在個(gè)人信息收集方面的違規(guī)風(fēng)險(xiǎn)。在本季度檢出的所有存在違規(guī)風(fēng)險(xiǎn)的App中,至少有1款下載量超過1億次,4款下載量超過1000萬次,19款下載量超過100萬次,僅所有抽樣檢測(cè)存在違規(guī)風(fēng)險(xiǎn)的24款A(yù)pp就至少影響國(guó)內(nèi)超過2億用戶。
《報(bào)告》發(fā)現(xiàn),在所有存在“無提示收集個(gè)人信息”風(fēng)險(xiǎn)的App中,IMEI(國(guó)際移動(dòng)設(shè)備識(shí)別碼)、MAC(硬件地址)地址和IMSI(國(guó)際移動(dòng)用戶識(shí)別碼)是App靜默收集個(gè)人信息最主要的三個(gè)類型。其中,87.6%會(huì)無提示收集IMEI信息,50.6%會(huì)無提示收集MAC地址,16.7%會(huì)無提示收集IMSI信息,而無提示收集其他個(gè)人信息的情況,僅占1.7%。
另一方面,在2022年第一季度檢測(cè)的所有新增活躍App樣本中,一百秒內(nèi)收集用戶個(gè)人信息超過2次(包含2次)的App占到了所有被檢測(cè)App總量的14.7%,存在高頻收集個(gè)人信息現(xiàn)象。
而在所有存在高頻次收集個(gè)人信息風(fēng)險(xiǎn)的App中,每一百秒收集個(gè)人信息次數(shù)大于等于2次,但低于5次的App約占44.0%;6~10次的占比28.7%,11~20次的占比18.8%,大于20次的占比8.5%。
盡管大量App仍存在違規(guī)收集個(gè)人信息的現(xiàn)象,但未必都是由App自身來完成的,很多時(shí)候是因?yàn)锳pp集成了第三方SDK,而第三方SDK存在個(gè)人信息收集行為。如果相關(guān)App在用戶協(xié)議中,沒有告知其集成的第三方SDK存在的個(gè)人信息收集情況,同樣也會(huì)構(gòu)成“無提示收集個(gè)人信息”的違規(guī)風(fēng)險(xiǎn)。如果第三方SDK存在“高頻次收集個(gè)人信息”的情況,那么相關(guān)App也會(huì)存在同樣的違規(guī)風(fēng)險(xiǎn)。
《報(bào)告》顯示,在所有存在“無提示收集個(gè)人信息”和“高頻次收集個(gè)人信息”風(fēng)險(xiǎn)的App中,對(duì)用戶信息進(jìn)行違規(guī)收集的,84.0%屬于第三方SDK行為,僅有16.0%屬于App自身行為。
《報(bào)告》還發(fā)現(xiàn),在某些存在違規(guī)收集用戶個(gè)人信息風(fēng)險(xiǎn)的App中,集成了不止一款存在違規(guī)收集用戶信息行為的第三方SDK。統(tǒng)計(jì)顯示,在所有集成了違規(guī)收集個(gè)人信息SDK的App中,只集成了1款違規(guī)SDK的App占比為84.4%,集成了2款違規(guī)SDK的App占比為12.7%,另有2.9%的App集成3款及以上的違規(guī)SDK。