本文來自微信公眾號“國家互聯(lián)網(wǎng)應(yīng)急中心CNCERT”,審核:李佳民、趙娟,編輯:趙雅琪。
近期,中國網(wǎng)絡(luò)空間安全協(xié)會、國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心對“瀏覽器類”公眾大量使用的部分App收集個人信息情況進(jìn)行了測試。測試情況及結(jié)果如下:
一、測試對象
本次測試選取了19家應(yīng)用商店?¹?累計下載量達(dá)到1億次的“瀏覽器類”App,共計9款,其基本情況如表1。
表1 9款A(yù)pp基本情況
二、測試方法
(一)測試環(huán)境
本次測試選取相同品牌、型號的手機(jī)終端,安裝相同版本安卓操作系統(tǒng),分別部署9款A(yù)pp,在相同網(wǎng)絡(luò)環(huán)境下進(jìn)行同步操作。
(二)測試場景
以完成一次互聯(lián)網(wǎng)信息瀏覽活動作為測試單元,包括啟動App、搜索信息、訪問信息3種用戶使用場景,以及后臺靜默應(yīng)用場景?²?。
(三)測試內(nèi)容
本次測試包括系統(tǒng)權(quán)限調(diào)用、個人信息上傳、網(wǎng)絡(luò)上傳流量3項內(nèi)容。
三、測試結(jié)果
(一)系統(tǒng)權(quán)限調(diào)用情況
測試發(fā)現(xiàn),9款A(yù)pp在4種場景下調(diào)用了位置、設(shè)備信息、剪切板、應(yīng)用列表、相冊5類系統(tǒng)權(quán)限,未發(fā)現(xiàn)調(diào)用麥克風(fēng)、通訊錄等其他權(quán)限。
(1)在啟動App場景中,調(diào)用系統(tǒng)權(quán)限種類最多的為悟空瀏覽器(5類),調(diào)用系統(tǒng)權(quán)限次數(shù)最多的為UC瀏覽器(88次)。具體情況如表2。
表2啟動App場景調(diào)用系統(tǒng)權(quán)限情況
(2)在搜索信息場景中,調(diào)用系統(tǒng)權(quán)限種類最多的為小米瀏覽器和搜狗瀏覽器極速版(均為3類),調(diào)用系統(tǒng)權(quán)限次數(shù)最多的為小米瀏覽器(12次)。具體情況如表3。
表3搜索信息場景調(diào)用系統(tǒng)權(quán)限情況
(3)在訪問信息場景中,通過瀏覽器打開網(wǎng)站時,調(diào)用系統(tǒng)權(quán)限種類和次數(shù)最多的均為悟空瀏覽器(2類、5次);通過瀏覽器下載文件時,調(diào)用系統(tǒng)權(quán)限次數(shù)最多的為UC瀏覽器和悟空瀏覽器(均為2次)。具體情況如表4。
表4訪問信息場景調(diào)用系統(tǒng)權(quán)限情況
(4)在后臺靜默場景中,調(diào)用系統(tǒng)權(quán)限種類最多的為UC瀏覽器、夸克、360瀏覽器、悟空瀏覽器(均為2類),調(diào)用系統(tǒng)權(quán)限次數(shù)最多的為360瀏覽器(16次)。具體情況如表5。
表5后臺靜默場景調(diào)用系統(tǒng)權(quán)限情況
(二)個人信息上傳情況
測試發(fā)現(xiàn),9款A(yù)pp上傳了4種類型個人信息?³?:①位置信息,包括經(jīng)緯度、街道地址、當(dāng)前連接Wi-Fi MAC地址、當(dāng)前連接基站信息、周邊可用Wi-Fi MAC地址;②唯一設(shè)備識別碼,包括IMEI(國際移動設(shè)備識別碼)、Android ID(安卓ID)、OAID(開放匿名設(shè)備標(biāo)識符)、手機(jī)MAC地址;③應(yīng)用列表信息,包括手機(jī)上已安裝、新安裝、新卸載的應(yīng)用信息;④用戶在App內(nèi)的截圖操作信息。
(1)在啟動App場景中,個人信息上傳種類最多的為UC瀏覽器(4類)。具體情況如表6。
表6啟動App場景個人信息上傳情況
(2)在搜索信息場景中,個人信息上傳種類最多的為悟空瀏覽器(2類)。具體情況如表7。
表7搜索信息場景個人信息上傳情況
(3)在訪問信息場景中,通過瀏覽器打開網(wǎng)站時,個人信息上傳種類最多的為小米瀏覽器和悟空瀏覽器(均為2類);通過瀏覽器下載文件時,個人信息上傳種類最多的為UC瀏覽器和360瀏覽器(均為2類)。具體情況如表8。
表8訪問信息場景個人信息上傳情況
(4)在后臺靜默場景中,個人信息上傳種類最多的為UC瀏覽器(3類)。具體情況如表9。
表9后臺靜默場景個人信息上傳情況
(三)網(wǎng)絡(luò)上傳流量情況
(1)9款A(yù)pp在用戶完成一次網(wǎng)站瀏覽活動(啟動App、搜索信息、打開網(wǎng)站)時,上傳數(shù)據(jù)流量平均???最多的為悟空瀏覽器,約為1608KB;平均最少的為小米瀏覽器,約為472KB。具體情況如圖1。
圖1完成一次網(wǎng)站瀏覽活動的平均上傳數(shù)據(jù)流量(單位:KB)
(2)9款A(yù)pp在用戶完成一次文件下載活動(啟動App、搜索信息、下載文件)時,上傳數(shù)據(jù)流量平均???最多的為QQ瀏覽器,約為1994KB;平均最少的為小米瀏覽器,約為152KB。具體情況如圖2。
圖2完成一次文件下載活動的平均上傳數(shù)據(jù)流量(單位:KB)
(3)9款A(yù)pp后臺靜默12小時,上傳數(shù)據(jù)流量平均???最多的為UC瀏覽器,約為2506KB;平均最少的為華為瀏覽器,約為87KB。具體情況如圖3。
圖3后臺靜默12小時平均上傳數(shù)據(jù)流量(單位:KB)
注釋:
?¹?包括華為應(yīng)用市場、小米應(yīng)用商店、騰訊應(yīng)用寶、OPPO軟件商店、VIVO應(yīng)用市場、360手機(jī)助手、百度手機(jī)助手、豌豆莢手機(jī)助手、歷趣應(yīng)用商店、樂商店、魅族應(yīng)用商店、移動MM商店、太平洋下載、中關(guān)村在線、木螞蟻安卓應(yīng)用市場、多特軟件站、華軍軟件園、西西軟件園、綠色資源網(wǎng)。
?²?啟動App指用戶點擊瀏覽器圖標(biāo)啟動App至首頁加載完畢;搜索信息指用戶搜索一個網(wǎng)站或文件,至搜索結(jié)果加載完畢;訪問信息指用戶點擊一條搜索結(jié)果進(jìn)行瀏覽(當(dāng)搜索結(jié)果為一個網(wǎng)頁時)或下載(當(dāng)搜索結(jié)果為一個文件時);后臺靜默指用戶啟動瀏覽器后,直接切換到后臺保持靜默狀態(tài)。
?³?不包含用戶訪問互聯(lián)網(wǎng)產(chǎn)生的交互信息。例如,用戶瀏覽銀行網(wǎng)站時,可能向網(wǎng)站傳輸身份證號、銀行卡號、取款密碼等信息,在此過程中瀏覽器僅按照網(wǎng)絡(luò)協(xié)議向網(wǎng)站轉(zhuǎn)發(fā)數(shù)據(jù),本身不收集上述信息。
???共重復(fù)測試10次。
???共重復(fù)測試10次。
???共重復(fù)測試6次。
文章轉(zhuǎn)載鏈接:https://mp.weixin.qq.com/s/nkdOrS8YgGi9C8L9g8riXQ