然而就目前的形势来看,数据安全和个人隐私问题依旧十分突出,其中各大App对于用户隐私的过度收集就是典型代表。近日,奇安信病毒响应中心发布了2022年第一季度《App违规收集个人信息风险分析报告》(简称《报告》),对近30万个全国应用市场新增App活跃样本个人信息收集情况进行了详细的分析。
《报告》显示,在针对近30万个新增活跃App样本的抽样检测中,存在“无提示收集个人信息”风险和“高频次收集个人信息”风险的App,分别占到检测样本总量的21.3%和14.7%。总体来看,平均每5个App中,就会有一个存在个人信息收集方面的违规风险。在本季度检出的所有存在违规风险的App中,至少有1款下载量超过1亿次,4款下载量超过1000万次,19款下载量超过100万次,仅所有抽样检测存在违规风险的24款App就至少影响国内超过2亿用户。
《报告》发现,在所有存在“无提示收集个人信息”风险的App中,IMEI(国际移动设备识别码)、MAC(硬件地址)地址和IMSI(国际移动用户识别码)是App静默收集个人信息最主要的三个类型。其中,87.6%会无提示收集IMEI 信息,50.6%会无提示收集MAC地址,16.7%会无提示收集IMSI信息,而无提示收集其他个人信息的情况,仅占1.7%。
另一方面,在2022年第一季度检测的所有新增活跃App样本中,一百秒内收集用户个人信息超过2次(包含2次)的App占到了所有被检测App总量的14.7%,存在高频收集个人信息现象。而在所有存在高频次收集个人信息风险的App中,每一百秒收集个人信息次数大于等于2次,但低于5次的App约占44.0%;6~10次的占比28.7%,11~20次的占比18.8%,大于20次的占比8.5%。
尽管大量App仍存在违规收集个人信息的现象,但未必都是由App自身来完成的,很多时候是因为App集成了第三方SDK,而第三方SDK存在个人信息收集行为。如果相关App在用户协议中,没有告知其集成的第三方SDK存在的个人信息收集情况,同样也会构成“无提示收集个人信息”的违规风险。如果第三方SDK存在“高频次收集个人信息”的情况,那么相关App也会存在同样的违规风险。
《报告》还发现,在某些存在违规收集用户个人信息风险的App中,集成了不止一款存在违规收集用户信息行为的第三方SDK。统计显示,在所有集成了违规收集个人信息SDK的App中,只集成了1款违规SDK的App占比为84.4%,集成了2款违规SDK的App占比为12.7%,另有2.9%的App集成3款及以上的违规SDK。
关于奇安信病毒响应中心
奇安信病毒响应中心是奇安信集团旗下的专业病毒鉴定及响应团队。中心以奇安信核心云平台为基础,拥有每日千万级样本检测及处置能力、每日亿级安全数据关联分析能力。结合多年反病毒核心安全技术、运营经验,基于集团自主研发的QOWL和QDE引擎,形成跨平台木马病毒查杀能力与漏洞修复能力,并且具有强大的大数据分析能力,可以实现全平台安全和防护预警能力。
奇安信病毒响应中心支撑奇安信全线安全产品的病毒检测,积极响应客户侧的安全反馈问题,可第一时间为客户排除疑难杂症。中心曾多次处置重大病毒传播事件,多次参与重大活动安全保障工作,受到客户的高度认可。
本次检测采用奇安信完全自主研发安卓动态引擎QADE(后文统称奇安信QADE引擎)。奇安信QADE引擎既支持对App进行传统恶意检测,同时也支持对App违规收集个人信息及索权等合规性问题的检测,是“综合一体化”动态引擎。