腾讯白皮书:98%安卓应用存在安全问题 七成无隐私政策

隐私护卫队
原创2019-06-13 09:49

6月12日,在2019腾讯安全国际技术峰会上,腾讯安全科恩实验室发布《2018年Android应用安全白皮书》(简称“白皮书”)。白皮书指出,在检测的1404个样本App中,仅23个未检测出安全风险,剩下 1381 个 App 中共发现 37920 个安全问题,占比高达98%。

98%App存在安全问题

有数据显示,截至 2018 年 12 月,我国手机网民规模达 8.17 亿。在智能手机中,基于Android系统的占比超过80%,苹果iOS系统占比19.7%。

值得关注的是,安卓应用安全亟待加强。截至 2018 年第三季度末,G DATA(一家专注于信息安全研究的专业杀毒软件公司)统计数据显示,在安卓系统发现超过 320 万个新的恶意样本,平均每天发现超过11000个新的恶意软件样本。 

白皮书显示,此次安卓移动应用检测中,腾讯科恩实验室从影音播放、通讯社交、新闻阅读等14种类型的App中,选取了2018年下载量前100左右的共计1404个App进行分析。

结果显示,存在安全问题的App有1381 个,占比高达98%, 共发现 37920 个安全问题;仅23个未检测出安全风险。

t1.png

92%App过度收集核心隐私权限

近年来,移动应用违规收集用户信息、因安全问题泄露用户数据的问题被屡屡曝光,引起不少群众的担忧。同时,国家也从法律法规的角度不断推进用户信息保护。

《网络安全法》中明确规定要加强个人信息保护;2019 年 1 月,中央网信办、工信部、公安部、市场监管总局四部委联合发布《关于开展 App 违法违规收集使用个人信息专项治理的公告》,持续加大保护力度,专项治理 App 违法违规收集使用个人信息的行为,探索长效监管机制。 

白皮书指出,本次检测中,在 1404 个 App 中共发现 1292 个 App 存在过度收集核心隐私权限的问题。其中,294 款 App 隐私条款内容不达标,998款没有隐私政策。

屏幕快照 2019-06-12 下午10.43.45.png

被过度收集或使用的隐私数据主要包括位置信息、通讯录信息、手机号码等。其中,共计 165 款 App 涉嫌过度收集位置信息。涉嫌过度收集或使用短信、手机号码、身份信息的分别有 113 款、104 款、17 款 App。

比如,某电商 App 在运行过程中收集了位置信息、通讯录信息、身份信息、银行卡号、手机号码、短信等隐私数据,但在隐私政策中并未明确告知应用会收集上述信息,亦没有告知使用这些信息的用途。

隐私条款内容不达标,意味着App在收集用户信息时,未告知收集信息的类型,且收集敏感信息时未明确告知用途。

近半App调用的SDK有漏洞

随着移动应用功能复杂化与交互多样化,App涉及的个人信息可能包括身份信息、健康状况等信息。白皮书指出,App在将这些敏感数据保存在本地时,面临泄露的风险。

比如,当数据存储在外部存储卡等不安全区域时,会引起关键数据泄露。例如,某款音箱应用将网络交互明文记录在日志文件中,并存在外部存储卡中,其中包含的关键数据泄露可致使音箱被远程控制。

白皮书还称,大量App开发商为了增强应用功能、缩短开发周期,会调用第三方库(SDK)。但部分SDK在开发过程中并不注重代码的安全性。

本次检测共分析了市面上数十款主流 SDK。在 1404 款样本 App 中,共有 1038 个 App调用了 2166 次 SDK,其中646 个 App 调用的1047个SDK存在漏洞,占到总数的近一半。 


文/南都个人信息保护研究中心研究员 尤一炜

编辑:尤一炜

1
本作品著作权归南方都市报社所有,如需使用需经书面授权。授权联系方式:
banquan@nandu.cc,020-87006626。
好嘢听新闻报料去APP