约两成App存在违规收集个人信息风险 影响超两亿用户

首页 / 业界 / 资讯 /  正文
作者:藏青
来源:安全419
发布于:2022-05-19
近日,奇安信病毒响应中心发布了2022年第一季度《App违规收集个人信息风险分析报告》(简称《报告》),对近30万个全国应用市场新增App活跃样本个人信息收集情况进行了详细的分析。

《报告》显示,在针对近30万个新增活跃App样本的抽样检测中,存在“无提示收集个人信息”风险和“高频次收集个人信息”风险的App,分别占到检测样本总量的21.3%和14.7%。总体来看,平均每5个App中,就会有一个存在个人信息收集方面的违规风险。在本季度检出的所有存在违规风险的App中,至少有1款下载量超过1亿次,4款下载量超过1000万次,19款下载量超过100万次,仅所有抽样检测存在违规风险的24款App就至少影响国内超过2亿用户。
 

 
《报告》发现,在所有存在“无提示收集个人信息”风险的App中,IMEI(国际移动设备识别码)、MAC(硬件地址)地址和IMSI(国际移动用户识别码)是App静默收集个人信息最主要的三个类型。其中,87.6%会无提示收集IMEI 信息,50.6%会无提示收集MAC地址,16.7%会无提示收集IMSI信息,而无提示收集其他个人信息的情况,仅占1.7%。
 
另一方面,在2022年第一季度检测的所有新增活跃App样本中,一百秒内收集用户个人信息超过2次(包含2次)的App占到了所有被检测App总量的14.7%,存在高频收集个人信息现象。而在所有存在高频次收集个人信息风险的App中,每一百秒收集个人信息次数大于等于2次,但低于5次的App约占44.0%;6~10次的占比28.7%,11~20次的占比18.8%,大于20次的占比8.5%。
 
值得注意的是,某款收集个人信息最为频繁App,竟然在一百秒内对IMEI信息收集了138次,平均每秒1.38次,相当于平均约每0.7秒就收集一次,可谓是对用户个人信息的“不间断”收集。

 
尽管大量App仍存在违规收集个人信息的现象,但未必都是由App自身来完成的,很多时候是因为App集成了第三方SDK,而第三方SDK存在个人信息收集行为。如果相关App在用户协议中,没有告知其集成的第三方SDK存在的个人信息收集情况,同样也会构成“无提示收集个人信息”的违规风险。如果第三方SDK存在“高频次收集个人信息”的情况,那么相关App也会存在同样的违规风险。
 
《报告》显示,在所有存在“无提示收集个人信息”和“高频次收集个人信息”风险的App中,对用户信息进行违规收集的,84.0%属于第三方SDK行为,仅有16.0%属于App自身行为。也就是说,对第三方SDK的不规范使用,以及第三方SDK自身的不规范行为,是导致当前部分App存在违规收集用户个人信息风险的主要原因。检测还发现,有两款知名的第三方SDK,分别覆盖了存在违规行为的App总量的29.0%和21.0%。

 
《报告》还发现,在某些存在违规收集用户个人信息风险的App中,集成了不止一款存在违规收集用户信息行为的第三方SDK。统计显示,在所有集成了违规收集个人信息SDK的App中,只集成了1款违规SDK的App占比为84.4%,集成了2款违规SDK的App占比为12.7%,另有2.9%的App集成3款及以上的违规SDK。