企业动态

    近日，奇安信病毒响应中心发布《2023年上半年APP侵害用户权益检测报告》（简称《报告》）。这一时段内，该中心共收录全国应用市场新收录新更新APP近40万个。《报告》将相关的国家法律法规作为检测标准依据，使用奇安信完全自主研发安卓动态引擎QADE，对2023年上半年应用市场新收录新更新的头部主流APP抽样检测，评估当下APP侵害用户权益的问题。

    《报告》显示，此次检测到侵犯用户权益的APP中（存在违规收集个人信息或者违规索取权限），有6款APP下载量在亿次以上，有76款APP下载量在千万次以上，297款APP下载量在百万次以上。可见APP侵害用户权益问题的影响面非常广，至少影响到上亿用户。

    违规收集个人信息广泛存在：六成以上APP收集频次较高

    《报告》显示，违规收集个人信息问题的APP中，生活休闲和网上购物类型的APP违规占比最高，分别占比29.1%和14.6%。

    在本次检测抽检的头部主流APP中，有5.9%的APP存在无提示收集个人信息问题，类型排名前四的依次为：Android ID、IMEI、MAC地址以及Serial Number。

    《报告》将一百秒内，单个APP收集个人信息次数大于等于2次的行为定义为存在“高频次收集个人信息”。目前，这一问题较为严重，违规收集个人信息的APP中有65.7%的APP在高频次收集个人信息。大部分APP高频次收集次数主要集中在2~5次，占比62.6%，其次是6~10次占比21.5%和11~20次占比9.7%，超过20次的占比也达到了6.2%。其中最高一款APP在短短一百秒对个人信息IMEI收集了440次。

    存在违规收集个人信息问题的APP中，有72.7%的APP包含了第三方SDK收集情况。这意味着当前多数APP自身不存在违规收集个人信息行为，主要还是集成了第三方SDK后而造成的APP出现违规收集个人信息问题。其中，大部分APP都是由于集成了一款违规SDK而导致违规，这部分占比70.1%，少部分APP集成至少两款违规收集个人信息的第三方SDK，占比29.9%。

    强制、频繁、过度索取权限：电商类、生活类APP问题凸显

    《报告》显示，存在索取权限问题的APP，主要来自豌豆荚应用市场和APK8安卓网应用市场。其中生活休闲类型的应用占最多数，其次是网上购物类型。

    对表图中的结果可知，对电商类APP和部分生活类APP来说，收集的信息越多，用户画像就越精准，能开展的经营活动就更多，获利更丰厚。

    存在索取权限问题的APP中，频繁索取权限问题最为严重，过度索取权限问题次之。对生活休闲类型的APP索取权限检测结果显示，大部分APP存在频繁索取权限的情况。对网上购物类型的APP索取权限检测结果显示，大部分APP存在频繁索取权限或过度索取权限的情况。

    三种类型分别来看，存在频繁索取权限问题的APP中，生活休闲类型的APP占比最多，网上购物类型次之；存在过度索取权限问题的APP中，生活休闲类型的APP占比最多，网上购物类型次之；存在强制索取权限问题的APP中，生活休闲类型的APP占比最多，网上购物类型次之。

    通过对检出数量最多的生活休闲类型APP和网上购物类型APP中频繁索取权限、强制索取权限的情况分析，能看到出现频次最高五个权限是:WRITE_EXTERNAL_STORAGE、READ_PHONE_STATE、ACCESS_FINE_LOCATION、ACCESS_COARSE_LOCATION、READ_EXTERNAL_STORAGE。

    观察出现索取权限问题的样本时，发现普遍存在一个样本同时检出频繁索取权限和过度取权限的情况，共同检出情况分别占频繁索取权限检出的80.3%、占过度索取权限检出的85.4%，所以可以得到结论：多数过度索取权限行为往往伴随着频繁索取权限行为。

    问题解决：需第三方SDK厂商和APP开发者共同努力

    此次检测中，有8.3%的APP存在侵犯用户权益的问题（存在违规索取权限或者违规收集个人信息），同时在侵犯用户权益的APP中，存在16.7%同时存在违规索取权限问题和违规收集个人信息问题。

    综合以上数据可以得出，在国家相关的法律法规下，此次侵害用户权益APP的检出率较低，但从侵害用户权益APP的下载量来看，影响面仍较广，至少影响到上亿用户，该问题仍需要继续保持治理。并且，此次检测中发现，虽有一部分APP是自身产生违规收集个人信息情况，但更多的是由于集成了第三方SDK所致。

    对此，奇安信病毒响应中心给出建议，第三方SDK厂商在整改后，在如何更好的引导APP开发者按新版按要求更快速更便捷的进行升级解决做的更好，在做好自己的这个点的同时，也能和APP开发者这个上游点联动形成一条安全线。APP开发者也要有相应的个人信息安全意识，按照国家法律法规，不违规收集个人信息。