软餐(ruancan.com)获悉,广东省通信管理局近日通过对 5000 余款移动客户端产品的检测发现,有多款移动应用涉及数据安全隐患、未经许可收集用户信息、账号注销困难等问题。存在问题的 App 名单已被公布。
广东省通信管理局践行 “以人民为中心” 的发展思想,按照工业和信息化部关于 App 数据安全和侵害用户权益专项整治的工作部署和要求,加强对属地 App 的监督检查,建设 App 监管平台,并委托第三方专业机构进行检测,累计检测 5 千余款 App,共发现疑似存在问题 App 237 款,经核验确定问题 App 88 款,对其中 “红娘婚恋” 等 85 款 App 运营者发出《违法违规 App 处置通知》责令限期改正并通知各应用商店督促整改,对问题突出的 “捷停车”“驾考家园”“凯立德导航”3 款 App 运营企业做出警告并罚款的行政处罚决定。
被查处的 App 存在两方面问题,
一是 App 及其后台服务器存在 “明文存储密码”“反编译”“SQL 注入” 等数据安全隐患问题;二是违反用户个人信息保护规定,包括 “未公开明示收集规则”“默认勾选同意隐私协议”“未列明所集成 SDK 及其采集信息”“为注销账号、删除个人信息设置障碍”“未经用户同意共享给第三方” 等侵犯用户对其个人信息处理享有的知情权、决定权,以及违反最小必要原则超前、超需、超频索取权限或采集信息,甚至不给必需权限不让用等强迫行为。
被予以行政处罚的 “捷停车”App 存在侵害用户权益的问题较为典型,其中最为突出的问题是:为用户注销账号设置过多不合理的障碍。App 在用户注册账号时仅凭手机号码及验证码即完成注册,但注销账号时却要求用户提供手机号码的真实姓名、身份证正反面照片,甚至要求用户提供电信运营商出具的手机号码权属证明方可受理。此外,该 App 还存在未使用相关功能就索取用户相机权限,且相机权限及 App 集成的地图、支付、推送、统计、分享等多个 SDK 均未在隐私政策中逐一列明。对此,广东省通信管理局约谈了捷停车 App 运营公司的负责人,对该公司做出给予警告并罚款两万元的行政处罚,同时报请工业和信息化部纳入电信业务经营不良名单。
下一步,广东省通信管理局坚持 “技管结合”,不断加大对 App 的监督检查力度,并强化对已责令整改或行政处罚的 App 进行跟踪复测,对问题突出、整改不彻底的 App 及运营企业,坚决采取下架、停接入、停域名、行政处罚以及纳入电信业务经营不良名单或失信名单并公开曝光等措施进行严厉处置,切实维护 App 网络数据和个人信息安全。
附件
存在问题的 App 名单(88 款)
| 序号 | App名称 | 版本号 | 企业名称 | 侵害用户权益问题 | 安全隐患问题 |
| 1 | 驾考家园 | 6. 1 | 广州先睿数码科技有限公司 | 1. “未公开收集使用规则”:App 首次运行未经用户阅读隐私政策,就申请获取存储、电话、麦克风、相机和位置五项权限; 2. “未明示收集使用个人信息的目的、方式和范围”:隐私政策中没有说明获取相机和麦克风权限的目的、方式、范围;应用内集成多个第三方 SDK,且未在隐私政策中声明; 3. “未经用户同意收集使用个人信息”:征得用户同意前就开始收集个人信息(Android ID、MAC 地址等);以默认方式同意隐私政策。 | |
| 2 | 捷停车 | 4. 2.0 | 深圳市顺易通信息科技有限公司 | 1. “违反必要原则收集个人信息”:在用户未使用相关功能或服务时,提前申请开启相机权限; 2. “未明示收集使用个人信息的目的、方式和范围”:隐私政策中没有列出获取存储、相机和拨打电话权限的目的、方式、范围,应用内集成多个第三方 SDK,且未在隐私政策中声明; 3. “账号注销难”:为注销用户账号设置不必要或不合理条件。 | |
| 3 | 凯立德导航 | 8. 4.2 | 深圳市凯立德欣软件技术有限公司 | 1. 未明示收集使用个人信息的目的、方式和范围:App 申请使用相机、麦克风和通信录三项权限,超出隐私政策用户授权范围; 2. 应用内集成多个可收集用户个人信息的第三方 SDK,且未在隐私政策中声明。 | |
| 4 | 千聊 | V4.2.7 | 广州思坞信息科技有限公司 | 1. 以默认方式同意隐私政策; 2. 违反必要原则:App 在用户未使用相关功能或服务时,提前申请开启相机、麦克风权限; 3. 投诉、举报承诺处理时限过长:个人信息安全投诉、举报渠道的承诺处理时限(三十天)超过 15 个工作日。 | |
| 5 | KingRoot | 5. 4.0 | 广州云讯信息科技有限公司 | 1. 未公开收集使用规则:App 中未发现隐私政策; 2. 未经用户同意收集使用个人信息:未经用户阅读隐私政策并征的同意前,应用就申请获取拍照、存储和读取电话状态权限; 3. 超范围收集个人信息:应用申请使用拍照权限,超出隐私政策用户授权范围; 4. 应用内集成多个可收集个人信息的第三方 SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 | |
| 6 | 向日葵保险 | 4. 50.0 | 广州向日葵信息科技有限公司 | 1. 应用内集成多个可收集个人信息的第三方 SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; 2. 频繁索取存储权限:用户明确表示不同意后,仍频繁征求用户同意、干扰用户正常使用; | 1. Java 代码反编译风险 2. Webview 明文存储密码风险 3. Webview File 同源策略绕过漏洞 |
| 7 | 花生日记 | 4. 7.8 | 广州花生日记网络科技有限公司 | 1. 未经用户同意收集使用个人信息:首次开启 App,未同意隐私政策前行为监控发现获取 GET_TASK 检索了应用程序、Android ID、MAC 地址、IMEI、IMSI; 2. 违反必要原则:更换头像时只同意存储权限不同意相机权限无法正常使用; 3. 隐私政策中未逐一列出第三方 SDK 收集个人信息的目的、方式、范围。 | 1. Activity 组件导出风险 2. Service 组件导出风险 |
| 8 | 夸克 | 4. 2.5.140 | 优视科技(中国)有限公司 | 1. 应用内集成多个可收集个人信息的第三方 SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 | 1. Java 代码反编译风险 2. Janus 签名机制漏洞 3. Webview 明文存储密码风险 |
| 9 | NOW 直播 | 1. 54.5.14 | 深圳市腾讯计算机系统有限公司 | 1. 超范围收集个人信息:应用申请使用拍照权限,超出隐私政策用户授权范围; 2. 应用内集成多个可收集个人信息的第三方 SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 | |
| 10 | 全民电视直播 | 4. 8.3 | 珠海星动技术咨询有限公司 | 1. 未经用户同意收集使用个人信息:首次开启 App,未同意隐私政策前行为监控发现获取 GET_TASK 检索了应用程序、Android ID、MAC 地址 、IMEI、IMSI; 2. 应用内集成多个可收集个人信息的第三方 SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; 3. 违反必要原则:“用户反馈” 图片时只同意存储权限不同意相机权限,拒绝提供业务功能。 | 1. FFmpeg 文件读取漏洞 2. WebSQL 注入漏洞 3. InnerHTML 的 XSS 攻击漏洞 |
| 11 | 唯品会 | 7. 28.3 | 广州唯品会电子商务有限公司 | 1. 应用内集成多个可收集个人信息的第三方 SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 | 1. Webview 明文存储密码风险 2. Webview File 同源策略绕过漏洞 |
| 12 | 迅雷 | 7. 05.0.7076 | 深圳市迅雷网文化有限公司 | 1. App 未明确告知收集使用读取联系人权限的目的、方式、范围; 2. 隐私政策中未逐一列出第三方 SDK 收集个人信息的目的、方式、范围。 | |
| 13 | 金十数据 | 4. 7.1 | 广州金十信息科技有限公司 | 1. 应用内集成多个可收集个人信息的第三方 SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; 2. 不给权限不让用:用户拒绝授予获取电话状态和访问外部存储权限后,无法使用应用。 | 1. InnerHTML 的 XSS 攻击漏洞 |
| 14 | 布卡漫画 | 2. 4.1.7 | 珠海布卡科技有限公司 | 1. 不给权限不让用:用户拒绝授予访问外部存储权限后,无法使用应用. | 1. Webview 明文存储密码风险 2. Webview File 同源策略绕过漏洞 3. 密钥硬编码漏洞 |
| 15 | 爱拍 | 5. 3.4.912 | 广州爱拍网络科技有限公司 | 1. 未公开收集使用规则:App 首次运行未经用户阅读隐私政策,就申请获取存储和电话权限; 2. 应用内集成多个可收集个人信息的第三方 SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; 3. 不给权限不让用:用户不同意开启非 App 运行最小必要的电话权限,App 无法使用。 | 1. Webview 明文存储密码风险 2. Webview File 同源策略绕过漏洞 |
| 16 | MAKA | 5. 21.6 | 深圳格莱珉文化传播有限公司 | 1. 应用内集成多个可收集个人信息的第三方 SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; 2. App 首次运行未经用户阅读隐私政策,就申请获取存储和电话权限。 | |
| 17 | 时代财经 | 3. 4.4 | 广东时代传媒有限公司 | 1. 应用内集成多个可收集个人信息的第三方 SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; 2. 超范围收集个人信息:应用申请使用相机权限,超出隐私政策用户授权范围。 | 1. InnerHTML 的 XSS 攻击漏洞 |
| 18 | 微商相册 | v2.7.12.05221404 | 深圳市微购科技有限公司 | 1. 私自共享给第三方:应用内集成多个第三方 SDK, 且未在隐私政策逐一说明会向第三方共享信息; 2. 不给权限不让用:用户拒绝授予访问外部存储权限后,无法使用应用。 | 1. 应用数据任意备份风险 2. 剪切板敏感信息泄露漏洞 |
| 19 | 迷人直播 | V8.2.1 | 深圳恩斯洛格科技有限公司 | 1. 应用内集成多个可收集个人信息的第三方 SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; 2. 违规向他人提供个人信息:未经用户同意,App 向接入的第三方 mPush 魔推 SDK 提供用户 android id、IMEI、Mac 地址等个人信息; 3. 违反必要原则:App 在用户未使用相关功能或服务时,提前申请开启位置、电话权限; 4. 不给权限不让用:用户不同意开启非 App 运行最小必要的位置、电话权限,App 无法使用; 5. 未按法律规定提供删除或更正个人信息功能:更正、删除个人信息、注销用户账号的承诺时限(30 天)超过 15 个工作日,个人信息安全投诉、举报渠道的承诺处理时限亦超过 15 个工作日。 | |
| 20 | 西瓜影音播放器 | 1. 0.4 | 深圳乡里云网络科技有限公司 | 1. 应用内集成多个可收集个人信息的第三方 SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; 2. 未公开收集使用规则:App 首次运行未经用户阅读隐私政策,就申请获取存储和电话权限。 | 1. Webview 明文存储密码风险 2. Webview File 同源策略绕过漏洞 |
| 21 | 小 7 手游 | 4. 999X.99PERMISSION.1986 | 深圳尚米网络技术有限公司 | 1. 超范围收集个人信息:应用申请使用麦克风权限,超出隐私政策用户授权范围; 2. 应用内集成多个可收集个人信息的第三方 SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; 3. 不给权限不让用:用户不同意开启非 App 运行最小必要的电话权限,App 无法使用。 | |
| 22 | 丝瓜视频 | 4. 5.11 | 深圳美明赞文化传播有限公司 | 1. 未逐一列出第三方 SDK 收集使用个人信息的目的、方式、范围等; 2. 个人信息安全投诉、举报渠道的承诺处理时限(30 天)超过 15 个工作日。 | 1. Java 代码反编译风险 2. Webview 明文存储密码风险 3. Webview File 同源策略绕过漏洞 |
| 23 | 快猫 | 5. 4.3 | 深圳市禾火网络科技有限公司 | 1. 未按法律规定提供删除或更正个人信息功能; 2. 应用内集成多个可收集个人信息的第三方 SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 | 1. Webview 明文存储密码风险 2. Webview File 同源策略绕过漏洞 3. 密钥硬编码漏洞 |
| 24 | 我的安吉拉 | 4. 6.2.1037 | 广州金科文化科技有限公司 | 1. App 未明确告知收集使用拍照权限的目的、方式、范围; 2. 应用内集成多个可收集个人信息的第三方 SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 | 1. 存在应用备份风险 2. 存在 Java 代码反编译风险 |
| 25 | 汤姆猫跑酷 | 4. 4.1.491 | 广州金科文化科技有限公司 | 1. App 未明确告知收集使用拍照权限的目的、方式、范围; 2. 应用内集成多个可收集个人信息的第三方 SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 | 1. 存在应用备份风险 2. 存在 Java 代码反编译风险 |
| 26 | 老黄历通胜-日历万年历择日 | 5. 9.0 | 广东灵机文化传播有限公司 | 1. App 未明确告知收集使用拍照、麦克风和电话权限的目的、方式、范围; 2. 应用内集成多个可收集个人信息的第三方 SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; | 1. 存在 Java 代码反编译风险 |
| 27 | 企鹅电竞 | 6. 2.0.516 | 深圳市腾讯计算机系统有限公司 | 1. 应用内集成多个可收集个人信息的第三方 SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; 2. 超范围收集个人信息:应用申请使用相机权限,超出隐私政策用户授权范围。 | Webview 明文存储密码风险 |
| 28 | 九游 | 7. 2.3.2 | 广州爱九游信息技术有限公司 | 1. App 未明确告知收集使用读取日程提醒权限的目的、方式、范围; 2. 应用内集成多个可收集个人信息的第三方 SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 | |
| 29 | 帮购 | 3. 2.2.r | 深圳市帮购科技有限公司 | 1. 未公开收集使用规则:App 中未发现隐私政策; 2. 不给权限不让用:用户拒绝授予读取电话状态、拍照、获取位置信息、访问外部存储和读取短信内容权限后,无法使用应用。 | 1. 存在 Java 代码反编译风险 |
| 30 | 时空猎人 | 5. 1.1120 | 广州银汉科技有限公司 | 1. 未公开收集使用规则:App 首次运行未经用户阅读隐私政策,就申请获取读取电话状态权限; 2. App 未明确告知收集使用读取短信内容权限的目的、方式、范围; 3. 应用内集成多个可收集个人信息的第三方 SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 | 1. 存在应用备份风险 2. 存在 Java 代码反编译风险 |
| 31 | 洪铟八字算命 | 12. 7.8 | 广州洪铟信息科技有限公司 | 1. 私自共享给第三方:应用内集成第三方 SDK,且未在隐私政策逐一说明会向第三方共享信息; 2. App 以默认方式同意隐私政策。 | 1. 存在应用备份风险 |
| 32 | 唯彩看球 | 5. 7.4 | 广州唯彩会网络科技有限公司 | 1. App 未明确告知收集使用拍照权限的目的、方式、范围; 2. 应用内集成多个可收集个人信息的第三方 SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 | 1. 存在应用备份风险 2. 存在 Java 代码反编译风险 |
| 33 | 神庙逃亡 2 | 5. 5.0 | 深圳市创梦天地科技有限公司 | 1. 未经用户同意收集使用个人信息:首次开启 App,未同意隐私政策前行为监控发现获取 GET_TASK 检索了应用程序、Android ID、MAC 地址、ip 地址; 2. 电话权限超频获取; 3. 应用内集成多个可收集个人信息的第三方 SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; 4. 未按法律规定提供删除或更正个人信息功能。 | |
| 34 | 地铁跑酷 | 3. 10.0 | 深圳市梦域科技有限公司 | 1. App 首次运行未经用户阅读隐私政策,就申请获取电话、相机、位置、存储、麦克风和拨打电话权限; 2. 未经用户同意收集使用个人信息:首次开启 App,未同意隐私政策前行为监控发现获取 GET_TASK 检索了应用程序、Android ID、MAC 地址、ip 地址 3. 电话权限超频获取 4. 应用内集成多个可收集个人信息的第三方 SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; 5. 未按法律规定提供删除或更正个人信息功能。 | |
| 35 | 浏览器 | 8. 3.11.0 | 深圳市艾酷通信软件有限公司 | 1. App 未明确告知收集使用相机、麦克风权限的目的、方式、范围; 2. 应用内集成多个可收集个人信息的第三方 SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 | 1. 存在 Java 代码反编译风险 |
| 36 | 万联证券股票开户 | 3. 3.8 | 万联证券股份有限公司 | 1. App 首次运行未经用户阅读隐私政策,应用就申请获取相机、录音、存储和位置信息权限; 2. 应用内集成多个可收集个人信息的第三方 SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 | 1. 存在 Java 代码反编译风险 |
| 37 | 富途牛牛 | 10. 17.1252 | 深圳市富途网络科技有限公司 | 1 应用内集成多个可收集个人信息的第三方 SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; 2. 未经用户阅读隐私政策,应用就申请获取存储权限; 3. 个人信息安全投诉、举报渠道的承诺处理时限(30 天)超过 15 个工作日 | |
| 38 | 立刷 | 3. 1.3 | 嘉联支付有限公司 | 1. App 未明确告知收集使用麦克风权限的目的、方式、范围; 2. 应用内集成多个可收集个人信息的第三方 SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 | 1. 存在应用备份风险 2. 存在 Java 代码反编译风险 |
| 39 | 立刷商户版 | 2. 4.3 | 嘉联支付有限公司 | 1. App 未明确告知收集使用麦克风权限的目的、方式、范围; 2. 应用内集成多个可收集个人信息的第三方 SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 | 1. 存在 Java 代码反编译风险 |
| 40 | 中邮钱包 | 2. 8.6 | 中邮消费金融有限公司 | 1. App 未明确告知收集使用麦克风权限的目的、方式、范围 | |
| 41 | 顺丰金融 | V4.3.2 | 深圳市顺恒融丰投资有限公司 | 1. App 未明确告知收集使用短信和日历权限的目的、方式、范围; 2. 应用内集成多个可收集个人信息的第三方 SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; 3. 未经用户阅读隐私政策,应用就申请获取位置信息、相机、存储、麦克风和电话状态信息权限。 | 1. 存在 Java 代码反编译风险 |
| 42 | 乐刷商务版 | 6. 0.0 | 深圳市移卡科技有限公司 | 1. 未经用户阅读隐私政策,应用就申请获取读取位置、存储和电话三项权限; 2. 应用内集成多个可收集个人信息的第三方 SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 | |
| 43 | 心语语音聊天交友 | 1. 4.0 | 惠州市屹立信息技术有限公司 | 1. 未经用户同意收集使用个人信息:首次开启 App,未同意隐私政策前行为监控发现获取 GET_TASK 检索了应用程序、Android ID、IP 地址、MAC 地址、IMEI、IMSI; 2. 应用内集成多个可收集个人信息的第三方 SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 | |
| 44 | 钱盒商户通 | 5. 0.4 | 深圳盒子信息科技有限公司 | 1. App 未明确告知收集使用相机权限的目的、方式、范围; 2. 应用内集成多个可收集个人信息的第三方 SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; 3. 账号注销难:为注销用户账号设置不必要或不合理条件。 | |
| 45 | 房贷计算器 | 1. 3.6 | 深圳市中龙信息科技有限公司 | 1. 未经用户阅读隐私政策,应用就申请获取电话状态信息权限; 2. 应用内集成多个可收集个人信息的第三方 SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; 3. 更正、删除个人信息难:更正、删除个人信息的人工处理承诺时限(三十天)超过 15 个工作日; 4. 投诉、举报承诺处理时限过长:个人信息安全投诉、举报渠道的承诺处理时限(三十天)超过 15 个工作日。 | |
| 46 | 飞贷 | 6. 5.9 | 深圳中兴飞贷金融科技有限公司 | 应用内集成多个可收集个人信息的第三方 SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 | |
| 47 | 我要自学网 | 1. 7.5 | 佛山市丰智胜教育咨询服务有限公司 | 1. 未经用户同意收集使用个人信息:首次开启 App,未同意隐私政策前行为监控发现获取 Android ID、MAC 地址、IMEI、IMSI; 2. 存在嵌入第三方代码、插件等方式通过 App 客户端直接收集个人信息的情况,且在使用过程中未明确告知用户; 3. 未按法律规定提供删除或更正个人信息功能。 | |
| 48 | 三国志幻想大陆 | 1. 2.12 | 深圳市豆悦网络科技有限公司 | 1. 未经用户同意收集使用个人信息:首次开启 App,未同意隐私政策前行为监控发现获取 GET_TASK 检索了应用程序、Android ID、IP 地址、MAC 地址、IMEI、IMSI; 2. 存在嵌入第三方代码、插件等方式通过 App 客户端直接收集个人信息的情况,且在使用过程中未明确告知用户。 | |
| 49 | 哆点 | 2. 5.9 | 广州热点软件科技股份有限公司 | 1. 未经用户同意收集使用个人信息:首次开启 App,未同意隐私政策前行为监控发现获取 Android ID、IP 地址、MAC 地址、IMEI; 2. 存在嵌入第三方代码、插件等方式通过 App 客户端直接收集个人信息的情况,且在使用过程中未明确告知用户; 3. 未按法律规定提供删除或更正个人信息功能。 | |
| 50 | Q 房网 | 9. 4.2 | 深圳市云房网络科技有限公司 | 1. 更正、删除个人信息处理时限过长:更正、删除个人信息的人工处理承诺时限为 30 天,超过 15 个工作日。 | 1. Java 代码反编译风险; 2. Webview 明文存储密码风险; 3. 密钥硬编码漏洞; 4. Content Provider 数据泄露漏洞 |
| 51 | 跑跑达人 | 1. 1 | 深圳市梦想畅游科技有限公司 | 1. 未公开收集使用规则:App 首次运行未经用户阅读隐私政策,就申请获取个人的存储权限; 2. 进入 App 主界面,隐私政策难以访问; 3. 强制用户使用定向推送功能:利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项。 | 1. 应用数据任意备份风险; 2. Service 组件导出风险 |
| 52 | 蛇蛇争霸 | 6. 8.0 | 深圳市抱一网络科技有限公司 | 1. 未公开收集使用规则:App 首次运行未经用户阅读隐私政策,就申请获取个人的存储、电话两项权限; 2. 进入 App 主界面,隐私政策难以访问; 3. 不给权限不让用:用户不同意开启非 App 运行最小必要的电话权限,App 无法使用。 | 1. Janus 签名机制漏洞 |
| 53 | 共享师资 | 3. 2.1 | 广州利他网络科技有限公司 | 1. 未公开收集使用规则:App 首次运行未经用户阅读隐私政策,就申请获取个人的相机、存储两项权限; 2. 未明示收集使用个人信息的目的、方式和范围:隐私政策中未列出获取相机、存储权限的目的、方式、范围。 3. 违反必要原则:App 在用户未使用相关功能或服务时,提前申请开启相机权限; 4. App 在用户明确拒绝相机权限和存储权限申请后,频繁申请开启与服务场景无关的权限,骚扰用户; 5. 以默认方式同意隐私政策。 | 1. 剪切板敏感信息泄露漏洞; 2. InnerHTML 的 XSS 攻击漏。 |
| 54 | 鲸鱼阅读 | 2. 0.8 | 深圳市华阅文化传媒有限公司 | 1. 未公开收集使用规则:App 首次运行未经用户阅读隐私政策,就申请获取个人的位置、存储和电话权限; 2. 隐私政策难以访问:进入 App 主界面后,需 5 次(多于 4 次)点击操作才能访问到; 3. 未明示收集使用个人信息的目的、方式和范围:隐私政策未列出获取存储权限的目的、方式和范围; 4. 违反必要原则:App 在用户未使用相关功能或服务时,提前申请开启位置权限。 | |
| 55 | 全民千炮捕鱼 | 6. 0.12 | 深圳游创天下网络科技有限公司 | 1. 未公开收集使用规则:App 首次运行未经用户阅读隐私政策,就申请获取位置、存储、电话和短信权限; 2. 进入 App 主界面,隐私政策难以访问; 3. 违反必要原则:App 在用户未使用相关功能或服务时,提前申请开启位置和短信权限。 | 1. Java 代码反编译风险 2. Janus 签名机制漏洞 3. 未移除有风险的 Webview 系统隐藏接口漏洞 |
| 56 | 捕鱼至尊宝 | 9. 0.23.4.0 | 深圳智道明远科技有限公司 | 1. 未公开收集使用规则:App 首次运行未经用户阅读隐私政策,就申请获取位置、存储、电话权限; 2. 以默认方式同意隐私政策; 3. 违反必要原则:App 在用户未使用相关功能或服务时,提前申请开启位置权限。 | 1. Janus 签名机制漏洞; 2. Webview 明文存储密码风险; 3. “应用克隆” 漏洞攻击风险; 4. 未移除有风险的 Webview 系统隐藏接口漏洞。 |
| 57 | 红娘婚恋 | 2. 8.0 | 深圳市创乐天下网络科技有限公司 | 1. 投诉、举报承诺处理时限过长:个人信息安全投诉、举报渠道的承诺处理时限 30 日超过 15 个工作日。 | 1. 明文数字证书风险; 2. Activity 组件导出风险; 3. Service 组件导出风险; 4. Broadcast Receiver 组件导出风险。 |
| 58 | 松果倾诉 | 7. 8.2.2 | 广州智悦网络科技有限公司 | 1. 未公开收集使用规则:App 首次运行未经用户阅读隐私政策,就申请获取存储、电话权限,亦未同步告知用户其目的; 2. 不给权限不让用:用户不同意开启非 App 运行最小必要的电话权限,App 无法使用。 | 1. Janus 签名机制漏洞 |
| 59 | 对庄翡翠 | 6. 3.7 | 深圳市对庄科技有限公司 | 1. 未公开收集使用规则:App 首次运行未经用户阅读隐私政策,就申请获取存储、电话权限; 2. 进入 App 主界面,隐私政策难以访问; 3. 未明示收集使用个人信息的目的、方式和范围:隐私政策中没有列出获取存储、电话、相机等权限的目的、方式、范围; 4. 以默认方式同意隐私政策; 5. 违反必要原则:修改个人信息头像时需要开启非最小必要的相机权限(存储权限是最小必要权限),不给权限不让修改; 6. 不给权限不让用:用户不同意开启非 App 运行最小必要的电话权限,App 无法使用; 7. 投诉、举报承诺处理时限过长:个人信息安全投诉、举报渠道的承诺处理时限(三十天)超过 15 个工作日。 | 1. FFmpeg 文件读取漏洞。 |
| 60 | 经络穴位图解 | 6. 1.6 | 深圳市灸大夫医疗科技有限公司 | 1. 未公开收集使用规则:App 首次运行未经用户阅读隐私政策,就申请获取存储、电话权限,亦未同步告知用户其目的; 2. 不给权限不让用:用户不同意开启非 App 运行最小必要的电话权限,App 无法使用; 3. 账号注销难:为注销用户账号设置不合理条件,“30 天缓冲期” 的注销处理承诺时限超过 15 个工作日。 | 1. Janus 签名机制漏洞 |
| 61 | 史上最坑爹的游戏 3 | 7. 1.01 | 珠海顶峰互动科技有限公司 | 1. 未公开收集使用规则:App 首次运行未经用户阅读隐私政策,就申请获取存储、电话权限; 2. 不给权限不让用:用户不同意开启非 App 运行最小必要的电话权限,App 无法使用; 3. 应用内集成多个第三方 SDK,未逐一列出第三方 SDK 收集使用个人信息的目的、方式、范围等。 | 1. Java 代码反编译风险 2. Janus 签名机制漏洞 |
| 62 | 云淘集 | 2. 9.1 | 深圳市造梦网络科技有限公司 | 1. 未明示收集使用个人信息的目的、方式和范围:在申请打开可收集个人信息的存储、位置权限时,未同步告知用户其目的; 2. 隐私政策中没有列出获取存储、位置权限的目的、方式、范围; 3. 应用内集成多个可收集个人信息的第三方 SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 | 1. Java 代码反编译风险; 2. Webview 明文存储密码风险; 3. Webview File 同源策略绕过漏洞; 4. InnerHTML 的 XSS 攻击漏洞 |
| 63 | 万顺叫车 | 4. 8.8 | 深圳万顺叫车云信息技术有限公司 | 1. 未公开收集使用规则:App 首次运行未经用户阅读隐私政策,就申请获取个人位置、存储和电话三项权限; 2. 违反必要原则:修改个人信息头像时需要开启非最小必要的相机权限(存储权限是最小必要权限),不给权限不让修改; 3. 未明示收集使用个人信息的目的、方式和范围:隐私政策未列出获取相机权限的目的、方式和范围; 4. 收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户。 | |
| 64 | 口袋助理 | V6.5.0 | 深圳市口袋网络科技有限公司 | 1. 未公开收集使用规则:App 首次运行未经用户阅读隐私政策,就申请获取存储、电话权限。 | 1. Webview 明文存储密码风险 2. 密钥硬编码漏洞 3. InnerHTML 的 XSS 攻击漏洞 |
| 65 | 妈妈金融学院 | V2.8.1 | 广州普融教育科技有限公司 | 1. App 首次运行未经用户阅读隐私政策,就申请获取存储权限。 | 1. Java 代码反编译风险; 2. Webview 明文存储密码风险; 3. Webview File 同源策略绕过漏洞。 |
| 66 | 美胸汇 | V5.6.0 | 广州一九九零科技有限公司 | 1. 未公开收集使用规则:App 首次运行未经用户阅读隐私政策,就申请获取位置、电话权限; 2. 违反必要原则:App 在用户未使用相关功能或服务时,提前申请开启相机、位置、麦克风权限。 | 1. FFmpeg 文件读取漏洞 |
| 67 | 十色成人两性情趣 | V6.0.1 | 深圳市德他数据有限公司 | 1. App 未明确告知收集使用电话权限的目的、方式、范围; 2. 违反必要原则:App 在用户未使用相关功能或服务时,提前申请开启拨打电话和相机权限。 | 1. Activity 组件导出风险; 2. Service 组件导出风险 |
| 68 | 有车以后 | 4. 37.0 | 广州有车以后信息科技有限公司 | 1. 未经用户同意收集使用个人信息:首次开启 App,未同意隐私政策前行为监控发现 GET_TASK 检索了应用程序。 2. 超频获取电话权限。 | 1. Root 环境检测 2. 防截屏检测 3. 界面劫持安全 |
| 69 | 坐车网 | 3. 18.201551 | 广州浩宁智能设备有限公司 | 1. 未经用户同意收集使用个人信息:首次开启 App,未同意隐私政策前行为监控发现 GET_TASK 获取 Android ID、MAC 地址。 2. 超频获取电话权限。 3. 未提供有效的更正、删除个人信息及注销用户账号功能。 | 1. Root 环境检测 2. 敏感信息内存加密 3. 防截屏检测 4. 界面劫持安全 5. 登陆密码爆破风险 |
| 70 | 八斗银 | 2. 0.2 | 广东八斗银建设投资集团有限公司 | 1. 未明示收集使用个人信息的目的、方式和范围:申请个人信息权限或个人敏感信息时未同步告知用户目的,且隐私政策中也未说明。 2. 未经用户同意收集使用个人信息:首次开启 App,未同意隐私政策前行为监控发现 GET_TASK 检索了应用程序、Android ID、MAC 地址、ip 地址。 3. 未提供撤回已同意授权的用户操作方法。 4. 应用内集成多个可收集个人信息的第三方 SDK,但未在隐私政策逐一说明是否向第三方共享信息。 5. 未提供账号注销途径。 | 1. Root 环境检测 2. 防截屏检测 3. 界面劫持安全 |
| 71 | 高铁管家 | 7. 4 | 深圳市活力天汇科技股份有限公司 | 1. 未经用户同意收集使用个人信息:首次开启 App,未同意隐私政策前行为监控发现 GET_TASK 获取应用程序、Android ID。 2. 超频获取电话权限。 | 1. Root 环境检测 2. 界面劫持安全 |
| 72 | WiFi 管家 | 3. 9.6 | 深圳市腾讯计算机系统有限公司 | 1. 账号注销难:应用内未发现注销账号功能 2. 应用内集成多个可收集个人信息的第三方 SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 | Webview 明文存储密码风险 |
| 73 | 广银信用卡 | 3. 9.4 | 广州银行股份有限公司信用卡中心 | 1. 未经用户同意收集使用个人信息:首次开启 App,未同意隐私政策前行为监控发现 GET_TASK 获取应用程序、Android ID、MAC 地址、ip 地址。 2. 同意存储权限不同意相机权限无法正常使用更换头像功能。 3. 隐私政策未发现描述响应时限的条款。 | |
| 74 | 蜜桃直播 | 8. 17.0 | 广州市九浚信息技术有限公司 | 1. 未经用户同意收集使用个人信息:首次开启 App,未同意隐私政策前行为监控发现 GET_TASK 获取了应用程序、Android ID、MAC 地址、IMEI。 2. 主界面四步以内未能找到隐私政策。 | 1. Root 环境检测 2. 防截屏检测 3. 界面劫持安全 4. 登陆密码爆破风险 |
| 75 | 56 视频 | 6. 1.8 | 广州市千钧网络科技有限公司 | 1. 未明示收集使用个人信息的目的、方式和范围:56 视频隐私政策完全调用搜狐视频隐私政策,描述完全一致,且未通过自定义弹窗告知索权目的。 2. 未经用户同意收集使用个人信息:首次开启 App,未同意隐私政策前行为监控发现 GET_TASK 检索了应用程序、IP 地址、MAC 地址、IMEI、IMSI。 3. 应用内集成多个可收集个人信息的第三方 SDK,但未在隐私政策逐一说明是否向第三方共享信息。 | |
| 76 | 人气直播 | 6. 2.1 | 深圳市果酱时代科技有限公司 | 1. 未明示收集使用个人信息的目的、方式和范围:隐私政策中未明示手机信息权限和存储权限使用目的,也未使用自定义弹框同步告知目的。 2. 未经用户同意收集使用个人信息:首次开启 App,未同意隐私政策前行为监控发现 GET_TASK 检索了应用程序、Android ID、IMSI。 3. 以默认同意的方式收集个人信息:首次登录时默认同意隐私政策。 4. 应用内集成多个可收集个人信息的第三方 SDK,但未在隐私政策逐一说明是否向第三方共享信息。 | 1. 敏感信息内存加密 2. 防截屏检测 3. 界面劫持安全 |
| 77 | 来吼语音 | 1. 25.0 | 广州柠柠网络科技有限公司 | 1. 未明示收集使用个人信息的目的、方式和范围:首次运行未以弹窗的方式告知用户协议和隐私政策,也未使用自定义弹框同步告知索权目的。 2. 未经用户同意收集使用个人信息:首次开启 App,未同意隐私政策前行为监控发现 GET_TASK 检索了应用程序、Android ID、MAC 地址 、ip 地址 、IMEI、IMSI。 3. 以默认同意的方式收集个人信息:首次登录时默认同意隐私政策。 4. 应用内集成多个可收集个人信息的第三方 SDK,但未在隐私政策逐一说明是否向第三方共享信息。 | 界面劫持安全 |
| 78 | 记点点记账 | 1. 9.9 | 广州小迈网络科技有限公司 | 1. 应用内集成多个可收集个人信息的第三方 SDK,但未在隐私政策逐一说明是否向第三方共享信息。 2. 未公开收集使用规则:App 首次运行未弹窗提示用户阅读隐私政策。 3. 未明示收集使用个人信息的目的、方式和范围:申请打开可收集个人信息的权限时,未同步告知用户其目的。 | |
| 79 | 广州农商银行 | 5. 5.9 | 广州农村商业银行股份有限公司 | 1. 应用内集成多个可收集个人信息的第三方 SDK,但未在隐私政策逐一说明是否向第三方共享信息。 2. 未公开收集使用规则:App 首次运行未弹窗提示用户阅读隐私政策。 3. 未明示收集使用个人信息的目的、方式和范围:申请打开可收集个人信息的权限时,未同步告知用户其目的。 | |
| 80 | 极简记账 | 1. 8.3 | 深圳路得青云信息科技有限公司 | 1. 应用内集成多个可收集个人信息的第三方 SDK,但未在隐私政策逐一说明是否向第三方共享信息。 2. 未公开收集使用规则:App 首次运行未弹窗提示用户阅读隐私政策。 3. 未明示收集使用个人信息的目的、方式和范围:申请打开可收集个人信息的权限时,未同步告知用户其目的。 | |
| 81 | 奥买家全球购 | 4. 1.4 | 广东奥园奥买家电子商务有限公司 | 1. 应用内集成多个可收集个人信息的第三方 SDK,但未在隐私政策逐一说明是否向第三方共享信息。 2. 未公开收集使用规则:App 首次运行未弹窗提示用户阅读隐私政策。 3. 未明示收集使用个人信息的目的、方式和范围:申请打开可收集个人信息的权限时,未同步告知用户其目的。 | 存在 Java 代码反编译风险 |
| 82 | 恒大财富 | 3. 4.3 | 恒大互联网金融服务(深圳)有限公司 | 应用内集成多个可收集个人信息的第三方 SDK,但未在隐私政策逐一说明是否向第三方共享信息。 | |
| 83 | 同学会 | 1. 6.9 | 深圳众海诚信息咨询服务有限公司 | 应用内集成多个可收集个人信息的第三方 SDK,但未在隐私政策逐一说明是否向第三方共享信息。 | |
| 84 | 全民钱包 | 6. 2.1.0 | 广州市全民钱包科技有限公司 | 应用内集成多个可收集个人信息的第三方 SDK,但未在隐私政策逐一说明是否向第三方共享信息。 | |
| 85 | 广东农信 | 3. 3.4 | 广东省农村信用社联合社 | 1. 未公开收集使用规则:App 首次运行未弹窗提示用户阅读隐私政策。 2. 未明示收集使用个人信息的目的、方式和范围:申请打开可收集个人信息的权限时,未同步告知用户其目的。 | |
| 86 | 中信证券 | 3. 03.029 | 中信证券股份有限公司 | 应用内集成多个可收集个人信息的第三方 SDK,但未在隐私政策逐一说明是否向第三方共享信息。 | |
| 87 | 汽修宝 | 5. 13.1.2 | 广州前实网络科技有限公司 | 1. 应用内集成多个可收集个人信息的第三方 SDK,但未在隐私政策逐一说明是否向第三方共享信息。 2. 未公开收集使用规则:App 首次运行未弹窗提示用户阅读隐私政策。 3. 未明示收集使用个人信息的目的、方式和范围:申请打开可收集个人信息的权限时,未同步告知用户其目的。 | |
| 88 | 点点 | 3. 3.5 | 深圳蜂点科技有限公司 | 应用内集成多个可收集个人信息的第三方 SDK,但未在隐私政策逐一说明是否向第三方共享信息。 |
微信扫一扫