11月24日消息 11月23日,广东省通信管理局发布App监管情况通报 (2020年10月),累计检测5千余款App,共发现疑似存在问题App 237款,经核验确定问题App 88款,对其中“红娘婚恋”等85款App运营者发出《违法违规App处置通知》责令限期改正并通知各应用商店督促整改,对问题突出的“捷停车”“驾考家园”“凯立德导航”3款App运营企业做出警告并罚款的行政处罚决定。
IT之家获悉,这些应用涉及迅雷(7.05.0.7076)、唯品会(7.28.3)、中信证券(3.03.029)等。
被查处的 App 存在两方面问题,一是 App 及其后台服务器存在 “明文存储密码”“反编译”“SQL 注入”等数据安全隐患问题;二是违反用户个人信息保护规定,包括 “未公开明示收集规则”“默认勾选同意隐私协议”“未列明所集成 SDK 及其采集信息”“为注销账号、删除个人信息设置障碍”“未经用户同意共享给第三方”等侵犯用户对其个人信息处理享有的知情权、决定权,以及违反最小必要原则超前、超需、超频索取权限或采集信息,甚至不给必需权限不让用等强迫行为。
被予以行政处罚的 “捷停车”App 存在侵害用户权益的问题较为典型,其中最为突出的问题是:为用户注销账号设置过多不合理的障碍。App 在用户注册账号时仅凭手机号码及验证码即完成注册,但注销账号时却要求用户提供手机号码的真实姓名、身份证正反面照片,甚至要求用户提供电信运营商出具的手机号码权属证明方可受理。此外,该 App 还存在未使用相关功能就索取用户相机权限,且相机权限及 App 集成的地图、支付、推送、统计、分享等多个 SDK 均未在隐私政策中逐一列明。对此,广东省通信管理局约谈了捷停车 App 运营公司的负责人,对该公司做出给予警告并罚款两万元的行政处罚,同时报请工业和信息化部纳入电信业务经营不良名单。
附件:存在问题的App名单(88款)
[table=1px !important][tr][td]序号
[/td][td]App名称
[/td][td]版本号
[/td][td]企业名称
[/td][td]侵害用户权益问题
[/td][td]安全隐患问题
[/td][/tr][tr][td]1
[/td][td]驾考家园
[/td][td]6.1
[/td][td]广州先睿数码科技有限公司
[/td][td]1.“未公开收集使用规则”:App首次运行未经用户阅读隐私政策,就申请获取存储、电话、麦克风、相机和位置五项权限;
2.“未明示收集使用个人信息的目的、方式和范围”:隐私政策中没有说明获取相机和麦克风权限的目的、方式、范围;应用内集成多个第三方SDK,且未在隐私政策中声明;
3.“未经用户同意收集使用个人信息”:征得用户同意前就开始收集个人信息(Android ID、MAC地址等);以默认方式同意隐私政策。
[/td][td]
[/td][/tr][tr][td]2
[/td][td]捷停车
[/td][td]4.2.0
[/td][td]深圳市顺易通信息科技有限公司
[/td][td]1.“违反必要原则收集个人信息”:在用户未使用相关功能或服务时,提前申请开启相机权限;
2.“未明示收集使用个人信息的目的、方式和范围”:隐私政策中没有列出获取存储、相机和拨打电话权限的目的、方式、范围,应用内集成多个第三方SDK,且未在隐私政策中声明;
3.“账号注销难”:为注销用户账号设置不必要或不合理条件。
[/td][td]
[/td][/tr][tr][td]3
[/td][td]凯立德导航
[/td][td]8.4.2
[/td][td]深圳市凯立德欣软件技术有限公司
[/td][td]1.未明示收集使用个人信息的目的、方式和范围:App申请使用相机、麦克风和通信录三项权限,超出隐私政策用户授权范围;
2.应用内集成多个可收集用户个人信息的第三方SDK,且未在隐私政策中声明。
[/td][td]
[/td][/tr][tr][td]4
[/td][td]千聊
[/td][td]V4.2.7
[/td][td]广州思坞信息科技有限公司
[/td][td]1.以默认方式同意隐私政策;
2.违反必要原则:App在用户未使用相关功能或服务时,提前申请开启相机、麦克风权限;
3.投诉、举报承诺处理时限过长:个人信息安全投诉、举报渠道的承诺处理时限(三十天)超过15个工作日。
[/td][td]
[/td][/tr][tr][td]5
[/td][td]KingRoot
[/td][td]5.4.0
[/td][td]广州云讯信息科技有限公司
[/td][td]1.未公开收集使用规则:App中未发现隐私政策;
2.未经用户同意收集使用个人信息:未经用户阅读隐私政策并征的同意前,应用就申请获取拍照、存储和读取电话状态权限;
3.超范围收集个人信息:应用申请使用拍照权限,超出隐私政策用户授权范围;
4.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。
[/td][td]
[/td][/tr][tr][td]6
[/td][td]向日葵保险
[/td][td]4.50.0
[/td][td]广州向日葵信息科技有限公司
[/td][td]1.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息;
2.频繁索取存储权限:用户明确表示不同意后,仍频繁征求用户同意、干扰用户正常使用;
[/td][td]1.Java代码反编译风险
2.Webview明文存储密码风险
3.Webview File同源策略绕过漏洞
[/td][/tr][tr][td]7
[/td][td]花生日记
[/td][td]4.7.8
[/td][td]广州花生日记网络科技有限公司
[/td][td]1.未经用户同意收集使用个人信息:首次开启App,未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、MAC地址、IMEI、IMSI;
2.违反必要原则:更换头像时只同意存储权限不同意相机权限无法正常使用;
3.隐私政策中未逐一列出第三方SDK收集个人信息的目的、方式、范围。
[/td][td]1.Activity组件导出风险
2.Service组件导出风险
[/td][/tr][tr][td]8
[/td][td]夸克
[/td][td]4.2.5.140
[/td][td]优视科技(中国)有限公司
[/td][td]1.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。
[/td][td]1.Java代码反编译风险
2.Janus签名机制漏洞
3.Webview明文存储密码风险
[/td][/tr][tr][td]9
[/td][td]NOW直播
[/td][td]1.54.5.14
[/td][td]深圳市腾讯计算机系统有限公司
[/td][td]1.超范围收集个人信息:应用申请使用拍照权限,超出隐私政策用户授权范围;
2.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。
[/td][td]
[/td][/tr][tr][td]10
[/td][td]全民电视直播
[/td][td]4.8.3
[/td][td]珠海星动技术咨询有限公司
[/td][td]1.未经用户同意收集使用个人信息:首次开启App,未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、MAC地址 、IMEI、IMSI;
2.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息;
3.违反必要原则:“用户反馈”图片时只同意存储权限不同意相机权限,拒绝提供业务功能。
[/td][td]1.FFmpeg文件读取漏洞
2.WebSQL注入漏洞
3.InnerHTML的XSS攻击漏洞
[/td][/tr][/table]
