“浏览器类”app个人信息收集情况测试报告-凯发ag旗舰厅网站
发布时间:2023-03-15
近期,中国网络空间安全协会、国家计算机网络应急技术处理协调中心对“浏览器类”公众大量使用的部分app收集个人信息情况进行了测试。测试情况及结果如下:
本次测试选取了19家应用商店⁽¹⁾累计下载量达到1亿次的“浏览器类”app,共计9款,其基本情况如表1。 本次测试选取相同品牌、型号的手机终端,安装相同版本安卓操作系统,分别部署9款app,在相同网络环境下进行同步操作。 以完成一次互联网信息浏览活动作为测试单元,包括启动app、搜索信息、访问信息3种用户使用场景,以及后台静默应用场景⁽²⁾。 本次测试包括系统权限调用、个人信息上传、网络上传流量3项内容。 测试发现,9款app在4种场景下调用了位置、设备信息、剪切板、应用列表、相册5类系统权限,未发现调用麦克风、通讯录等其他权限。 (1)在启动app场景中,调用系统权限种类最多的为悟空浏览器(5类),调用系统权限次数最多的为uc浏览器(88次)。具体情况如表2。 (2)在搜索信息场景中,调用系统权限种类最多的为小米浏览器和搜狗浏览器极速版(均为3类),调用系统权限次数最多的为小米浏览器(12次)。具体情况如表3。 (3)在访问信息场景中,通过浏览器打开网站时,调用系统权限种类和次数最多的均为悟空浏览器(2类、5次);通过浏览器下载文件时,调用系统权限次数最多的为uc浏览器和悟空浏览器(均为2次)。具体情况如表4。 (4)在后台静默场景中,调用系统权限种类最多的为uc浏览器、夸克、360浏览器、悟空浏览器(均为2类),调用系统权限次数最多的为360浏览器(16次)。具体情况如表5。 测试发现,9款app上传了4种类型个人信息⁽³⁾:①位置信息,包括经纬度、街道地址、当前连接wi-fi mac地址、当前连接基站信息、周边可用wi-fi mac地址;②唯一设备识别码,包括imei(国际移动设备识别码)、android id(安卓id)、oaid(开放匿名设备标识符)、手机mac地址;③应用列表信息,包括手机上已安装、新安装、新卸载的应用信息;④用户在app内的截图操作信息。 (1)在启动app场景中,个人信息上传种类最多的为uc浏览器(4类)。具体情况如表6。 (2)在搜索信息场景中,个人信息上传种类最多的为悟空浏览器(2类)。具体情况如表7。 (3)在访问信息场景中,通过浏览器打开网站时,个人信息上传种类最多的为小米浏览器和悟空浏览器(均为2类);通过浏览器下载文件时,个人信息上传种类最多的为uc浏览器和360浏览器(均为2类)。具体情况如表8。 (4)在后台静默场景中,个人信息上传种类最多的为uc浏览器(3类)。具体情况如表9。 (1)9款app在用户完成一次网站浏览活动(启动app、搜索信息、打开网站)时,上传数据流量平均⁽⁴⁾最多的为悟空浏览器,约为1608kb;平均最少的为小米浏览器,约为472kb。具体情况如图1。图1 完成一次网站浏览活动的平均上传数据流量(单位:kb)
(2)9款app在用户完成一次文件下载活动(启动app、搜索信息、下载文件)时,上传数据流量平均⁽⁵⁾最多的为qq浏览器,约为1994kb;平均最少的为小米浏览器,约为152kb。具体情况如图2。图2 完成一次文件下载活动的平均上传数据流量(单位:kb)
(3)9款app后台静默12小时,上传数据流量平均⁽⁶⁾最多的为uc浏览器,约为2506kb;平均最少的为华为浏览器,约为87kb。具体情况如图3。图3 后台静默12小时平均上传数据流量(单位:kb)
⁽¹⁾包括华为应用市场、小米应用商店、腾讯应用宝、oppo软件商店、vivo应用市场、360手机助手、百度手机助手、豌豆荚手机助手、历趣应用商店、乐商店、魅族应用商店、移动mm商店、太平洋下载、中关村在线、木蚂蚁安卓应用市场、多特软件站、华军软件园、西西软件园、绿色资源网。⁽²⁾启动app指用户点击浏览器图标启动app至凯发ag旗舰厅网站首页加载完毕;搜索信息指用户搜索一个网站或文件,至搜索结果加载完毕;访问信息指用户点击一条搜索结果进行浏览(当搜索结果为一个网页时)或下载(当搜索结果为一个文件时);后台静默指用户启动浏览器后,直接切换到后台保持静默状态。⁽³⁾不包含用户访问互联网产生的交互信息。例如,用户浏览银行网站时,可能向网站传输身份证号、银行卡号、取款密码等信息,在此过程中浏览器仅按照网络协议向网站转发数据,本身不收集上述信息。来源:“国家互联网应急中心cncert”微信公众号