(ChinaZ.com) 11月26日 消息:據(jù)網(wǎng)信廣東公眾號消息,近日,廣東省通信管理局累計檢測5千余款A(yù)pp,共發(fā)現(xiàn)疑似存在問題App237款,經(jīng)核驗確定問題App88款,對其中“紅娘婚戀”等85款A(yù)pp運營者發(fā)出《違法違規(guī)App處置通知》責令限期改正并通知各應(yīng)用商店督促整改,對問題突出的“捷停車”“駕考家園”“凱立德導(dǎo)航”3款A(yù)pp運營企業(yè)做出警告并罰款的行政處罰決定。
廣東省通信管理局表示,被查處的App存在兩方面問題,一是App及其后臺服務(wù)器存在“明文存儲密碼”“反編譯”“SQL注入”等數(shù)據(jù)安全隱患問題;二是違反用戶個人信息保護規(guī)定,包括“未公開明示收集規(guī)則”“默認勾選同意隱私協(xié)議”“未列明所集成SDK及其采集信息”“為注銷賬號、刪除個人信息設(shè)置障礙”“未經(jīng)用戶同意共享給第三方”等侵犯用戶對其個人信息處理享有的知情權(quán)、決定權(quán),以及違反最小必要原則超前、超需、超頻索取權(quán)限或采集信息,甚至不給必需權(quán)限不讓用等強迫行為。
其中,被予以行政處罰的“捷停車”App存在侵害用戶權(quán)益的問題較為典型,其中最為突出的問題是:為用戶注銷賬號設(shè)置過多不合理的障礙。對此,廣東省通信管理局約談了捷停車App運營公司的負責人,對該公司做出給予警告并罰款兩萬元的行政處罰,同時報請工業(yè)和信息化部納入電信業(yè)務(wù)經(jīng)營不良名單。
據(jù)存在問題App名單顯示,NOW直播、唯品會、迅雷、布卡漫畫、湯姆貓跑酷、神廟逃亡2、地鐵跑酷等APP上榜。
序號 | App名稱 | 版本號 | 企業(yè)名稱 | 侵害用戶權(quán)益問題 | 安全隱患問題 |
1 | 駕考家園 | 6.1 | 廣州先睿數(shù)碼科技有限公司 | 1.“未公開收集使用規(guī)則”:App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取存儲、電話、麥克風(fēng)、相機和位置五項權(quán)限;2.“未明示收集使用個人信息的目的、方式和范圍”:隱私政策中沒有說明獲取相機和麥克風(fēng)權(quán)限的目的、方式、范圍;應(yīng)用內(nèi)集成多個第三方SDK,且未在隱私政策中聲明;3.“未經(jīng)用戶同意收集使用個人信息”:征得用戶同意前就開始收集個人信息(Android ID、MAC地址等);以默認方式同意隱私政策。 | |
2 | 捷停車 | 4.2.0 | 深圳市順易通信息科技有限公司 | 1.“違反必要原則收集個人信息”:在用戶未使用相關(guān)功能或服務(wù)時,提前申請開啟相機權(quán)限;2.“未明示收集使用個人信息的目的、方式和范圍”:隱私政策中沒有列出獲取存儲、相機和撥打電話權(quán)限的目的、方式、范圍,應(yīng)用內(nèi)集成多個第三方SDK,且未在隱私政策中聲明;3.“賬號注銷難”:為注銷用戶賬號設(shè)置不必要或不合理條件。 | |
3 | 凱立德導(dǎo)航 | 8.4.2 | 深圳市凱立德欣軟件技術(shù)有限公司 | 1.未明示收集使用個人信息的目的、方式和范圍:App申請使用相機、麥克風(fēng)和通信錄三項權(quán)限,超出隱私政策用戶授權(quán)范圍;2.應(yīng)用內(nèi)集成多個可收集用戶個人信息的第三方SDK,且未在隱私政策中聲明。 | |
4 | 千聊 | V4.2.7 | 廣州思塢信息科技有限公司 | 1.以默認方式同意隱私政策;2.違反必要原則:App在用戶未使用相關(guān)功能或服務(wù)時,提前申請開啟相機、麥克風(fēng)權(quán)限;3.投訴、舉報承諾處理時限過長:個人信息安全投訴、舉報渠道的承諾處理時限(三十天)超過15個工作日。 | |
5 | KingRoot | 5.4.0 | 廣州云訊信息科技有限公司 | 1.未公開收集使用規(guī)則:App中未發(fā)現(xiàn)隱私政策;2.未經(jīng)用戶同意收集使用個人信息:未經(jīng)用戶閱讀隱私政策并征的同意前,應(yīng)用就申請獲取拍照、存儲和讀取電話狀態(tài)權(quán)限;3.超范圍收集個人信息:應(yīng)用申請使用拍照權(quán)限,超出隱私政策用戶授權(quán)范圍;4.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。 | |
6 | 向日葵保險 | 4.50.0 | 廣州向日葵信息科技有限公司 | 1.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;2.頻繁索取存儲權(quán)限:用戶明確表示不同意后,仍頻繁征求用戶同意、干擾用戶正常使用; | 1.Java代碼反編譯風(fēng)險; 2.Webview明文存儲密碼風(fēng)險; 3.Webview File同源策略繞過漏洞。 |
7 | 花生日記 | 4.7.8 | 廣州花生日記網(wǎng)絡(luò)科技有限公司 | 1.未經(jīng)用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監(jiān)控發(fā)現(xiàn)獲取GET_TASK檢索了應(yīng)用程序、Android ID、MAC地址、IMEI、IMSI;2.違反必要原則:更換頭像時只同意存儲權(quán)限不同意相機權(quán)限無法正常使用;3.隱私政策中未逐一列出第三方SDK收集個人信息的目的、方式、范圍。 | 1.Activity組件導(dǎo)出風(fēng)險; 2.Service組件導(dǎo)出風(fēng)險。 |
8 | 夸克 | 4.2.5.140 | 優(yōu)視科技(中國)有限公司 | 1.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。 | 1.Java代碼反編譯風(fēng)險; 2.Janus簽名機制漏洞; 3.Webview明文存儲密碼風(fēng)險。 |
9 | NOW直播 | 1.54.5.14 | 深圳市騰訊計算機系統(tǒng)有限公司 | 1.超范圍收集個人信息:應(yīng)用申請使用拍照權(quán)限,超出隱私政策用戶授權(quán)范圍;2.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。 | |
10 | 全民電視直播 | 4.8.3 | 珠海星動技術(shù)咨詢有限公司 | 1.未經(jīng)用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監(jiān)控發(fā)現(xiàn)獲取GET_TASK檢索了應(yīng)用程序、Android ID、MAC地址 、IMEI、IMSI;2.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;3.違反必要原則:“用戶反饋”圖片時只同意存儲權(quán)限不同意相機權(quán)限,拒絕提供業(yè)務(wù)功能。 | 1.FFmpeg文件讀取漏洞; 2.WebSQL注入漏洞; 3.InnerHTML的XSS攻擊漏洞。 |
11 | 唯品會 | 7.28.3 | 廣州唯品會電子商務(wù)有限公司 | 1.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。 | 1.Webview明文存儲密碼風(fēng)險; 2.Webview File同源策略繞過漏洞。 |
12 | 迅雷 | 7.05.0.7076 | 深圳市迅雷網(wǎng)文化有限公司 | 1. App未明確告知收集使用讀取聯(lián)系人權(quán)限的目的、方式、范圍;2.隱私政策中未逐一列出第三方SDK收集個人信息的目的、方式、范圍。 | |
13 | 金十數(shù)據(jù) | 4.7.1 | 廣州金十信息科技有限公司 | 1.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;2.不給權(quán)限不讓用:用戶拒絕授予獲取電話狀態(tài)和訪問外部存儲權(quán)限后,無法使用應(yīng)用。 | 1.InnerHTML的XSS攻擊漏洞。 |
14 | 布卡漫畫 | 2.4.1.7 | 珠海布卡科技有限公司 | 1.不給權(quán)限不讓用:用戶拒絕授予訪問外部存儲權(quán)限后,無法使用應(yīng)用. | 1.Webview明文存儲密碼風(fēng)險; 2.Webview File同源策略繞過漏洞; 3.密鑰硬編碼漏洞。 |
15 | 愛拍 | 5.3.4.912 | 廣州愛拍網(wǎng)絡(luò)科技有限公司 | 1.未公開收集使用規(guī)則:App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取存儲和電話權(quán)限;2.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;3.不給權(quán)限不讓用:用戶不同意開啟非App運行最小必要的電話權(quán)限,App無法使用。 | 1.Webview明文存儲密碼風(fēng)險; 2.Webview File同源策略繞過漏洞。 |
16 | MAKA | 5.21.6 | 深圳格萊珉文化傳播有限公司 | 1.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;2.App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取存儲和電話權(quán)限。 | |
17 | 時代財經(jīng) | 3.4.4 | 廣東時代傳媒有限公司 | 1.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;2.超范圍收集個人信息:應(yīng)用申請使用相機權(quán)限,超出隱私政策用戶授權(quán)范圍。 | 1.InnerHTML的XSS攻擊漏洞。 |
18 | 微商相冊 | v2.7.12.05221404 | 深圳市微購科技有限公司 | 1.私自共享給第三方:應(yīng)用內(nèi)集成多個第三方SDK,且未在隱私政策逐一說明會向第三方共享信息;2.不給權(quán)限不讓用:用戶拒絕授予訪問外部存儲權(quán)限后,無法使用應(yīng)用。 | 1.應(yīng)用數(shù)據(jù)任意備份風(fēng)險; 2.剪切板敏感信息泄露漏洞。 |
19 | 迷人直播 | V8.2.1 | 深圳恩斯洛格科技有限公司 | 1.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;2.違規(guī)向他人提供個人信息:未經(jīng)用戶同意,App向接入的第三方mPush魔推SDK提供用戶android id、IMEI、Mac地址等個人信息;3.違反必要原則:App在用戶未使用相關(guān)功能或服務(wù)時,提前申請開啟位置、電話權(quán)限;4.不給權(quán)限不讓用:用戶不同意開啟非App運行最小必要的位置、電話權(quán)限,App無法使用;5.未按法律規(guī)定提供刪除或更正個人信息功能:更正、刪除個人信息、注銷用戶賬號的承諾時限(30天)超過15個工作日,個人信息安全投訴、舉報渠道的承諾處理時限亦超過15個工作日。 | |
20 | 西瓜影音播放器 | 1.0.4 | 深圳鄉(xiāng)里云網(wǎng)絡(luò)科技有限公司 | 1.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;2.未公開收集使用規(guī)則:App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取存儲和電話權(quán)限。 | 1.Webview明文存儲密碼風(fēng)險; 2.Webview File同源策略繞過漏洞。 |
21 | 小7手游 | 4.999X.99PERMISSION.1986 | 深圳尚米網(wǎng)絡(luò)技術(shù)有限公司 | 1.超范圍收集個人信息:應(yīng)用申請使用麥克風(fēng)權(quán)限,超出隱私政策用戶授權(quán)范圍;2.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;3.不給權(quán)限不讓用:用戶不同意開啟非App運行最小必要的電話權(quán)限,App無法使用。 | |
22 | 絲瓜視頻 | 4.5.11 | 深圳美明贊文化傳播有限公司 | 1.未逐一列出第三方SDK收集使用個人信息的目的、方式、范圍等;2.個人信息安全投訴、舉報渠道的承諾處理時限(30天)超過15個工作日。 | 1.Java代碼反編譯風(fēng)險; 2.Webview明文存儲密碼風(fēng)險; 3.Webview File同源策略繞過漏洞。 |
23 | 快貓 | 5.4.3 | 深圳市禾火網(wǎng)絡(luò)科技有限公司 | 1.未按法律規(guī)定提供刪除或更正個人信息功能;2.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。 | 1.Webview明文存儲密碼風(fēng)險; 2.Webview File同源策略繞過漏洞; 3.密鑰硬編碼漏洞。 |
24 | 我的安吉拉 | 4.6.2.1037 | 廣州金科文化科技有限公司 | 1. App未明確告知收集使用拍照權(quán)限的目的、方式、范圍;2.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。 | 1.存在應(yīng)用備份風(fēng)險; 2.存在Java代碼反編譯風(fēng)險。 |
25 | 湯姆貓跑酷 | 4.4.1.491 | 廣州金科文化科技有限公司 | 1.App未明確告知收集使用拍照權(quán)限的目的、方式、范圍;2.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。 | 1.存在應(yīng)用備份風(fēng)險; 2.存在Java代碼反編譯風(fēng)險。 |
26 | 老黃歷通勝-日歷萬年歷擇日 | 5.9.0 | 廣東靈機文化傳播有限公司 | 1.App未明確告知收集使用拍照、麥克風(fēng)和電話權(quán)限的目的、方式、范圍;2.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息; | 1.存在Java代碼反編譯風(fēng)險。 |
27 | 企鵝電競 | 6.2.0.516 | 深圳市騰訊計算機系統(tǒng)有限公司 | 1.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;2.超范圍收集個人信息:應(yīng)用申請使用相機權(quán)限,超出隱私政策用戶授權(quán)范圍。 | Webview明文存儲密碼風(fēng)險 |
28 | 九游 | 7.2.3.2 | 廣州愛九游信息技術(shù)有限公司 | 1.App未明確告知收集使用讀取日程提醒權(quán)限的目的、方式、范圍;2.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。 | |
29 | 幫購 | 3.2.2.r | 深圳市幫購科技有限公司 | 1.未公開收集使用規(guī)則:App中未發(fā)現(xiàn)隱私政策;2.不給權(quán)限不讓用:用戶拒絕授予讀取電話狀態(tài)、拍照、獲取位置信息、訪問外部存儲和讀取短信內(nèi)容權(quán)限后,無法使用應(yīng)用。 | 1.存在Java代碼反編譯風(fēng)險。 |
30 | 時空獵人 | 5.1.1120 | 廣州銀漢科技有限公司 | 1.未公開收集使用規(guī)則:App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取讀取電話狀態(tài)權(quán)限;2.App未明確告知收集使用讀取短信內(nèi)容權(quán)限的目的、方式、范圍;3.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。 | 1.存在應(yīng)用備份風(fēng)險; 2.存在Java代碼反編譯風(fēng)險。 |
31 | 洪銦八字算命 | 12.7.8 | 廣州洪銦信息科技有限公司 | 1.私自共享給第三方:應(yīng)用內(nèi)集成第三方SDK,且未在隱私政策逐一說明會向第三方共享信息;2.App以默認方式同意隱私政策。 | 1.存在應(yīng)用備份風(fēng)險。 |
32 | 唯彩看球 | 5.7.4 | 廣州唯彩會網(wǎng)絡(luò)科技有限公司 | 1.App未明確告知收集使用拍照權(quán)限的目的、方式、范圍;2.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。 | 1.存在應(yīng)用備份風(fēng)險; 2.存在Java代碼反編譯風(fēng)險。 |
33 | 神廟逃亡2 | 5.5.0 | 深圳市創(chuàng)夢天地科技有限公司 | 1.未經(jīng)用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監(jiān)控發(fā)現(xiàn)獲取GET_TASK檢索了應(yīng)用程序、Android ID、MAC地址、ip地址;2.電話權(quán)限超頻獲取;3.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;4.未按法律規(guī)定提供刪除或更正個人信息功能。 | |
34 | 地鐵跑酷 | 3.10.0 | 深圳市夢域科技有限公司 | 1.App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取電話、相機、位置、存儲、麥克風(fēng)和撥打電話權(quán)限;2.未經(jīng)用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監(jiān)控發(fā)現(xiàn)獲取GET_TASK檢索了應(yīng)用程序、Android ID、MAC地址、ip地址3.電話權(quán)限超頻獲取4.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;5.未按法律規(guī)定提供刪除或更正個人信息功能。 | |
35 | 瀏覽器 | 8.3.11.0 | 深圳市艾酷通信軟件有限公司 | 1.App未明確告知收集使用相機、麥克風(fēng)權(quán)限的目的、方式、范圍;2.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。 | 1.存在Java代碼反編譯風(fēng)險。 |
36 | 萬聯(lián)證券股票開戶 | 3.3.8 | 萬聯(lián)證券股份有限公司 | 1.App首次運行未經(jīng)用戶閱讀隱私政策,應(yīng)用就申請獲取相機、錄音、存儲和位置信息權(quán)限;2.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。 | 1.存在Java代碼反編譯風(fēng)險。 |
37 | 富途牛牛 | 10.17.1252 | 深圳市富途網(wǎng)絡(luò)科技有限公司 | 1應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;2.未經(jīng)用戶閱讀隱私政策,應(yīng)用就申請獲取存儲權(quán)限;3.個人信息安全投訴、舉報渠道的承諾處理時限(30天)超過15個工作日 | |
38 | 立刷 | 3.1.3 | 嘉聯(lián)支付有限公司 | 1.App未明確告知收集使用麥克風(fēng)權(quán)限的目的、方式、范圍;2.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。 | 1.存在應(yīng)用備份風(fēng)險; 2.存在Java代碼反編譯風(fēng)險。 |
39 | 立刷商戶版 | 2.4.3 | 嘉聯(lián)支付有限公司 | 1.App未明確告知收集使用麥克風(fēng)權(quán)限的目的、方式、范圍;2.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。 | 1.存在Java代碼反編譯風(fēng)險。 |
40 | 中郵錢包 | 2.8.6 | 中郵消費金融有限公司 | 1.App未明確告知收集使用麥克風(fēng)權(quán)限的目的、方式、范圍 | |
41 | 順豐金融 | V4.3.2 | 深圳市順恒融豐投資有限公司 | 1.App未明確告知收集使用短信和日歷權(quán)限的目的、方式、范圍;2.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;3.未經(jīng)用戶閱讀隱私政策,應(yīng)用就申請獲取位置信息、相機、存儲、麥克風(fēng)和電話狀態(tài)信息權(quán)限。 | 1.存在Java代碼反編譯風(fēng)險。 |
42 | 樂刷商務(wù)版 | 6.0.0 | 深圳市移卡科技有限公司 | 1.未經(jīng)用戶閱讀隱私政策,應(yīng)用就申請獲取讀取位置、存儲和電話三項權(quán)限;2.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。 | |
43 | 心語語音聊天交友 | 1.4.0 | 惠州市屹立信息技術(shù)有限公司 | 1.未經(jīng)用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監(jiān)控發(fā)現(xiàn)獲取GET_TASK檢索了應(yīng)用程序、Android ID、IP地址、MAC地址、IMEI、IMSI;2.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。 | |
44 | 錢盒商戶通 | 5.0.4 | 深圳盒子信息科技有限公司 | 1.App未明確告知收集使用相機權(quán)限的目的、方式、范圍;2.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;3.賬號注銷難:為注銷用戶賬號設(shè)置不必要或不合理條件。 | |
45 | 房貸計算器 | 1.3.6 | 深圳市中龍信息科技有限公司 | 1.未經(jīng)用戶閱讀隱私政策,應(yīng)用就申請獲取電話狀態(tài)信息權(quán)限;2.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;3.更正、刪除個人信息難:更正、刪除個人信息的人工處理承諾時限(三十天)超過15個工作日;4.投訴、舉報承諾處理時限過長:個人信息安全投訴、舉報渠道的承諾處理時限(三十天)超過15個工作日。 | |
46 | 飛貸 | 6.5.9 | 深圳中興飛貸金融科技有限公司 | 應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。 | |
47 | 我要自學(xué)網(wǎng) | 1.7.5 | 佛山市豐智勝教育咨詢服務(wù)有限公司 | 1.未經(jīng)用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監(jiān)控發(fā)現(xiàn)獲取Android ID、MAC地址、IMEI、IMSI;2.存在嵌入第三方代碼、插件等方式通過App客戶端直接收集個人信息的情況,且在使用過程中未明確告知用戶;3.未按法律規(guī)定提供刪除或更正個人信息功能。 | |
48 | 三國志幻想大陸 | 1.2.12 | 深圳市豆悅網(wǎng)絡(luò)科技有限公司 | 1.未經(jīng)用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監(jiān)控發(fā)現(xiàn)獲取GET_TASK檢索了應(yīng)用程序、Android ID、IP地址、MAC地址、IMEI、IMSI;2.存在嵌入第三方代碼、插件等方式通過App客戶端直接收集個人信息的情況,且在使用過程中未明確告知用戶。 | |
49 | 哆點 | 2.5.9 | 廣州熱點軟件科技股份有限公司 | 1.未經(jīng)用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監(jiān)控發(fā)現(xiàn)獲取Android ID、IP地址、MAC地址、IMEI;2.存在嵌入第三方代碼、插件等方式通過App客戶端直接收集個人信息的情況,且在使用過程中未明確告知用戶;3.未按法律規(guī)定提供刪除或更正個人信息功能。 | |
50 | Q房網(wǎng) | 9.4.2 | 深圳市云房網(wǎng)絡(luò)科技有限公司 | 1.更正、刪除個人信息處理時限過長:更正、刪除個人信息的人工處理承諾時限為30天,超過15個工作日。 | 1.Java代碼反編譯風(fēng)險; 2.Webview明文存儲密碼風(fēng)險; 3.密鑰硬編碼漏洞; 4.Content Provider數(shù)據(jù)泄露漏洞。 |
51 | 跑跑達人 | 1.1 | 深圳市夢想暢游科技有限公司 | 1.未公開收集使用規(guī)則:App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取個人的存儲權(quán)限;2.進入App主界面,隱私政策難以訪問;3.強制用戶使用定向推送功能:利用用戶個人信息和算法定向推送信息,未提供非定向推送信息的選項。 | 1.應(yīng)用數(shù)據(jù)任意備份風(fēng)險; 2.Service組件導(dǎo)出風(fēng)險。 |
52 | 蛇蛇爭霸 | 6.8.0 | 深圳市抱一網(wǎng)絡(luò)科技有限公司 | 1.未公開收集使用規(guī)則:App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取個人的存儲、電話兩項權(quán)限;2.進入App主界面,隱私政策難以訪問;3.不給權(quán)限不讓用:用戶不同意開啟非App運行最小必要的電話權(quán)限,App無法使用。 | 1.Janus簽名機制漏洞。 |
53 | 共享師資 | 3.2.1 | 廣州利他網(wǎng)絡(luò)科技有限公司 | 1.未公開收集使用規(guī)則:App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取個人的相機、存儲兩項權(quán)限;2.未明示收集使用個人信息的目的、方式和范圍:隱私政策中未列出獲取相機、存儲權(quán)限的目的、方式、范圍。3.違反必要原則:App在用戶未使用相關(guān)功能或服務(wù)時,提前申請開啟相機權(quán)限;4.App在用戶明確拒絕相機權(quán)限和存儲權(quán)限申請后,頻繁申請開啟與服務(wù)場景無關(guān)的權(quán)限,騷擾用戶;5.以默認方式同意隱私政策。 | 1.剪切板敏感信息泄露漏洞;2.InnerHTML的XSS攻擊漏。 |
54 | 鯨魚閱讀 | 2.0.8 | 深圳市華閱文化傳媒有限公司 | 1.未公開收集使用規(guī)則:App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取個人的位置、存儲和電話權(quán)限;2.隱私政策難以訪問:進入App主界面后,需5次(多于4次)點擊操作才能訪問到;3.未明示收集使用個人信息的目的、方式和范圍:隱私政策未列出獲取存儲權(quán)限的目的、方式和范圍;4.違反必要原則:App在用戶未使用相關(guān)功能或服務(wù)時,提前申請開啟位置權(quán)限。 | |
55 | 全民千炮捕魚 | 6.0.12 | 深圳游創(chuàng)天下網(wǎng)絡(luò)科技有限公司 | 1.未公開收集使用規(guī)則:App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取位置、存儲、電話和短信權(quán)限;2.進入App主界面,隱私政策難以訪問;3.違反必要原則:App在用戶未使用相關(guān)功能或服務(wù)時,提前申請開啟位置和短信權(quán)限。 | 1.Java代碼反編譯風(fēng)險; 2.Janus簽名機制漏洞; 3.未移除有風(fēng)險的Webview系統(tǒng)隱藏接口漏洞。 |
56 | 捕魚至尊寶 | 9.0.23.4.0 | 深圳智道明遠科技有限公司 | 1.未公開收集使用規(guī)則:App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取位置、存儲、電話權(quán)限;2.以默認方式同意隱私政策;3.違反必要原則:App在用戶未使用相關(guān)功能或服務(wù)時,提前申請開啟位置權(quán)限。 | 1.Janus簽名機制漏洞; 2.Webview明文存儲密碼風(fēng)險; 3.“應(yīng)用克隆”漏洞攻擊風(fēng)險; 4.未移除有風(fēng)險的Webview系統(tǒng)隱藏接口漏洞。 |
57 | 紅娘婚戀 | 2.8.0 | 深圳市創(chuàng)樂天下網(wǎng)絡(luò)科技有限公司 | 1.投訴、舉報承諾處理時限過長:個人信息安全投訴、舉報渠道的承諾處理時限30日超過15個工作日。 | 1.明文數(shù)字證書風(fēng)險;2.Activity組件導(dǎo)出風(fēng)險;3.Service組件導(dǎo)出風(fēng)險;4.Broadcast Receiver組件導(dǎo)出風(fēng)險。 |
58 | 松果傾訴 | 7.8.2.2 | 廣州智悅網(wǎng)絡(luò)科技有限公司 | 1.未公開收集使用規(guī)則:App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取存儲、電話權(quán)限,亦未同步告知用戶其目的;2.不給權(quán)限不讓用:用戶不同意開啟非App運行最小必要的電話權(quán)限,App無法使用。 | 1.Janus簽名機制漏洞。 |
59 | 對莊翡翠 | 6.3.7 | 深圳市對莊科技有限公司 | 1.未公開收集使用規(guī)則:App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取存儲、電話權(quán)限;2.進入App主界面,隱私政策難以訪問;3.未明示收集使用個人信息的目的、方式和范圍:隱私政策中沒有列出獲取存儲、電話、相機等權(quán)限的目的、方式、范圍;4.以默認方式同意隱私政策;5.違反必要原則:修改個人信息頭像時需要開啟非最小必要的相機權(quán)限(存儲權(quán)限是最小必要權(quán)限),不給權(quán)限不讓修改;6.不給權(quán)限不讓用:用戶不同意開啟非App運行最小必要的電話權(quán)限,App無法使用;7.投訴、舉報承諾處理時限過長:個人信息安全投訴、舉報渠道的承諾處理時限(三十天)超過15個工作日。 | 1.FFmpeg文件讀取漏洞。 |
60 | 經(jīng)絡(luò)穴位圖解 | 6.1.6 | 深圳市灸大夫醫(yī)療科技有限公司 | 1.未公開收集使用規(guī)則:App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取存儲、電話權(quán)限,亦未同步告知用戶其目的;2.不給權(quán)限不讓用:用戶不同意開啟非App運行最小必要的電話權(quán)限,App無法使用;3.賬號注銷難:為注銷用戶賬號設(shè)置不合理條件,“30天緩沖期”的注銷處理承諾時限超過15個工作日。 | 1.Janus簽名機制漏洞。 |
61 | 史上最坑爹的游戲3 | 7.1.01 | 珠海頂峰互動科技有限公司 | 1.未公開收集使用規(guī)則:App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取存儲、電話權(quán)限;2.不給權(quán)限不讓用:用戶不同意開啟非App運行最小必要的電話權(quán)限,App無法使用;3.應(yīng)用內(nèi)集成多個第三方SDK,未逐一列出第三方SDK收集使用個人信息的目的、方式、范圍等。 | 1.Java代碼反編譯風(fēng)險;2.Janus簽名機制漏洞。 |
62 | 云淘集 | 2.9.1 | 深圳市造夢網(wǎng)絡(luò)科技有限公司 | 1.未明示收集使用個人信息的目的、方式和范圍:在申請打開可收集個人信息的存儲、位置權(quán)限時,未同步告知用戶其目的;2.隱私政策中沒有列出獲取存儲、位置權(quán)限的目的、方式、范圍;3.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。 | 1.Java代碼反編譯風(fēng)險;2.Webview明文存儲密碼風(fēng)險;3.Webview File同源策略繞過漏洞;4.InnerHTML的XSS攻擊漏洞 |
63 | 萬順叫車 | 4.8.8 | 深圳萬順叫車云信息技術(shù)有限公司 | 1.未公開收集使用規(guī)則:App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取個人位置、存儲和電話三項權(quán)限;2.違反必要原則:修改個人信息頭像時需要開啟非最小必要的相機權(quán)限(存儲權(quán)限是最小必要權(quán)限),不給權(quán)限不讓修改;3.未明示收集使用個人信息的目的、方式和范圍:隱私政策未列出獲取相機權(quán)限的目的、方式和范圍;4.收集使用個人信息的目的、方式、范圍發(fā)生變化時,未以適當方式通知用戶。 | |
64 | 口袋助理 | V6.5.0 | 深圳市口袋網(wǎng)絡(luò)科技有限公司 | 1.未公開收集使用規(guī)則:App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取存儲、電話權(quán)限。 | 1.Webview明文存儲密碼風(fēng)險;2.密鑰硬編碼漏洞;3.InnerHTML的XSS攻擊漏洞。 |
65 | 媽媽金融學(xué)院 | V2.8.1 | 廣州普融教育科技有限公司 | 1.App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取存儲權(quán)限。 | 1.Java代碼反編譯風(fēng)險;2.Webview明文存儲密碼風(fēng)險;3.Webview File同源策略繞過漏洞。 |
66 | 美胸匯 | V5.6.0 | 廣州一九九零科技有限公司 | 1.未公開收集使用規(guī)則:App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取位置、電話權(quán)限;2.違反必要原則:App在用戶未使用相關(guān)功能或服務(wù)時,提前申請開啟相機、位置、麥克風(fēng)權(quán)限。 | 1.FFmpeg文件讀取漏洞。 |
67 | 十色成人兩性情趣 | V6.0.1 | 深圳市德他數(shù)據(jù)有限公司 | 1.App未明確告知收集使用電話權(quán)限的目的、方式、范圍;2.違反必要原則:App在用戶未使用相關(guān)功能或服務(wù)時,提前申請開啟撥打電話和相機權(quán)限。 | 1.Activity組件導(dǎo)出風(fēng)險; 2.Service組件導(dǎo)出風(fēng)險。 |
68 | 有車以后 | 4.37.0 | 廣州有車以后信息科技有限公司 | 1.未經(jīng)用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監(jiān)控發(fā)現(xiàn)GET_TASK檢索了應(yīng)用程序。2.超頻獲取電話權(quán)限。 | 1.Root環(huán)境檢測; 2.防截屏檢測; 3.界面劫持安全。 |
69 | 坐車網(wǎng) | 3.18.201551 | 廣州浩寧智能設(shè)備有限公司 | 1.未經(jīng)用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監(jiān)控發(fā)現(xiàn)GET_TASK獲取Android ID、MAC地址。2.超頻獲取電話權(quán)限。3.未提供有效的更正、刪除個人信息及注銷用戶賬號功能。 | 1.Root環(huán)境檢測; 2.敏感信息內(nèi)存加密; 3.防截屏檢測; 4.界面劫持安全; 5.登陸密碼爆破風(fēng)險。 |
70 | 八斗銀 | 2.0.2 | 廣東八斗銀建設(shè)投資集團有限公司 | 1.未明示收集使用個人信息的目的、方式和范圍:申請個人信息權(quán)限或個人敏感信息時未同步告知用戶目的,且隱私政策中也未說明。2.未經(jīng)用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監(jiān)控發(fā)現(xiàn)GET_TASK檢索了應(yīng)用程序、Android ID、MAC地址、ip地址。3.未提供撤回已同意授權(quán)的用戶操作方法。4.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。5.未提供賬號注銷途徑。 | 1.Root環(huán)境檢測; 2.防截屏檢測; 3.界面劫持安全。 |
71 | 高鐵管家 | 7.4 | 深圳市活力天匯科技股份有限公司 | 1.未經(jīng)用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監(jiān)控發(fā)現(xiàn)GET_TASK獲取應(yīng)用程序、Android ID。2.超頻獲取電話權(quán)限。 | 1.Root環(huán)境檢測; 2.界面劫持安全。 |
72 | WiFi管家 | 3.9.6 | 深圳市騰訊計算機系統(tǒng)有限公司 | 1.賬號注銷難:應(yīng)用內(nèi)未發(fā)現(xiàn)注銷賬號功能2.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。 | Webview明文存儲密碼風(fēng)險 |
73 | 廣銀信用卡 | 3.9.4 | 廣州銀行股份有限公司信用卡中心 | 1.未經(jīng)用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監(jiān)控發(fā)現(xiàn)GET_TASK獲取應(yīng)用程序、Android ID、MAC地址、ip地址。2.同意存儲權(quán)限不同意相機權(quán)限無法正常使用更換頭像功能。3.隱私政策未發(fā)現(xiàn)描述響應(yīng)時限的條款。 | |
74 | 蜜桃直播 | 8.17.0 | 廣州市九浚信息技術(shù)有限公司 | 1.未經(jīng)用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監(jiān)控發(fā)現(xiàn)GET_TASK獲取了應(yīng)用程序、Android ID、MAC地址、IMEI。2.主界面四步以內(nèi)未能找到隱私政策。 | 1.Root環(huán)境檢測; 2.防截屏檢測; 3.界面劫持安全; 4.登陸密碼爆破風(fēng)險。 |
75 | 56視頻 | 6.1.8 | 廣州市千鈞網(wǎng)絡(luò)科技有限公司 | 1.未明示收集使用個人信息的目的、方式和范圍:56視頻隱私政策完全調(diào)用搜狐視頻隱私政策,描述完全一致,且未通過自定義彈窗告知索權(quán)目的。2.未經(jīng)用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監(jiān)控發(fā)現(xiàn)GET_TASK檢索了應(yīng)用程序、IP地址、MAC地址、IMEI、IMSI。3.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。 | |
76 | 人氣直播 | 6.2.1 | 深圳市果醬時代科技有限公司 | 1.未明示收集使用個人信息的目的、方式和范圍:隱私政策中未明示手機信息權(quán)限和存儲權(quán)限使用目的,也未使用自定義彈框同步告知目的。2.未經(jīng)用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監(jiān)控發(fā)現(xiàn)GET_TASK檢索了應(yīng)用程序、Android ID、IMSI。3.以默認同意的方式收集個人信息:首次登錄時默認同意隱私政策。4.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。 | 1.敏感信息內(nèi)存加密 ; 2.防截屏檢測; 3.界面劫持安全。 |
77 | 來吼語音 | 1.25.0 | 廣州檸檸網(wǎng)絡(luò)科技有限公司 | 1.未明示收集使用個人信息的目的、方式和范圍:首次運行未以彈窗的方式告知用戶協(xié)議和隱私政策,也未使用自定義彈框同步告知索權(quán)目的。2.未經(jīng)用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監(jiān)控發(fā)現(xiàn)GET_TASK檢索了應(yīng)用程序、Android ID、MAC地址 、ip地址 、IMEI、IMSI。3.以默認同意的方式收集個人信息:首次登錄時默認同意隱私政策。4.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。 | 界面劫持安全 |
78 | 記點點記賬 | 1.9.9 | 廣州小邁網(wǎng)絡(luò)科技有限公司 | 1.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。2.未公開收集使用規(guī)則:App首次運行未彈窗提示用戶閱讀隱私政策。3. 未明示收集使用個人信息的目的、方式和范圍:申請打開可收集個人信息的權(quán)限時,未同步告知用戶其目的。 | |
79 | 廣州農(nóng)商銀行 | 5.5.9 | 廣州農(nóng)村商業(yè)銀行股份有限公司 | 1.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。2.未公開收集使用規(guī)則:App首次運行未彈窗提示用戶閱讀隱私政策。3. 未明示收集使用個人信息的目的、方式和范圍:申請打開可收集個人信息的權(quán)限時,未同步告知用戶其目的。 | |
80 | 極簡記賬 | 1.8.3 | 深圳路得青云信息科技有限公司 | 1.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。2.未公開收集使用規(guī)則:App首次運行未彈窗提示用戶閱讀隱私政策。3. 未明示收集使用個人信息的目的、方式和范圍:申請打開可收集個人信息的權(quán)限時,未同步告知用戶其目的。 | |
81 | 奧買家全球購 | 4.1.4 | 廣東奧園奧買家電子商務(wù)有限公司 | 1.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。2.未公開收集使用規(guī)則:App首次運行未彈窗提示用戶閱讀隱私政策。3. 未明示收集使用個人信息的目的、方式和范圍:申請打開可收集個人信息的權(quán)限時,未同步告知用戶其目的。 | 存在Java代碼反編譯風(fēng)險 |
82 | 恒大財富 | 3.4.3 | 恒大互聯(lián)網(wǎng)金融服務(wù)(深圳)有限公司 | 應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。 | |
83 | 同學(xué)會 | 1.6.9 | 深圳眾海誠信息咨詢服務(wù)有限公司 | 應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。 | |
84 | 全民錢包 | 6.2.1.0 | 廣州市全民錢包科技有限公司 | 應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。 | |
85 | 廣東農(nóng)信 | 3.3.4 | 廣東省農(nóng)村信用社聯(lián)合社 | 1.未公開收集使用規(guī)則:App首次運行未彈窗提示用戶閱讀隱私政策。2. 未明示收集使用個人信息的目的、方式和范圍:申請打開可收集個人信息的權(quán)限時,未同步告知用戶其目的。 | |
86 | 中信證券 | 3.03.029 | 中信證券股份有限公司 | 應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。 | |
87 | 汽修寶 | 5.13.1.2 | 廣州前實網(wǎng)絡(luò)科技有限公司 | 1.應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。2.未公開收集使用規(guī)則:App首次運行未彈窗提示用戶閱讀隱私政策。3. 未明示收集使用個人信息的目的、方式和范圍:申請打開可收集個人信息的權(quán)限時,未同步告知用戶其目的。 | |
88 | 點點 | 3.3.5 | 深圳蜂點科技有限公司 | 應(yīng)用內(nèi)集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。 |
