当前位置:网站首页 > 黑客培训 > 正文

王者荣耀正在读取你的短信?百款App权限大曝光

freebuffreebuf 2019-05-30 298 0

本文来源:

近日,国家网信办发布了《百款常用App申请收集使用个人信息权限情况》,针对与个人信息密切相关的26个重点权限,统计了百款常用App申请权限以及强制开启的权限情况,目的是让网民使用App时,“装”得明白,“用”得放心。浏览完列表,安数君发现手机里装的App全部在列:360手机卫士过于优秀,腾讯管家紧跟其后,百度网盘也不甘示弱,意外的是手机营业厅、金融借贷类App也比较突出,让人吃惊的是搜狗输入法、王者荣耀、乐视视频可以读取手机的短信。

百款常用App申请收集使用个人信息权限情况

在中央网信办、工信部、公安部、市场监管总局指导下,App专项治理工作组开通了违法违规收集使用个人信息举报渠道,认真受理网民举报。期间,工作组收到大量关于App强制、超范围索要权限等举报信息。规范App申请收集使用个人信息相关权限,对于加强App个人信息保护具有重要意义。权限是操作系统内置的访问控制机制。安卓(Android)操作系统通过权限来控制App对系统资源和个人信息的访问使用。App只有在系统层面获取了某项权限,才能执行与该权限有关的操作。例如,App获取READ_CONTACTS(读通讯录)权限,就能读取手机的通讯录信息;获取ACCESS_FINE_LOCATION(访问精准位置)权限,就能得到手机的精确位置信息。

目前常用的原生安卓操作系统有26个重点权限与个人信息收集使用密切相关。为让公众直观了解常用App申请收集使用个人信息权限情况,App专项治理工作组对下载量大的100款App申请权限以及强制开启的权限进行了分析统计,现予以公布。

附:百款常用App申请收集使用个人信息权限列表

App专项治理工作组

2019年5月24日

百款常用App申请收集使用个人信息权限列表

App收集个人信息的行为是否违法违规?

上面我们看到,常用的App都存在收集用户个人信息的行为,其中有合理合法的收集行为,也包含了强制授权、过度索权、超范围收集个人信息等越权问题,那么如何判定App收集个人信息的行为属于违法违规?

最新的《App违法违规收集使用个人信息行为认定方法(征求意见稿)》给出了答案:

App违法违规收集使用个人信息行为认定方法(征求意见稿)

  落实《关于开展App违法违规收集使用个人信息专项治理的公告》,依据《网络安全法》等法律法规,参照国家标准《个人信息安全规范》,制定本文件。

一、没有公开收集使用规则的情形

  1.没有隐私政策、用户协议,或者隐私政策、用户协议中没有相关收集使用规则的内容;

  2.在App安装、使用等过程中均未通过弹窗、链接等方式提示用户阅读隐私政策,或隐私政策链接无效、文本无法正常显示;

  3.进入App主功能界面后,多于4次点击、滑动才能访问到隐私政策;

  4.其他违反公开收集使用规则要求的情形。

二、没有明示收集使用个人信息的目的、方式和范围的情形

  1.收集使用信息的目的违反合法、正当、必要原则,如仅仅以改善程序功能、提高用户体验、定向推送等为目的收集用户个人信息;

  2.没有逐一列出收集个人信息的类型、频率,特别是针对个人敏感信息;

  3.收集使用个人信息的目的、方式和范围发生变化,未以适当方式通知用户,适当方式包括更新隐私政策并提醒用户重新阅读授权等;

  4.在申请可收集个人信息的权限时,未告知收集使用的目的,如在申请调阅通讯录时没有说明原因;

  5.每次要求用户提供个人敏感信息时,如身份证号、银行卡号等,未同步实时说明原因;

  6.有关收集使用规则的内容晦涩难懂、冗长繁琐;

  7.其他没有明示收集使用个人信息的目的、方式和范围的情形。

三、未经同意收集使用个人信息的情形

  1.未经同意就开始收集个人信息,如App首次运行、提示用户阅读隐私政策前就开始收集个人信息;

  2.用户明确拒绝后,仍收集个人信息,如用户不同意被收集地理位置信息时仍然收集;

  3.实际收集使用的个人信息超出用户授权的范围;

  4.利用用户信息和算法定向推送新闻、广告等,未提供终止定向推送的选项;

  5.未经用户同意,私自调用可收集用户个人信息权限;

  6.在未打开或使用App时,App后台调用用户个人信息;

  7.未经用户同意私自更改用户设置的权限,包括App更新时将用户设置的权限恢复到默认状态;

  8.用户明确拒绝App收集个人信息请求,App仍频繁征求用户同意,干扰用户正常使用;

  9.违背与用户约定,不按隐私政策中的收集使用规则收集使用个人信息;

  10.其他未经同意收集使用个人信息的情形。

四、违反必要性原则,收集与其提供的服务无关的个人信息的情形

  1.实际收集的个人信息类型与现有业务功能无关,无关是指该类信息并非实现现有业务功能所必需;

  2.在用户使用业务功能时,收集个人信息的频率等超出所使用的业务功能需要;

  3.捆绑多项业务功能一揽子征求用户同意,不同意则不提供任何单一服务;

  4.当用户拒绝某一业务功能收集个人信息的请求时,App停止提供其他业务功能;

  5.如提供未经注册即可使用(如支持浏览、游客模式)的业务功能,用户若不同意收集此类业务功能所需以外的个人信息,App拒绝提供所有服务;

  6.新增业务功能时,需收集的个人信息超出原有同意范围,如用户不同意收集,则拒绝提供原有业务功能,新增业务功能将取代原有业务功能的除外;

  7.申请打开可收集无关信息的权限;

  8.其他收集与其提供的服务无关的个人信息的情形。

五、未经同意向他人提供个人信息的情形

  1.未经同意,且未做匿名化处理,从客户端直接向第三方提供个人信息,包括App客户端嵌入第三方代码、插件(如sdk)等方式向第三方提供;

  2.数据传输至App服务器后,未经同意,且未经匿名化处理,向第三方提供其收集的个人信息;

  3.其他未经同意向他人提供个人信息的情形。

六、未按法律规定提供删除或更正个人信息功能的情形

  1.未提供更正、删除个人信息,注销用户账号的功能;

  2.对于提供在线操作方式、客服电话、电子邮件等方式的,进行相关操作未响应的;

  3.需人工处理的,受理后未在承诺时限内(无承诺时限的,以15个工作日为限)完成核查和处理的;

  4.更正、删除或注销操作提示完成后,依然未能更正、删除个人信息,注销用户账号的;

  5.其他未采取措施予以删除或者更正的情形。

七、侵犯未成年人在网络空间合法权益的情形

  1. 未经监护人同意,收集使用14 周岁以下(含)未成年人个人信息;

  2. 未经监护人同意,利用14 周岁以下(含)未成年人信息和算法开展个性化推送新闻、时政信息、广告等定向推送活动。

发现App违规?可以举报!

今年初,中央网信办、工信部、公安部、市场监管总局指导成立了App违法违规收集使用个人信息专项治理工作组,在全国范围内组织开展App违法违规收集使用个人信息专项治理行动。

今年3月份,工作组开通了微信公众号“App个人信息举报”和举报专用邮箱(pip@tc260.org.cn),大家发现了App违法违规收集使用个人信息行为可以举报。

截至4月16日,举报信息超过3480条,其中实名举报1040余条,涉及1300余款App。被举报App主要集中在金融借贷、社区社交、网上购物、短视频与直播、即时通讯等领域。


部分文字、图片来自网络,如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。电话:400-869-9193  负责人:张明


及时掌握网络安全态势  尽在傻蛋联网设备搜索系统

【网络安全监管部门】免费试用→→点击申请

更多安全资讯请关注:

微信公众号 安数网络;新浪微博 @傻蛋搜索

转载请注明来自网盾网络安全培训,本文标题:《王者荣耀正在读取你的短信?百款App权限大曝光》

标签:网信办APP个人信息收集APP专项整治

关于我

欢迎关注微信公众号

关于我们

网络安全培训,黑客培训,渗透培训,ctf,攻防

标签列表