近期,中國網絡空間安全協會、國家計算機網絡應急技術處理協調中心對“新聞資訊類”公衆大量使用的部分App收集個人資訊情況進行了測試。測試情況及結果如下:
一、測試對象
本次測試選取了19家應用商店⁽¹⁾累計下載下傳量達到1億次的“新聞資訊類”App,共計8款,其基本情況如表1。
表1:8款App基本情況
二、測試方法
(一)測試環境
本次測試選取相同品牌、型号的手機終端,安裝相同版本安卓作業系統,分别部署8款App,在相同網絡環境下進行同步操作。
(二)測試場景
以完成一次新聞資訊浏覽活動作為測試單元,包括啟動App、重新整理首頁新聞、檢視新聞内容、分享新聞連結4種使用者使用場景,以及背景靜默應用場景⁽²⁾。
(三)測試内容
本次測試包括系統權限調用、個人資訊上傳、網絡上傳流量3項内容。
三、測試結果
(一)系統權限調用情況
測試發現,8款App在5種場景下調用了位置、裝置資訊、應用清單、剪切闆4類系統權限,未發現調用相機、麥克風、通訊錄等其他權限。
(1)在啟動App場景中,調用系統權限種類最多的為今日頭條、百度、新浪新聞(均為4類),調用系統權限次數最多的為搜狐新聞(18次)。具體情況如表2。
表2:啟動App場景調用系統權限情況
(2)在重新整理首頁新聞場景中,調用系統權限種類最多的為今日頭條、新浪新聞、網易新聞、趣頭條(均為2類),調用系統權限次數最多的為一點資訊(18次)。具體情況如表3。
表3:重新整理首頁新聞場景調用系統權限情況
(3)在檢視新聞内容場景中,調用系統權限種類和次數最多的均為網易新聞(2類、3次)。具體情況如表4。
表4:檢視新聞内容場景調用系統權限情況
(4)在分享新聞連結場景中,調用系統權限種類和次數最多的均為網易新聞(2類、3次)。具體情況如表5。
表5:分享新聞連結場景調用系統權限情況
(5)在背景靜默場景中,調用系統權限種類最多的為網易新聞和趣頭條(均為3類),調用系統權限次數最多的為網易新聞(5次)。具體情況如表6。
表6:背景靜默場景調用系統權限情況
(二)個人資訊上傳情況
測試發現,8款App上傳了4種類型個人資訊:①位置資訊,包括經緯度、街道位址、目前連接配接Wi-Fi MAC位址、目前連接配接基站資訊、周邊可用Wi-Fi MAC位址;②唯一裝置識别碼,包括IMEI(國際移動裝置識别碼)、Android ID(安卓ID)、OAID(開放匿名裝置辨別符)、手機MAC位址;③應用清單資訊,包括手機上已安裝、新安裝和新解除安裝的應用資訊,自上次使用App以來的應用資訊變化情況(包括更新、安裝和解除安裝);④使用者在App首頁的截圖資訊,包括截圖操作(記錄有截圖動作發生)、截圖内容(截圖産生的圖檔)。
(1)在啟動App場景中,個人資訊上傳種類最多的為百度和新浪新聞(均為3類)。具體情況如表7。
表7:啟動App場景個人資訊上傳情況
(2)在重新整理首頁新聞場景中,個人資訊上傳種類最多的為網易新聞(3類)。具體情況如表8。
表8:重新整理首頁新聞場景個人資訊上傳情況
(3)在檢視新聞内容場景中,個人資訊上傳種類最多的為今日頭條和網易新聞(均為2類)。具體情況如表9。
表9:檢視新聞内容場景個人資訊上傳情況
(4)在分享新聞連結場景中,個人資訊上傳種類最多的為網易新聞(2類)。具體情況如表10。
表10:分享新聞連結場景個人資訊上傳情況
(5)在背景靜默場景中,個人資訊上傳種類最多的為今日頭條、新浪新聞、網易新聞、趣頭條(均為2類)。具體情況如表11。
表11:背景靜默場景個人資訊上傳情況
(三)網絡上傳流量情況
(1)8款App在使用者完成一次新聞資訊浏覽活動(啟動App、重新整理首頁新聞、檢視新聞内容、分享新聞連結)時,上傳資料流量平均⁽³⁾最多的為新浪新聞,約為1200KB;平均最少的為一點資訊,約為195KB。具體情況如圖1。
圖1 完成一次新聞資訊浏覽活動的平均上傳資料流量(機關:KB)
(2)8款App背景靜默12小時,上傳資料流量平均⁽⁴⁾最多的為今日頭條,約為1301KB;平均最少的為百度,約為154KB。具體情況如圖2。
圖2 背景靜默12小時平均上傳資料流量(機關:KB)
注釋:
⁽¹⁾包括華為應用市場、小米應用商店、騰訊應用寶、OPPO軟體商店、VIVO應用市場、360手機助手、百度手機助手、豌豆莢手機助手、曆趣應用商店、樂商店、魅族應用商店、移動MM商店、太平洋下載下傳、中關村線上、木螞蟻安卓應用市場、多特軟體站、華軍軟體園、西西軟體園、綠色資源網。
⁽²⁾啟動App指使用者點選圖示啟動App至首頁加載完畢;重新整理首頁新聞指使用者在首頁重新整理一次新聞清單;檢視新聞内容指使用者點選清單中的一條具體新聞,至該條新聞内容加載完畢;分享新聞連結指使用者在新聞内容頁面上進行一次分享操作,将新聞其它平台;背景靜默指使用者啟動App後,直接切換到背景保持靜默狀态。
⁽³⁾共重複測試10次。
⁽⁴⁾共重複測試10次。
來源:微信公号“國家網際網路應急中心CNCERT”
流程編輯:TF016