安天移动安全：重视用户个人信息保护，是 App 长效发展的关键

网络赚钱,作为一种新兴的赚钱方式已经被越来越多的人接受,也被越来越多的人认可。也正因此,网络赚钱App打着"做任务赚佣金,边玩手机边赚钱"等口号吸引了不少用户注册使用。

据相关数据显示,仅2018年网络赚钱App影响用户量即高达2.5亿。另外,网络赚钱App在下沉城市更受欢迎,其中00后用户占比为24%,高于全部网民中00后占比。

据"App治理工作组"2020年7月披露的信息:App专项治理工作组"App个人信息举报"举报平台收到的有效举报信息中,近期内涉及"网络赚钱"类App的举报信息就高达200余条,大部分都涉及利用套路骗取个人信息等问题。

2020年"3.15晚会"上,就对"边玩手机边赚钱"的App和网页工具等进行了曝光,发出了预警,App专项治理工作组也曾提醒广大网友一定要擦亮眼睛,保持清醒,个人信息一旦流入不法分子手中,则很难彻底追回,可能长期影响生活。

现象:网络赚钱App中广泛存在危害用户个人信息的行为

5G移动互联时代,个人数据出现了爆发性增长,各行业从业者利用以App为主的信息技术载体,通过数据采集、大数据分析、人物画像等技术,赋能自身业务,获得了可观的商业利益。但在对个人数据大规模采集的同时,也随之产生了相关的数据安全问题,特别是如何保护敏感的个人隐私数据。

政府监管部门对此高度重视,制定了一系列法律法规,要求相关从业者合法合规的采集、存储、使用个人数据,保障用户的隐私和权益。然而,当前大量风险App存在对个人信息过度采集、不安全的存储、传播售卖滥用、恶意推送、功能欺诈等行为,威胁着移动生态健康发展。

为应对以上问题,在持续关注和披露当前移动应用侵害用户权益行为的过程中,安天移动安全风险检测预警平台发现网络赚钱类App影响用户量较大,其中较活跃的App月活可达500万以上。安天移动安全大白鹅团队针对几款下载量较高的网络赚钱类APP,进行了用户个人信息安全的相关跟踪分析。

我们发现,网络赚钱App中广泛存在危害用户个人信息的行为,包括过度收集与当前业务功能场景无关的权限、频繁请求用户已拒绝的权限且在用户拒绝后无法使用应用等现象,影响用户正常使用的同时,也对用户个人信息安全造成威胁。

下文将对网络赚钱App过度收集权限、拒绝非必要权限后反复弹窗申请且拒绝后无法使用App的两类主要问题进行分析。

威胁个人信息安全的相关行为

01过度收集与当前业务功能场景无关的权限

我们发现,在用户首次进入时,App会向用户申请获取拨打电话的权限,而在相关隐私政策中并未说明申请直接拨打电话权限的用途和具体功能。

今年3月,由国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合发布《常见类型移动互联网应用程序必要个人信息范围规定》,明确移动互联网应用程序(App)运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务。《常见类型移动互联网应用程序必要个人信息范围规定》中明确规定"网上购物类,基本功能服务为"购买商品",必要个人信息包括:1.注册用户移动电话号码;2.收货人姓名(名称)、地址、联系电话;3.支付时间、支付金额、支付渠道等支付信息。"

如根据规定判断,该应用作为一个特价购物类应用,申请直接拨打电话权限已经超出必要个人信息范围,是不合规的。

02频繁请求用户已拒绝的权限且在用户拒绝后无法使用应用

我们发现用户在拒绝非必要权限申请后,App仍会频繁弹窗反复申请该权限,直到用户同意;而在用户持续拒绝后将无法正常使用App。

《常见类型移动互联网应用程序必要个人信息范围规定》中明确规定"网络游戏类,基本功能服务为"提供网络游戏产品和服务",必要个人信息为:注册用户移动电话号码。"今年4月,在国家互联网信息办公室的统筹指导下,工业和信息化部会同公安部、市场监管总局起草的《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》也规定了:"用户拒绝相关授权申请后,不得强制退出或者关闭App,不得提前申请超出其业务功能或者服务外的权限,不得利用频繁弹窗反复申请与当前服务场景无关的权限"。

如根据相关规定判断,下述App作为游戏类应用,申请位置权限的行为以及用户拒绝后反复弹窗申请直至用户同意才能使用应用的行为都是不合规的。

应用举例:"**餐厅"和"**花园"

如下图所示,应用申请定位权限,用户拒绝后仍然会反复弹窗申请权限直到用户同意才可以使用该应用。而在隐私政策中,该应用明确说明拒绝定位权限后不影响其正常使用。实际情况与描述不符。

大白鹅团队针对以上问题进行了技术分析:

应用启动时进入SplashActivity,会执行a方法判断权限是否已同意,没有同意的权限加入申请list,如果list为空则跳转到afterPermissionGranted展示正常界面。

list不为空时跳转requestPermissions方法进行权限申请,该方法最终调起a方法申请权限,直到权限全部同意后展示正常登录界面。

应用"**消消乐"

如下图所示,该应用以推广信息为由申请非必要权限,用户拒绝后反复弹窗请求权限,拒绝6次后无法正常使用该应用。"**消消乐"作为一款游戏应用,按照《常见类型移动互联网应用程序必要个人信息范围规定》相关规定,个人信息收集的范围应该是围绕用户注册相关的如移动电话号码,而该应用运行中还申请位置权限,收集用户位置信息,超出了个人信息收集范围。

大白鹅团队针对以上问题进行了技术分析:

应用启动后进入MainActivity调用a方法,该方法实现了权限申请的逻辑,首先判断当前是第几次申请权限,如果低于6次则继续申请,然后判断当前时间距上次请求时间,若大于0.6秒判断获取IMEI号,位置和存储三种权限的状态是否已同意,未同意的权限加入请求list继续请求直到请求list为空,请求同意后跳转afterPermissionGranted方法,获取用户的IMEI号、运营商和位置等信息并初始化界面。如果用户拒绝次数大于6次,无法初始化,会展示空白界面,应用无法正常使用。

重视用户个人信息保护助力移动安全生态纯净健康发展

移动App危害用户个人信息安全的行为不仅会导致行业劣币驱逐良币的畸形格局,伤害整个行业生态的可持续发展,还会侵害用户的合法权益,成为行业从流量变现走向通过高质量服务进行增值变现道路上的绊脚石。当前,无论是监管部门、手机厂商还是安全厂商都在持续关注侵害用户权益的行为,网络赚钱App只有将用户个人信息安全放在第一位,不断为用户提供更优质的产品和服务,才是可持续的、长久的生存之道。

移动互联网生态良性有序发展离不开行业相关规范和标准的引导,以及海量发现、关口前移的技术手段进行治理和约束,建立健全相关行业标准规范,通过技术手段强化监管能力,提高从业者的自律性。

安天移动安全拥有十余年移动安全技术积累,能对App违规行为准确有效进行追踪溯源,准确定位恶意代码、模块、SDK等,通过技术手段配合相关监管单位按照法律法规和标准规范的要求,助力移动安全生态纯净健康发展,为广大人民过上美好幸福生活贡献力量。