叮～11月安全专项评测报告火热出炉

一、11月测试情况回顾

11月共检测951款应用，未达标应用259款，其中208款应用未通过安全标准检测，占未达标应用的80.3%。应用高危权限使用不当、存在隐私违规行为，依旧是导致安全标准未通过的主要原因，分别占未通过安全检测应用总数的70.2%、38.5%。

二、数据分析

在隐私检测项中发现，违规收集个人信息的应用占比最高，为76.3%，典型场景为隐私政策中未清晰明示第三方SDK收集和处理数据的目的、方式和范围，常见的包括同盾、快手等SDK获取GPS定位信息、IMEI、MAC信息等。

超范围收集个人信息、过度申请权限分别占比为15%、12.5%，其中过度申请权限高频表现为应用申请无关权限，如部分游戏、金融、社交通讯类应用启动即索要位置权限及存储权限等。

对于高危权限检测项，应用违规调用android.permission.CALL_PHONE（拨打电话）权限占比为69%。对于拨打电话功能，除一键报警、安全专线、网络会议等必须场景外，其他场景禁止申请android.permission.CALL_PHONE权限。其次是android.permission.BIND_ACCESSIBILITY_SERVICE权限，占比为23%。仅限APP实现支持无障碍功能情况下，可以申请使用此权限，如针对视障人士的屏幕朗读功能，其他场景一律禁用该权限！

三、典型案例分析及解决方案

1.某游戏类APP《用户隐私政策》内容版本不一致

问题应用：侠×风云

版本号：4.2.8

具体问题：测试人员在浏览《用户隐私政策》的场景下，未登录账号前，打开《用户隐私政策》显示更新/生效时间是2022年6月15日。账号登录成功后，再次点击《用户隐私政策》，发现更新/生效时间是2022年9月20日，出现了内容版本不一致情况。

解决方案：隐私政策所涉及事项发生变化时，开发者应及时上传、同步更新隐私政策，并保证版本一致。涉及到重大变更的，还需要及时、重新告知个人信息主体，以显著方式提醒个人信息主体更新内容，可保留旧版隐私政策供个人信息主体对比，该显著方式包括但不限于发布公告等。

2.某影音娱乐类APP滥用

android.permission.BIND_ACCESSIBILITY_SERVICE权限

问题应用：糖×

版本号：7.9.2

具体问题：测试人员在遍历APP功能时，在测试工具中监控到该APP在无合理场景的情况下，滥用android.permission.BIND_ACCESSIBILITY_SERVICE权限。同时在“权限申请与使用情况说明”中，未清晰明示此权限的使用场景与目的。

该APP权限申请与使用情况说明↑

解决方案：仅限APP实现支持无障碍功能情况下，可以申请使用此权限，如针对视障人士的屏幕朗读功能，其他场景一律禁用该权限！在无合理场景的情况下，请开发者直接删除此权限，避免权限检测时出现异常。

3.某购物比价类APP违规收集个人信息

问题应用：山×会员商店

版本号：5.0.65

具体问题：测试人员在遍历APP功能时，发现APP存在调用“同盾”第三方SDK获取系统安装的应用程序、GPS定位信息、IMEI、IMSI等信息的行为，而在隐私政策中未清晰明示获取这些信息的目的、方式和范围。

解决方案：APP必须以个人信息处理规则弹窗等形式向用户明示第三方SDK处理个人信息的目的、方式和范围。请开发者在用户隐私政策等公示文本中逐一罗列App所集成第三方SDK收集使用个人信息的目的、方式和范围，并征得用户同意。

END