(ChinaZ.com) 11月26日 消息:據網信廣東公眾號消息,近日,廣東省通信管理局累計檢測5千余款App,共發現疑似存在問題App237款,經核驗確定問題App88款,對其中“紅娘婚戀”等85款App運營者發出《違法違規App處置通知》責令限期改正并通知各應用商店督促整改,對問題突出的“捷停車”“駕考家園”“凱立德導航”3款App運營企業做出警告并罰款的行政處罰決定。
廣東省通信管理局表示,被查處的App存在兩方面問題,一是App及其后臺服務器存在“明文存儲密碼”“反編譯”“SQL注入”等數據安全隱患問題;二是違反用戶個人信息保護規定,包括“未公開明示收集規則”“默認勾選同意隱私協議”“未列明所集成SDK及其采集信息”“為注銷賬號、刪除個人信息設置障礙”“未經用戶同意共享給第三方”等侵犯用戶對其個人信息處理享有的知情權、決定權,以及違反最小必要原則超前、超需、超頻索取權限或采集信息,甚至不給必需權限不讓用等強迫行為。
其中,被予以行政處罰的“捷停車”App存在侵害用戶權益的問題較為典型,其中最為突出的問題是:為用戶注銷賬號設置過多不合理的障礙。對此,廣東省通信管理局約談了捷停車App運營公司的負責人,對該公司做出給予警告并罰款兩萬元的行政處罰,同時報請工業和信息化部納入電信業務經營不良名單。
據存在問題App名單顯示,NOW直播、唯品會、迅雷、布卡漫畫、湯姆貓跑酷、神廟逃亡2、地鐵跑酷等APP上榜。
序號 | App名稱 | 版本號 | 企業名稱 | 侵害用戶權益問題 | 安全隱患問題 |
1 | 駕考家園 | 6.1 | 廣州先睿數碼科技有限公司 | 1.“未公開收集使用規則”:App首次運行未經用戶閱讀隱私政策,就申請獲取存儲、電話、麥克風、相機和位置五項權限;2.“未明示收集使用個人信息的目的、方式和范圍”:隱私政策中沒有說明獲取相機和麥克風權限的目的、方式、范圍;應用內集成多個第三方SDK,且未在隱私政策中聲明;3.“未經用戶同意收集使用個人信息”:征得用戶同意前就開始收集個人信息(Android ID、MAC地址等);以默認方式同意隱私政策。 | |
2 | 捷停車 | 4.2.0 | 深圳市順易通信息科技有限公司 | 1.“違反必要原則收集個人信息”:在用戶未使用相關功能或服務時,提前申請開啟相機權限;2.“未明示收集使用個人信息的目的、方式和范圍”:隱私政策中沒有列出獲取存儲、相機和撥打電話權限的目的、方式、范圍,應用內集成多個第三方SDK,且未在隱私政策中聲明;3.“賬號注銷難”:為注銷用戶賬號設置不必要或不合理條件。 | |
3 | 凱立德導航 | 8.4.2 | 深圳市凱立德欣軟件技術有限公司 | 1.未明示收集使用個人信息的目的、方式和范圍:App申請使用相機、麥克風和通信錄三項權限,超出隱私政策用戶授權范圍;2.應用內集成多個可收集用戶個人信息的第三方SDK,且未在隱私政策中聲明。 | |
4 | 千聊 | V4.2.7 | 廣州思塢信息科技有限公司 | 1.以默認方式同意隱私政策;2.違反必要原則:App在用戶未使用相關功能或服務時,提前申請開啟相機、麥克風權限;3.投訴、舉報承諾處理時限過長:個人信息安全投訴、舉報渠道的承諾處理時限(三十天)超過15個工作日。 | |
5 | KingRoot | 5.4.0 | 廣州云訊信息科技有限公司 | 1.未公開收集使用規則:App中未發現隱私政策;2.未經用戶同意收集使用個人信息:未經用戶閱讀隱私政策并征的同意前,應用就申請獲取拍照、存儲和讀取電話狀態權限;3.超范圍收集個人信息:應用申請使用拍照權限,超出隱私政策用戶授權范圍;4.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。 | |
6 | 向日葵保險 | 4.50.0 | 廣州向日葵信息科技有限公司 | 1.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;2.頻繁索取存儲權限:用戶明確表示不同意后,仍頻繁征求用戶同意、干擾用戶正常使用; | 1.Java代碼反編譯風險; 2.Webview明文存儲密碼風險; 3.Webview File同源策略繞過漏洞。 |
7 | 花生日記 | 4.7.8 | 廣州花生日記網絡科技有限公司 | 1.未經用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監控發現獲取GET_TASK檢索了應用程序、Android ID、MAC地址、IMEI、IMSI;2.違反必要原則:更換頭像時只同意存儲權限不同意相機權限無法正常使用;3.隱私政策中未逐一列出第三方SDK收集個人信息的目的、方式、范圍。 | 1.Activity組件導出風險; 2.Service組件導出風險。 |
8 | 夸克 | 4.2.5.140 | 優視科技(中國)有限公司 | 1.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。 | 1.Java代碼反編譯風險; 2.Janus簽名機制漏洞; 3.Webview明文存儲密碼風險。 |
9 | NOW直播 | 1.54.5.14 | 深圳市騰訊計算機系統有限公司 | 1.超范圍收集個人信息:應用申請使用拍照權限,超出隱私政策用戶授權范圍;2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。 | |
10 | 全民電視直播 | 4.8.3 | 珠海星動技術咨詢有限公司 | 1.未經用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監控發現獲取GET_TASK檢索了應用程序、Android ID、MAC地址 、IMEI、IMSI;2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;3.違反必要原則:“用戶反饋”圖片時只同意存儲權限不同意相機權限,拒絕提供業務功能。 | 1.FFmpeg文件讀取漏洞; 2.WebSQL注入漏洞; 3.InnerHTML的XSS攻擊漏洞。 |
11 | 唯品會 | 7.28.3 | 廣州唯品會電子商務有限公司 | 1.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。 | 1.Webview明文存儲密碼風險; 2.Webview File同源策略繞過漏洞。 |
12 | 迅雷 | 7.05.0.7076 | 深圳市迅雷網文化有限公司 | 1. App未明確告知收集使用讀取聯系人權限的目的、方式、范圍;2.隱私政策中未逐一列出第三方SDK收集個人信息的目的、方式、范圍。 | |
13 | 金十數據 | 4.7.1 | 廣州金十信息科技有限公司 | 1.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;2.不給權限不讓用:用戶拒絕授予獲取電話狀態和訪問外部存儲權限后,無法使用應用。 | 1.InnerHTML的XSS攻擊漏洞。 |
14 | 布卡漫畫 | 2.4.1.7 | 珠海布卡科技有限公司 | 1.不給權限不讓用:用戶拒絕授予訪問外部存儲權限后,無法使用應用. | 1.Webview明文存儲密碼風險; 2.Webview File同源策略繞過漏洞; 3.密鑰硬編碼漏洞。 |
15 | 愛拍 | 5.3.4.912 | 廣州愛拍網絡科技有限公司 | 1.未公開收集使用規則:App首次運行未經用戶閱讀隱私政策,就申請獲取存儲和電話權限;2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;3.不給權限不讓用:用戶不同意開啟非App運行最小必要的電話權限,App無法使用。 | 1.Webview明文存儲密碼風險; 2.Webview File同源策略繞過漏洞。 |
16 | MAKA | 5.21.6 | 深圳格萊珉文化傳播有限公司 | 1.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;2.App首次運行未經用戶閱讀隱私政策,就申請獲取存儲和電話權限。 | |
17 | 時代財經 | 3.4.4 | 廣東時代傳媒有限公司 | 1.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;2.超范圍收集個人信息:應用申請使用相機權限,超出隱私政策用戶授權范圍。 | 1.InnerHTML的XSS攻擊漏洞。 |
18 | 微商相冊 | v2.7.12.05221404 | 深圳市微購科技有限公司 | 1.私自共享給第三方:應用內集成多個第三方SDK,且未在隱私政策逐一說明會向第三方共享信息;2.不給權限不讓用:用戶拒絕授予訪問外部存儲權限后,無法使用應用。 | 1.應用數據任意備份風險; 2.剪切板敏感信息泄露漏洞。 |
19 | 迷人直播 | V8.2.1 | 深圳恩斯洛格科技有限公司 | 1.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;2.違規向他人提供個人信息:未經用戶同意,App向接入的第三方mPush魔推SDK提供用戶android id、IMEI、Mac地址等個人信息;3.違反必要原則:App在用戶未使用相關功能或服務時,提前申請開啟位置、電話權限;4.不給權限不讓用:用戶不同意開啟非App運行最小必要的位置、電話權限,App無法使用;5.未按法律規定提供刪除或更正個人信息功能:更正、刪除個人信息、注銷用戶賬號的承諾時限(30天)超過15個工作日,個人信息安全投訴、舉報渠道的承諾處理時限亦超過15個工作日。 | |
20 | 西瓜影音播放器 | 1.0.4 | 深圳鄉里云網絡科技有限公司 | 1.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;2.未公開收集使用規則:App首次運行未經用戶閱讀隱私政策,就申請獲取存儲和電話權限。 | 1.Webview明文存儲密碼風險; 2.Webview File同源策略繞過漏洞。 |
21 | 小7手游 | 4.999X.99PERMISSION.1986 | 深圳尚米網絡技術有限公司 | 1.超范圍收集個人信息:應用申請使用麥克風權限,超出隱私政策用戶授權范圍;2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;3.不給權限不讓用:用戶不同意開啟非App運行最小必要的電話權限,App無法使用。 | |
22 | 絲瓜視頻 | 4.5.11 | 深圳美明贊文化傳播有限公司 | 1.未逐一列出第三方SDK收集使用個人信息的目的、方式、范圍等;2.個人信息安全投訴、舉報渠道的承諾處理時限(30天)超過15個工作日。 | 1.Java代碼反編譯風險; 2.Webview明文存儲密碼風險; 3.Webview File同源策略繞過漏洞。 |
23 | 快貓 | 5.4.3 | 深圳市禾火網絡科技有限公司 | 1.未按法律規定提供刪除或更正個人信息功能;2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。 | 1.Webview明文存儲密碼風險; 2.Webview File同源策略繞過漏洞; 3.密鑰硬編碼漏洞。 |
24 | 我的安吉拉 | 4.6.2.1037 | 廣州金科文化科技有限公司 | 1. App未明確告知收集使用拍照權限的目的、方式、范圍;2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。 | 1.存在應用備份風險; 2.存在Java代碼反編譯風險。 |
25 | 湯姆貓跑酷 | 4.4.1.491 | 廣州金科文化科技有限公司 | 1.App未明確告知收集使用拍照權限的目的、方式、范圍;2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。 | 1.存在應用備份風險; 2.存在Java代碼反編譯風險。 |
26 | 老黃歷通勝-日歷萬年歷擇日 | 5.9.0 | 廣東靈機文化傳播有限公司 | 1.App未明確告知收集使用拍照、麥克風和電話權限的目的、方式、范圍;2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息; | 1.存在Java代碼反編譯風險。 |
27 | 企鵝電競 | 6.2.0.516 | 深圳市騰訊計算機系統有限公司 | 1.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;2.超范圍收集個人信息:應用申請使用相機權限,超出隱私政策用戶授權范圍。 | Webview明文存儲密碼風險 |
28 | 九游 | 7.2.3.2 | 廣州愛九游信息技術有限公司 | 1.App未明確告知收集使用讀取日程提醒權限的目的、方式、范圍;2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。 | |
29 | 幫購 | 3.2.2.r | 深圳市幫購科技有限公司 | 1.未公開收集使用規則:App中未發現隱私政策;2.不給權限不讓用:用戶拒絕授予讀取電話狀態、拍照、獲取位置信息、訪問外部存儲和讀取短信內容權限后,無法使用應用。 | 1.存在Java代碼反編譯風險。 |
30 | 時空獵人 | 5.1.1120 | 廣州銀漢科技有限公司 | 1.未公開收集使用規則:App首次運行未經用戶閱讀隱私政策,就申請獲取讀取電話狀態權限;2.App未明確告知收集使用讀取短信內容權限的目的、方式、范圍;3.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。 | 1.存在應用備份風險; 2.存在Java代碼反編譯風險。 |
31 | 洪銦八字算命 | 12.7.8 | 廣州洪銦信息科技有限公司 | 1.私自共享給第三方:應用內集成第三方SDK,且未在隱私政策逐一說明會向第三方共享信息;2.App以默認方式同意隱私政策。 | 1.存在應用備份風險。 |
32 | 唯彩看球 | 5.7.4 | 廣州唯彩會網絡科技有限公司 | 1.App未明確告知收集使用拍照權限的目的、方式、范圍;2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。 | 1.存在應用備份風險; 2.存在Java代碼反編譯風險。 |
33 | 神廟逃亡2 | 5.5.0 | 深圳市創夢天地科技有限公司 | 1.未經用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監控發現獲取GET_TASK檢索了應用程序、Android ID、MAC地址、ip地址;2.電話權限超頻獲取;3.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;4.未按法律規定提供刪除或更正個人信息功能。 | |
34 | 地鐵跑酷 | 3.10.0 | 深圳市夢域科技有限公司 | 1.App首次運行未經用戶閱讀隱私政策,就申請獲取電話、相機、位置、存儲、麥克風和撥打電話權限;2.未經用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監控發現獲取GET_TASK檢索了應用程序、Android ID、MAC地址、ip地址3.電話權限超頻獲取4.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;5.未按法律規定提供刪除或更正個人信息功能。 | |
35 | 瀏覽器 | 8.3.11.0 | 深圳市艾酷通信軟件有限公司 | 1.App未明確告知收集使用相機、麥克風權限的目的、方式、范圍;2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。 | 1.存在Java代碼反編譯風險。 |
36 | 萬聯證券股票開戶 | 3.3.8 | 萬聯證券股份有限公司 | 1.App首次運行未經用戶閱讀隱私政策,應用就申請獲取相機、錄音、存儲和位置信息權限;2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。 | 1.存在Java代碼反編譯風險。 |
37 | 富途牛牛 | 10.17.1252 | 深圳市富途網絡科技有限公司 | 1應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;2.未經用戶閱讀隱私政策,應用就申請獲取存儲權限;3.個人信息安全投訴、舉報渠道的承諾處理時限(30天)超過15個工作日 | |
38 | 立刷 | 3.1.3 | 嘉聯支付有限公司 | 1.App未明確告知收集使用麥克風權限的目的、方式、范圍;2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。 | 1.存在應用備份風險; 2.存在Java代碼反編譯風險。 |
39 | 立刷商戶版 | 2.4.3 | 嘉聯支付有限公司 | 1.App未明確告知收集使用麥克風權限的目的、方式、范圍;2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。 | 1.存在Java代碼反編譯風險。 |
40 | 中郵錢包 | 2.8.6 | 中郵消費金融有限公司 | 1.App未明確告知收集使用麥克風權限的目的、方式、范圍 | |
41 | 順豐金融 | V4.3.2 | 深圳市順恒融豐投資有限公司 | 1.App未明確告知收集使用短信和日歷權限的目的、方式、范圍;2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;3.未經用戶閱讀隱私政策,應用就申請獲取位置信息、相機、存儲、麥克風和電話狀態信息權限。 | 1.存在Java代碼反編譯風險。 |
42 | 樂刷商務版 | 6.0.0 | 深圳市移卡科技有限公司 | 1.未經用戶閱讀隱私政策,應用就申請獲取讀取位置、存儲和電話三項權限;2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。 | |
43 | 心語語音聊天交友 | 1.4.0 | 惠州市屹立信息技術有限公司 | 1.未經用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監控發現獲取GET_TASK檢索了應用程序、Android ID、IP地址、MAC地址、IMEI、IMSI;2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。 | |
44 | 錢盒商戶通 | 5.0.4 | 深圳盒子信息科技有限公司 | 1.App未明確告知收集使用相機權限的目的、方式、范圍;2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;3.賬號注銷難:為注銷用戶賬號設置不必要或不合理條件。 | |
45 | 房貸計算器 | 1.3.6 | 深圳市中龍信息科技有限公司 | 1.未經用戶閱讀隱私政策,應用就申請獲取電話狀態信息權限;2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;3.更正、刪除個人信息難:更正、刪除個人信息的人工處理承諾時限(三十天)超過15個工作日;4.投訴、舉報承諾處理時限過長:個人信息安全投訴、舉報渠道的承諾處理時限(三十天)超過15個工作日。 | |
46 | 飛貸 | 6.5.9 | 深圳中興飛貸金融科技有限公司 | 應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。 | |
47 | 我要自學網 | 1.7.5 | 佛山市豐智勝教育咨詢服務有限公司 | 1.未經用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監控發現獲取Android ID、MAC地址、IMEI、IMSI;2.存在嵌入第三方代碼、插件等方式通過App客戶端直接收集個人信息的情況,且在使用過程中未明確告知用戶;3.未按法律規定提供刪除或更正個人信息功能。 | |
48 | 三國志幻想大陸 | 1.2.12 | 深圳市豆悅網絡科技有限公司 | 1.未經用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監控發現獲取GET_TASK檢索了應用程序、Android ID、IP地址、MAC地址、IMEI、IMSI;2.存在嵌入第三方代碼、插件等方式通過App客戶端直接收集個人信息的情況,且在使用過程中未明確告知用戶。 | |
49 | 哆點 | 2.5.9 | 廣州熱點軟件科技股份有限公司 | 1.未經用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監控發現獲取Android ID、IP地址、MAC地址、IMEI;2.存在嵌入第三方代碼、插件等方式通過App客戶端直接收集個人信息的情況,且在使用過程中未明確告知用戶;3.未按法律規定提供刪除或更正個人信息功能。 | |
50 | Q房網 | 9.4.2 | 深圳市云房網絡科技有限公司 | 1.更正、刪除個人信息處理時限過長:更正、刪除個人信息的人工處理承諾時限為30天,超過15個工作日。 | 1.Java代碼反編譯風險; 2.Webview明文存儲密碼風險; 3.密鑰硬編碼漏洞; 4.Content Provider數據泄露漏洞。 |
51 | 跑跑達人 | 1.1 | 深圳市夢想暢游科技有限公司 | 1.未公開收集使用規則:App首次運行未經用戶閱讀隱私政策,就申請獲取個人的存儲權限;2.進入App主界面,隱私政策難以訪問;3.強制用戶使用定向推送功能:利用用戶個人信息和算法定向推送信息,未提供非定向推送信息的選項。 | 1.應用數據任意備份風險; 2.Service組件導出風險。 |
52 | 蛇蛇爭霸 | 6.8.0 | 深圳市抱一網絡科技有限公司 | 1.未公開收集使用規則:App首次運行未經用戶閱讀隱私政策,就申請獲取個人的存儲、電話兩項權限;2.進入App主界面,隱私政策難以訪問;3.不給權限不讓用:用戶不同意開啟非App運行最小必要的電話權限,App無法使用。 | 1.Janus簽名機制漏洞。 |
53 | 共享師資 | 3.2.1 | 廣州利他網絡科技有限公司 | 1.未公開收集使用規則:App首次運行未經用戶閱讀隱私政策,就申請獲取個人的相機、存儲兩項權限;2.未明示收集使用個人信息的目的、方式和范圍:隱私政策中未列出獲取相機、存儲權限的目的、方式、范圍。3.違反必要原則:App在用戶未使用相關功能或服務時,提前申請開啟相機權限;4.App在用戶明確拒絕相機權限和存儲權限申請后,頻繁申請開啟與服務場景無關的權限,騷擾用戶;5.以默認方式同意隱私政策。 | 1.剪切板敏感信息泄露漏洞;2.InnerHTML的XSS攻擊漏。 |
54 | 鯨魚閱讀 | 2.0.8 | 深圳市華閱文化傳媒有限公司 | 1.未公開收集使用規則:App首次運行未經用戶閱讀隱私政策,就申請獲取個人的位置、存儲和電話權限;2.隱私政策難以訪問:進入App主界面后,需5次(多于4次)點擊操作才能訪問到;3.未明示收集使用個人信息的目的、方式和范圍:隱私政策未列出獲取存儲權限的目的、方式和范圍;4.違反必要原則:App在用戶未使用相關功能或服務時,提前申請開啟位置權限。 | |
55 | 全民千炮捕魚 | 6.0.12 | 深圳游創天下網絡科技有限公司 | 1.未公開收集使用規則:App首次運行未經用戶閱讀隱私政策,就申請獲取位置、存儲、電話和短信權限;2.進入App主界面,隱私政策難以訪問;3.違反必要原則:App在用戶未使用相關功能或服務時,提前申請開啟位置和短信權限。 | 1.Java代碼反編譯風險; 2.Janus簽名機制漏洞; 3.未移除有風險的Webview系統隱藏接口漏洞。 |
56 | 捕魚至尊寶 | 9.0.23.4.0 | 深圳智道明遠科技有限公司 | 1.未公開收集使用規則:App首次運行未經用戶閱讀隱私政策,就申請獲取位置、存儲、電話權限;2.以默認方式同意隱私政策;3.違反必要原則:App在用戶未使用相關功能或服務時,提前申請開啟位置權限。 | 1.Janus簽名機制漏洞; 2.Webview明文存儲密碼風險; 3.“應用克隆”漏洞攻擊風險; 4.未移除有風險的Webview系統隱藏接口漏洞。 |
57 | 紅娘婚戀 | 2.8.0 | 深圳市創樂天下網絡科技有限公司 | 1.投訴、舉報承諾處理時限過長:個人信息安全投訴、舉報渠道的承諾處理時限30日超過15個工作日。 | 1.明文數字證書風險;2.Activity組件導出風險;3.Service組件導出風險;4.Broadcast Receiver組件導出風險。 |
58 | 松果傾訴 | 7.8.2.2 | 廣州智悅網絡科技有限公司 | 1.未公開收集使用規則:App首次運行未經用戶閱讀隱私政策,就申請獲取存儲、電話權限,亦未同步告知用戶其目的;2.不給權限不讓用:用戶不同意開啟非App運行最小必要的電話權限,App無法使用。 | 1.Janus簽名機制漏洞。 |
59 | 對莊翡翠 | 6.3.7 | 深圳市對莊科技有限公司 | 1.未公開收集使用規則:App首次運行未經用戶閱讀隱私政策,就申請獲取存儲、電話權限;2.進入App主界面,隱私政策難以訪問;3.未明示收集使用個人信息的目的、方式和范圍:隱私政策中沒有列出獲取存儲、電話、相機等權限的目的、方式、范圍;4.以默認方式同意隱私政策;5.違反必要原則:修改個人信息頭像時需要開啟非最小必要的相機權限(存儲權限是最小必要權限),不給權限不讓修改;6.不給權限不讓用:用戶不同意開啟非App運行最小必要的電話權限,App無法使用;7.投訴、舉報承諾處理時限過長:個人信息安全投訴、舉報渠道的承諾處理時限(三十天)超過15個工作日。 | 1.FFmpeg文件讀取漏洞。 |
60 | 經絡穴位圖解 | 6.1.6 | 深圳市灸大夫醫療科技有限公司 | 1.未公開收集使用規則:App首次運行未經用戶閱讀隱私政策,就申請獲取存儲、電話權限,亦未同步告知用戶其目的;2.不給權限不讓用:用戶不同意開啟非App運行最小必要的電話權限,App無法使用;3.賬號注銷難:為注銷用戶賬號設置不合理條件,“30天緩沖期”的注銷處理承諾時限超過15個工作日。 | 1.Janus簽名機制漏洞。 |
61 | 史上最坑爹的游戲3 | 7.1.01 | 珠海頂峰互動科技有限公司 | 1.未公開收集使用規則:App首次運行未經用戶閱讀隱私政策,就申請獲取存儲、電話權限;2.不給權限不讓用:用戶不同意開啟非App運行最小必要的電話權限,App無法使用;3.應用內集成多個第三方SDK,未逐一列出第三方SDK收集使用個人信息的目的、方式、范圍等。 | 1.Java代碼反編譯風險;2.Janus簽名機制漏洞。 |
62 | 云淘集 | 2.9.1 | 深圳市造夢網絡科技有限公司 | 1.未明示收集使用個人信息的目的、方式和范圍:在申請打開可收集個人信息的存儲、位置權限時,未同步告知用戶其目的;2.隱私政策中沒有列出獲取存儲、位置權限的目的、方式、范圍;3.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。 | 1.Java代碼反編譯風險;2.Webview明文存儲密碼風險;3.Webview File同源策略繞過漏洞;4.InnerHTML的XSS攻擊漏洞 |
63 | 萬順叫車 | 4.8.8 | 深圳萬順叫車云信息技術有限公司 | 1.未公開收集使用規則:App首次運行未經用戶閱讀隱私政策,就申請獲取個人位置、存儲和電話三項權限;2.違反必要原則:修改個人信息頭像時需要開啟非最小必要的相機權限(存儲權限是最小必要權限),不給權限不讓修改;3.未明示收集使用個人信息的目的、方式和范圍:隱私政策未列出獲取相機權限的目的、方式和范圍;4.收集使用個人信息的目的、方式、范圍發生變化時,未以適當方式通知用戶。 | |
64 | 口袋助理 | V6.5.0 | 深圳市口袋網絡科技有限公司 | 1.未公開收集使用規則:App首次運行未經用戶閱讀隱私政策,就申請獲取存儲、電話權限。 | 1.Webview明文存儲密碼風險;2.密鑰硬編碼漏洞;3.InnerHTML的XSS攻擊漏洞。 |
65 | 媽媽金融學院 | V2.8.1 | 廣州普融教育科技有限公司 | 1.App首次運行未經用戶閱讀隱私政策,就申請獲取存儲權限。 | 1.Java代碼反編譯風險;2.Webview明文存儲密碼風險;3.Webview File同源策略繞過漏洞。 |
66 | 美胸匯 | V5.6.0 | 廣州一九九零科技有限公司 | 1.未公開收集使用規則:App首次運行未經用戶閱讀隱私政策,就申請獲取位置、電話權限;2.違反必要原則:App在用戶未使用相關功能或服務時,提前申請開啟相機、位置、麥克風權限。 | 1.FFmpeg文件讀取漏洞。 |
67 | 十色成人兩性情趣 | V6.0.1 | 深圳市德他數據有限公司 | 1.App未明確告知收集使用電話權限的目的、方式、范圍;2.違反必要原則:App在用戶未使用相關功能或服務時,提前申請開啟撥打電話和相機權限。 | 1.Activity組件導出風險; 2.Service組件導出風險。 |
68 | 有車以后 | 4.37.0 | 廣州有車以后信息科技有限公司 | 1.未經用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監控發現GET_TASK檢索了應用程序。2.超頻獲取電話權限。 | 1.Root環境檢測; 2.防截屏檢測; 3.界面劫持安全。 |
69 | 坐車網 | 3.18.201551 | 廣州浩寧智能設備有限公司 | 1.未經用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監控發現GET_TASK獲取Android ID、MAC地址。2.超頻獲取電話權限。3.未提供有效的更正、刪除個人信息及注銷用戶賬號功能。 | 1.Root環境檢測; 2.敏感信息內存加密; 3.防截屏檢測; 4.界面劫持安全; 5.登陸密碼爆破風險。 |
70 | 八斗銀 | 2.0.2 | 廣東八斗銀建設投資集團有限公司 | 1.未明示收集使用個人信息的目的、方式和范圍:申請個人信息權限或個人敏感信息時未同步告知用戶目的,且隱私政策中也未說明。2.未經用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監控發現GET_TASK檢索了應用程序、Android ID、MAC地址、ip地址。3.未提供撤回已同意授權的用戶操作方法。4.應用內集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。5.未提供賬號注銷途徑。 | 1.Root環境檢測; 2.防截屏檢測; 3.界面劫持安全。 |
71 | 高鐵管家 | 7.4 | 深圳市活力天匯科技股份有限公司 | 1.未經用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監控發現GET_TASK獲取應用程序、Android ID。2.超頻獲取電話權限。 | 1.Root環境檢測; 2.界面劫持安全。 |
72 | WiFi管家 | 3.9.6 | 深圳市騰訊計算機系統有限公司 | 1.賬號注銷難:應用內未發現注銷賬號功能2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。 | Webview明文存儲密碼風險 |
73 | 廣銀信用卡 | 3.9.4 | 廣州銀行股份有限公司信用卡中心 | 1.未經用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監控發現GET_TASK獲取應用程序、Android ID、MAC地址、ip地址。2.同意存儲權限不同意相機權限無法正常使用更換頭像功能。3.隱私政策未發現描述響應時限的條款。 | |
74 | 蜜桃直播 | 8.17.0 | 廣州市九浚信息技術有限公司 | 1.未經用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監控發現GET_TASK獲取了應用程序、Android ID、MAC地址、IMEI。2.主界面四步以內未能找到隱私政策。 | 1.Root環境檢測; 2.防截屏檢測; 3.界面劫持安全; 4.登陸密碼爆破風險。 |
75 | 56視頻 | 6.1.8 | 廣州市千鈞網絡科技有限公司 | 1.未明示收集使用個人信息的目的、方式和范圍:56視頻隱私政策完全調用搜狐視頻隱私政策,描述完全一致,且未通過自定義彈窗告知索權目的。2.未經用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監控發現GET_TASK檢索了應用程序、IP地址、MAC地址、IMEI、IMSI。3.應用內集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。 | |
76 | 人氣直播 | 6.2.1 | 深圳市果醬時代科技有限公司 | 1.未明示收集使用個人信息的目的、方式和范圍:隱私政策中未明示手機信息權限和存儲權限使用目的,也未使用自定義彈框同步告知目的。2.未經用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監控發現GET_TASK檢索了應用程序、Android ID、IMSI。3.以默認同意的方式收集個人信息:首次登錄時默認同意隱私政策。4.應用內集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。 | 1.敏感信息內存加密 ; 2.防截屏檢測; 3.界面劫持安全。 |
77 | 來吼語音 | 1.25.0 | 廣州檸檸網絡科技有限公司 | 1.未明示收集使用個人信息的目的、方式和范圍:首次運行未以彈窗的方式告知用戶協議和隱私政策,也未使用自定義彈框同步告知索權目的。2.未經用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監控發現GET_TASK檢索了應用程序、Android ID、MAC地址 、ip地址 、IMEI、IMSI。3.以默認同意的方式收集個人信息:首次登錄時默認同意隱私政策。4.應用內集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。 | 界面劫持安全 |
78 | 記點點記賬 | 1.9.9 | 廣州小邁網絡科技有限公司 | 1.應用內集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。2.未公開收集使用規則:App首次運行未彈窗提示用戶閱讀隱私政策。3. 未明示收集使用個人信息的目的、方式和范圍:申請打開可收集個人信息的權限時,未同步告知用戶其目的。 | |
79 | 廣州農商銀行 | 5.5.9 | 廣州農村商業銀行股份有限公司 | 1.應用內集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。2.未公開收集使用規則:App首次運行未彈窗提示用戶閱讀隱私政策。3. 未明示收集使用個人信息的目的、方式和范圍:申請打開可收集個人信息的權限時,未同步告知用戶其目的。 | |
80 | 極簡記賬 | 1.8.3 | 深圳路得青云信息科技有限公司 | 1.應用內集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。2.未公開收集使用規則:App首次運行未彈窗提示用戶閱讀隱私政策。3. 未明示收集使用個人信息的目的、方式和范圍:申請打開可收集個人信息的權限時,未同步告知用戶其目的。 | |
81 | 奧買家全球購 | 4.1.4 | 廣東奧園奧買家電子商務有限公司 | 1.應用內集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。2.未公開收集使用規則:App首次運行未彈窗提示用戶閱讀隱私政策。3. 未明示收集使用個人信息的目的、方式和范圍:申請打開可收集個人信息的權限時,未同步告知用戶其目的。 | 存在Java代碼反編譯風險 |
82 | 恒大財富 | 3.4.3 | 恒大互聯網金融服務(深圳)有限公司 | 應用內集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。 | |
83 | 同學會 | 1.6.9 | 深圳眾海誠信息咨詢服務有限公司 | 應用內集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。 | |
84 | 全民錢包 | 6.2.1.0 | 廣州市全民錢包科技有限公司 | 應用內集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。 | |
85 | 廣東農信 | 3.3.4 | 廣東省農村信用社聯合社 | 1.未公開收集使用規則:App首次運行未彈窗提示用戶閱讀隱私政策。2. 未明示收集使用個人信息的目的、方式和范圍:申請打開可收集個人信息的權限時,未同步告知用戶其目的。 | |
86 | 中信證券 | 3.03.029 | 中信證券股份有限公司 | 應用內集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。 | |
87 | 汽修寶 | 5.13.1.2 | 廣州前實網絡科技有限公司 | 1.應用內集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。2.未公開收集使用規則:App首次運行未彈窗提示用戶閱讀隱私政策。3. 未明示收集使用個人信息的目的、方式和范圍:申請打開可收集個人信息的權限時,未同步告知用戶其目的。 | |
88 | 點點 | 3.3.5 | 深圳蜂點科技有限公司 | 應用內集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。 |
