一、10月测试情况回顾
10月共检测950款应用,未达标应用282款,其中228款应用未通过安全标准检测,占未达标应用的80.9%,占比最高。应用高危权限使用不当、存在隐私违规行为,依旧是导致安全标准未通过的主要原因,分别占未通过安全检测应用总数的70.6%、41.2%。
二、数据分析
在隐私检测项中发现,违规收集个人信息的应用占比最高,为78.5%,典型场景为隐私声明中未清晰明示第三方SDK收集和处理数据的目的、方式和范围,常见的包括极光、个推等SDK获取IMSI信息、应用列表信息等。超范围收集个人信息占比为14%,其高频表现为APP或内嵌三方SDK获取GPS定位信息、系统安装的应用程序数据,未在隐私声明中告知用户。
对于高危权限检测项,应用违规调用android.permission.CALL_PHONE(拨打电话)权限占比为67%,其中便捷生活、金融理财、实用工具类应用的表现较突出,开发者需重点关注!
三、典型案例分析及解决方案
1.某汽车类APP滥用
android.permission.CALL_PHONE权限
问题应用:懂×帝
版本号:7.3.0
具体问题:在用户与销售顾问拨打电话的场景中,点击“免费咨询”按钮后直接拨打电话。
解决方案:对于拨打电话功能,除一键报警、安全专线、网络会议等必须场景外,其他场景禁止申请android.permission.CALL_PHONE权限。建议开发者可以使用Intent.Action_DIAL,启动Android系统的拨号应用程序,调起拨号界面,然后由用户进行手动拨号。这种方式不需要任何权限的设置。
2.某出行导航类APP静默后台时超高频次获取GPS定位信息
问题应用:Earth×球
版本号:3.6.1
具体问题:测试人员在完成APP功能遍历后,静默后台时,在测试工具中监控到该APP超高频次获取GPS定位信息。同时发现该APP隐私声明中未向用户明示其收集GPS定位信息的频率。
解决方案:APP在静默后台,且未执行任何后台任务的场景下,不应收集GPS位置信息。
3.某新闻阅读类APP申请无关权限
问题应用:凤×新闻
版本号:7.56.1
具体问题:测试人员在浏览新闻资讯的场景下,将信息分享至微博三方平台时,该APP向用户索要存储权限,拒绝授权则无法分享。当测试人员选择分享至微信时,显示可以对外分享。如下图所示:
解决方案:APP在分享至QQ、微信、微博等第三方外部平台时,不应索取存储权限。应用权限申请必须遵循最小化原则,只申请业务功能所必要的权限,禁止申请不必要的权限。
END