1月安全专项评测报告发布，速看典型案例分析及解决方案！

一、1月测试情况回顾

1月共检测944款应用，未达标应用249款，其中197款应用未通过安全标准检测，占未达标应用的79.1%。应用违规调用高危权限、存在隐私违规行为，依旧是导致安全标准未达标的主要原因，分别占未通过安全检测应用总数的69.0%、38.6%。

在隐私检测项中发现，违规收集个人信息的应用占比最高，为87%，典型场景为APP本身或者内嵌三方SDK获取GPS定位、IMSI、系统安装的应用程序等信息，未在隐私政策中告知用户。

对于高危权限检测项，应用违规调用android.permission.CALL_PHONE（拨打电话）权限占比为70%。对于拨打电话功能，除一键报警、安全专线、网络会议等必须场景外，其他场景禁止申请android.permission.CALL_PHONE权限。其次是android.permission.BIND_ACCESSIBILITY_SERVICE权限，占比为22%。仅限APP实现支持无障碍功能情况下，可以申请使用此权限，如针对视障人士的屏幕朗读功能，其他场景一律禁用该权限！

二、典型案例分析及解决方案

1.某教育类APP隐私政策的弹框设置不合理，且存在用户同意隐私政策前收集用户数据的行为

问题应用：到梦×间

版本号：4.4.7

具体问题：首次启动APP，APP展示了“服务条款和隐私政策提示框”提醒，查看隐私政策后，点击左上角返回键未返回至“服务条款和隐私政策提示框”页面，进入到了隐私政策后“开启消息通知”、“登录”界面。

同时com.tencent.smtt(腾讯)第三方SDK在用户未同意隐私政策之前，提前获取IMSI、IMEI信息。

解决方案：首先，当用户查看完隐私政策后，返回至上一层时，应提供隐私政策的提示框以及“同意”和“拒绝”两个按钮选项。当用户点击“同意”按钮后，视为隐私政策生效，可正常进入APP。

其次请开发者在用户隐私政策等公示文本中清晰罗列APP所集成的第三方SDK列表以及该SDK收集使用个人信息的目的、方式和范围及必要性，并在收集前征得用户同意。

2.某游戏类APP广告页面设置虚假关闭按钮，导致广告弹窗关不掉

问题应用：欢乐真人×将

版本号：3.4.9.1

具体问题：当测试人员点击 “免费抽签”页面右上角的关闭按钮时，弹出广告页面，再次点击广告页面右上角的关闭按钮，又跳转至广告页面。

解决方案：当APP向用户展示广告窗口时，应提供真实、有效的“跳过/关闭”按钮选项，当用户点击“跳过/关闭”按钮标志后应立即关闭该窗口。

3.某实用工具类APP过度申请存储权限

问题应用：U×浏览器极速版

版本号：13.9.2.1154

具体问题：应用首次启动即申请存储权限，该权限为无关权限。

解决方案：应用在安装后首次启动时，避免频繁弹窗申请敏感权限。敏感权限需要在用户使用对应业务功能时动态申请。权限申请必须遵循最小化原则，开发者应保证只有用户在使用与权限对应的功能或服务时，向用户弹窗动态申请授权。