官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
此文章转载自本实验室同名公众号
1、事件概况
2022年7月21日,据新闻报道,经查实,滴滴全球股份有限公司违反《网络安全法》《数据安全法》《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣。依据《行政处罚法》等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。
新闻中还提到滴滴公司的违法违规行为,主要存在16项违法事实,归纳起来是8个方面:
1、违法收集用户手机相册中的截图信息1196.39万条;
2、过度收集用户剪切板信息、应用列表信息83.23亿条;
3、过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;
4、过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条;
5、过度收集司机学历信息14.29万条,以明文形式存储司机身份信息5780.26万条;
6、在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条;
7、在乘客使用顺风车服务时频繁索取无关的“电话权限”;
8、未准确、清晰说明用户设备信息等19项个人信息处理目的。
2、滴滴事情始末
2021年6月30日,滴滴出行成为国内网约车在美上市第一股。
2021年7月2日,国家网信办官网发布公告,对滴滴出行启动网络安全审查。由于其存在严重违法违规收集使用个人信息问题,25款滴滴旗下APP下架整改,新用户无法再注册。
2022年6月2日,据滴滴官网文件显示,其已于6月2日正式递交了退市申请。
2022年6月10日,成为滴滴(DIDI)在纽交所的最后一个交易日,完成退市。
2022年7月21日,滴滴收到网信办处罚。
滴滴存在严重影响国家安全的数据处理活动,违法违规的运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患,因此才予以重罚。滴滴也态度诚恳地正面回应了此次事件。
3、权限研究
在违法违规的描述中提到,滴滴有违规收集用户手机相册中的截图、收集用户剪切板信息、应用列表、收集精准位置(经纬度)、电话权限等行为,让作者对这款app中到底开了什么权限表示好奇,于是在互联网上下载了3款滴滴出行的app,分别是:
1、滴滴出行
版本:6.0.18
包名:com.sdu.didi.psnger_6.0.18_1209.apk
发布时间:2021-01-25
2、滴滴出行
版本:6.2.4
包名:com.sdu.didi.psnger_V6.2.4.apk
发布时间:2021-07-09
3、DiDi-Rider(google play版)
版本:7.2.58
包名:com-didiglobal-passenger-1865-59564642-265b4f061b6487f8a37abaa6803ab04a.apk
发布时间:2022-7-12
由于国内在7月4日之后就下架了所有滴滴出行相关的软件,只能在第三方平台上找其他人上传的软件,而国外的滴滴出行则没有受到影响,曾在7月12日才更新过。
针对这三个版本,首先看看新闻中提到的违规收集数据的权限开了哪些(资源文件中的AndroidManifest):
收集用户手机相册中的截图信息对应的权限
收集用户剪切板信息对应的权限
Android读取已安装应用列表不需要申请权限。
收集精准位置(经纬度)对应的权限
收集电话权限(包括通讯录权限和电话状态)
新闻中提到的可能违规的权限均能在app中找到,除了常规收集的设备手机号码、MAC、IMEI等信息,还开了蓝牙、网络状态、wifi状态等权限,这些权限都是可以结合使用,让用户的定位更加准确;据谷歌称,经纬度信息,结合wifi信息和蓝牙信息,可以将手机的位置精确定位到10米以内。
作者还查了一下该app外联的域名,国内的两款没有向境外传输数据的情况,否则对我国数据安全的影响将更加巨大,处罚也会更加严重。
其实还有很多日常使用率较高的app也有这种情况出现,打开很多功能根本用不到的权限,各种违规收集和利用个人隐私信息,可以以上面提到的这些比较敏感的权限为特征进行检测和自查,如果隐私保护策略中没有提到需要某功能,却开放了此权限,其目的是十分可疑的。
4、其他可疑app
除了滴滴这种大众经常使用的app在收集用户个人隐私数据外,还有很多非常“特别的”获取个人信息的途径:
例如此前外媒报道过的一家美国公司,借激励计划的名头,通过向开发人员付费,以将其SDK代码整合到开发者的应用程序中,此SDK则是带有收集用户敏感数据的功能,并且据报道,国内是有用户在使用这些嵌入了违规SDK的app的。这种情况比滴滴的行为还要恶劣,因为他们会将数据出售给美国政府机构,更加严重地危害到我国数据安全。
再例如,作者发现了一篇标题名为《如何通过下载这4个应用程序一年赚取395美元》的文章,这些应用程序会收集用户个人数据并自称用于市场调研,会给安装此app的用户每年提供一定的报酬。他们是否有将数据出售给美国政府还未可知,但是他们收集用户数据的行为确实是板上钉钉的,并且通过某些渠道,作者发现这些app也是有部分国内用户在使用的。
最后,据报道,在被罚款、整改后,滴滴有望重新上架,接受新用户注册。
5、参考链接
中国监管部门将对滴滴罚款逾10亿美元,结束网络安全审查
https://cn.wsj.com/amp/articles/中国监管部门将对滴滴罚款逾10亿美元-结束网络安全审查-11658231709
如何通过下载这 4 个应用程序赚取 395 美元
https://www.thepennyhoarder.com/make-money/6-apps-495/
滴滴被罚80.26亿元
https://mp.weixin.qq.com/s/4CLzhML1PC8Xhb56YPn8Dg