相信大家都有过这样的经历,安装 手机APP过程中,提示需要文件读取、摄像头、通讯录等权限
手机里装了几十上百款APP,而且每款APP安装的过程中,或多或少都需要 一些手机权限,这会给我们的手机信息泄露带来哪些风险呢?
“短视频类”App个人信息收集情况测试报告
近期,中国网络空间安全协会对“短视频类”公众大量使用的部分App收集个人信息情况进行了测试。测试情况及结果如下:
本次测试选取了19家应用商店⁽¹⁾累计下载量达到1亿次的“短视频类”App,共计6款,其基本情况如表1。
表1 6款App基本情况
本次测试选取相同品牌、型号的手机终端,安装相同版本安卓操作系统,分别部署6款App,在相同网络环境下进行同步操作。
以完成一次短视频浏览活动作为测试单元,包括启动App、观看视频、点赞关注3种用户使用场景,以及后台静默应用场景⁽²⁾。
本次测试包括系统权限调用、个人信息上传、网络上传流量3项内容。
测试发现,6款App在4种场景下调用了位置、设备信息、应用列表、剪切板、存储5类系统权限,未发现调用相机、麦克风、通讯录等其他权限。
(1)在启动App场景中,调用系统权限种类和次数最多的为快手和快手极速版(均为5类,9次)。具体情况如表2。
表2 启动App场景调用系统权限情况
(2)在观看视频场景中,调用系统权限种类最多的为抖音、抖音火山版、快手极速版(均为3类),调用系统权限次数最多的为抖音(14次)。具体情况如表3。
表3 观看视频场景调用系统权限情况
(3)在点赞关注场景中,调用系统权限种类最多的为抖音和抖音火山版(均为2类),调用系统权限次数最多的为抖音(13次)。具体情况如表4。
表4 点赞关注场景调用系统权限情况
(4)在后台静默场景中,调用系统权限种类和次数最多的为快手极速版(3类,7次)。具体情况如表5。
表5 后台静默场景调用系统权限情况
测试发现,6款App上传了6种类型个人信息:①位置信息,包括经纬度、当前连接Wi-Fi MAC地址、当前连接基站信息;②唯一设备识别码,包括Android ID(安卓ID)、OAID(开放匿名设备标识符)、手机MAC地址;③剪切板内容信息,包括最近复制的文本;④应用列表信息,包括手机上已安装的应用信息;⑤手机号码;⑥用户截图操作信息。
(1)在启动App场景中,个人信息上传种类最多的为快手(6类)。具体情况如表6。
表6 启动App场景个人信息上传情况
(2)在观看视频场景中,个人信息上传种类最多的为抖音和抖音火山版(均为3类)。具体情况如表7。
表7 观看视频场景个人信息上传情况
(3)在点赞关注场景中,个人信息上传种类最多的为快手、快手极速版、腾讯微视(均为1类)。具体情况如表8。
表8 点赞关注场景个人信息上传情况
(4)在后台静默场景中,个人信息上传种类最多的为抖音、快手、抖音火山版、快手极速版、腾讯微视(均为1类)。具体情况如表9。
表9 后台静默场景个人信息上传情况
(1)6款App在用户完成一次短视频浏览活动(启动App、观看视频、点赞关注)时,上传数据流量平均⁽³⁾最多的为快手,约为1302KB;平均最少的为腾讯微视,约为176KB。具体情况如图1。
图1 完成一次短视频浏览活动的平均上传数据流量(单位:KB)
(2)6款App后台静默12小时,上传数据流量平均⁽⁴⁾最多的为快手,约为27KB;平均最少的为秒拍,约为1KB。具体情况如图2。
图2 后台静默12小时平均上传数据流量(单位:KB)
注释:
⁽¹⁾包括华为应用市场、小米应用商店、腾讯应用宝、OPPO软件商店、VIVO应用市场、360手机助手、百度手机助手、豌豆荚手机助手、历趣应用商店、乐商店、魅族应用商店、移动MM商店、太平洋下载、中关村在线、木蚂蚁安卓应用市场、多特软件站、华军软件园、西西软件园、绿色资源网。
⁽²⁾启动App指用户点击图标启动App至首页加载完毕;观看视频指用户上滑刷新播放10个短视频;点赞关注指用户对短视频进行点赞,并关注短视频作者;后台静默指用户启动App后,切换到后台保持静默状态。
⁽³⁾共重复测试10次。
⁽⁴⁾共重复测试10次。
本文转载:中国网络空间安全协会
本文作者:FB客服, 转载请注明来自FreeBuf.COM
原文:https://www.freebuf.com/news/376516.html