2023年1月11日,奇安信对外发布《2022年度APP收集个人信息检测报告》(简称《报告》) 。《报告》显示,2022年度违规APP的数量占到了检测APP数量的25.3%,其中类型占比最高的是生活休闲类。检测还发现,违规的APP中有78.8%都包含了第三方SDK违规收集的行为,部分违规APP在100秒中对个人信息至少收集了2次,高频次收集个人信息现象较为严峻。
生活休闲类型APP违规占比高达43.5%
2022年度,奇安信病毒响应中心共收录全国应用市场新收录新更新APP近118万个。本报告依据《APP违法违规收集使用个人信息行为认定方法》等内容要求,使用奇安信自研安卓动态引擎QADE对2022年度应用市场新收录新更新的头部主流APP抽样检测。
在本次检测抽检的头部主流APP中,有25.3%的APP存在无提示收集个人信息(即违背了相关国家法律法规行为)。纵观2022年四个季度的检出情况,第二季度检出率(21.2%)较第一季度检出率(27.2%)稍有增高,第三季度检出率(20.7%)和第四季度检出率(13.3%)都呈下降趋势。可见,APP无提示违规手机个人信息检出情况在逐渐好转。具体分布如下图所示:
而在类型分布方面,生活休闲类型的APP违规占比最高,占比43.5%;第二是网上购物类型的APP,占比9.2%;第三是办公商务类型的APP,占比8.4%。存在违规收集个人信风险的APP类型分布具体情况可见下图:
第三方SDK违规是造成APP违规主要原因
报告显示,本次检测到的违规收集个人信息问题的APP中,有78.8%的APP包含了第三方SDK收集情况。这意味着当前多数APP自身不存在违规收集个人信息行为,主要还是集成了第三方SDK后而造成的APP出现违规收集个人信息问题。
在本次2022年度检测中,共检测到307款违规SDK,在违规收集个人信息第三方SDK中,排名靠前的SDK都为市场知名SDK。具体分布如图:
本次检测到的包含第三方SDK违规收集个人信息问题的APP中,大部分APP都是由于集成了一款违规SDK而导致违规,这部分占比82.8%,少部分APP集成至少两款违规收集个人信息的第三方SDK,占比17.2%。具体占比情况如图:
高频次收集个人信息行为较为严峻
2022年度检测中,违规收集个人信息的APP中有24.7%的APP还存在高频次收集个人信息, 其中最高一款APP在短短一百秒对个人信息IMEI收集了715次。
《报告》显示,本次检出的APP高频次收集个人信息次数情况较为严峻,大部分APP高频次收集次数主要集中在2~5次,占比35.5%,其次是6~10次占比27.8%和11~20次占比21.5%,超过20次的占比也达到了15.2%。详细分布可见图表:
个别违规APP下载超亿 影响范围不可忽视
整体来看,此次检测到违规收集个人信息问题的APP中,奇安信发现其中有1款APP下载量在亿次以上,有7款APP下载量在千万次以上,22款APP下载量在百万次以上。可见违规收集个人信息问题的影响面仍然较广,至少影响到上亿用户。
针对违规收集个人信息的APP影响面仍较广的现状,奇安信建议,一方面第三方SDK厂商在整改后,在如何更好的引导APP开发者按新版按要求更快速更便捷的进行升级解决做的更好,在做好自己的这个点的同时,也能和APP开发者这个上游点能联动形成一条安全线。另一方面APP开发者也要有相应的个人信息安全意识,按照国家法律法规,不进行违规收集个人信息。
据悉,本次检测采用奇安信完全自主研发安卓动态引擎QADE(后文统称奇安信QADE引擎)。奇安信QADE引擎是首款既支持对APP进行传统恶意检测,并支持对违规收集个人信息及索权等APP当下流行问题进行检测的综合一体化动态引擎。此次检测采用该引擎对无提示收集个人信息和高频次收集个人信息两个问题进行检测。这两个也是违规收集个人信息问题中比较常见且影响较深的问题。