导语:依据近两周监管支撑发现存在隐私合规类问题的APP数据,从APP行业分类及TOP3问题数据两方面来说明。
【梆梆安全监测】
安全隐私合规监管趋势及漏洞风险报告
(1012-1025)
●最新监管动态
监管通报动态
●监管支撑汇总
梆梆安全监管支撑数据
国家监管数据分析
●漏洞风险分析
各漏洞类型占比分析
存在漏洞的APP各类型占比分析
01最新监管动态
1. 监管通报动态
10月20日,上海通管局依据相关法律法规,对APP(SDK)侵害用户权益的违规行为持续开展整治。经抽测,发现42款APP(SDK)存在侵害用户权益行为,对未能在限期内完成整改并提交报告的,上海通管局将依法依规予以处理。
10月22日,工信部依据相关法律法规的要求,对智能终端违法违规收集使用个人信息等问题开展治理,经抽查,共发现20款智能终端存在侵害用户权益行为,整改落实不到位的,工信部依法依规组织开展相关处置工作。
10月28日,浙江通管局依据相关法律法规的要求,持续加大对APP侵害用户权益的整治力度。浙江通管局对此前公开通报侵害用户权益行为的APP开展“回头看”专项复查,经核查,共发现18款APP仍存在问题整改不彻底、不到位的情况,浙江通管局采取下架处理。
02监管支撑汇总
1. 梆梆安全监管支撑数据
依据近两周监管支撑发现存在隐私合规类问题的APP数据,从APP行业分类及TOP3问题数据两方面来说明。
1)问题行业TOP3:
学习教育类
实用工具类
本地生活类
2)隐私合规问题TOP3:
TOP1:认定方式2-1未逐一列出APP(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;
TOP2:26号文一-(三)-9 明示个人信息处理规则。通过简洁、清晰、易懂的方式告知用户个人信息处理规则,如发生变动,应及时告知用户最新情况。突出显示敏感个人信息的处理目的、方式和范围,建立已收集个人信息清单,不得采用默认勾选、缩小文字、冗长文本等方式诱导用户同意个人信息处理规则;
TOP3:认定方法 3-1 征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;
2. 国家监管数据分析
针对国家近两周监管通报数据,依据问题类型,统计涉及APP数量如下:
| 问题分类 | 问题数量 |
| 191-2 未明示收集使用个人信息的目的、方式和范围 | 37 |
| 164-1 违规收集个人信息 | 15 |
| 191-1 未公开收集使用规则 | 13 |
| 164-2 超范围收集个人信息 | 12 |
| 164-5 APP强制、频繁、过度索取权限 | 11 |
| 191-6 未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息 | 10 |
| 164-6 APP频繁自启动和关联启动 | 6 |
| 164-4 强制用户使用定向推送 | 2 |
| 26号文 信息窗口乱跳转 | 2 |
| 164-3 违规使用个人信息 | 1 |
| 164-9 应用分发平台上的APP信息明示不到位 | 1 |
| 总计 | 110 |
针对国家近两周监管通报数据,依据APP类型,统计出现通报的APP数量如下:
| APP类型 | APP数量 |
| 邮件快件寄递类 | 28 |
| 实用工具类 | 14 |
| 其他 | 13 |
| 学习教育类 | 6 |
| 网上购物类 | 5 |
| 求职招聘 | 3 |
| 本地生活类 | 2 |
| 房屋租售类 | 1 |
| 网络直播类 | 1 |
| 总计 | 73 |
03漏洞风险分析
从全国的Android APP中随机抽取了4,057款进行漏洞检测发现,存在中高危漏洞威胁的APP为3,164个,即77.99%%以上的APP存在中高危漏洞风险。而这3,164款漏洞应用中,有高危漏洞的应用共2,333款,占比73.74%,有中危漏洞的应用共3,071款,占比97.06%(同一款应用可能存在多个等级的漏洞)。存在不同风险等级漏洞的APP占比如下:
各漏洞类型占比分析
针对不同类型的漏洞进行统计,应用中高危漏洞数量排名前三的类型分别为Java代码反编译风险、HTTPS未校验主机名漏洞以及动态注册Receiver风险。各漏洞类型占比情况如下图所示:
存在漏洞的APP各类型占比分析
从APP类型来看,实用工具类APP存在漏洞风险最多,占漏洞APP总量的22.3%,其次为教育学习类APP,占比11.97%,生活服务类APP位居第三,占比10.03%,漏洞数量排名前十的类型如下图所示:
如若转载,请注明原文地址
