設置
  • 日夜間
    隨系統(tǒng)
    淺色
    深色
  • 主題色

廣東通報迅雷、唯品會等 88 款問題 App,捷停車被罰 2 萬上不良名單

2020/11/24 22:19:21 來源:IT之家 作者:騎士 責編:騎士

IT之家11月24日消息 11月23日,廣東省通信管理局發(fā)布App監(jiān)管情況通報 (2020年10月),累計檢測5千余款App,共發(fā)現(xiàn)疑似存在問題App 237款,經(jīng)核驗確定問題App 88款,對其中“紅娘婚戀”等85款App運營者發(fā)出《違法違規(guī)App處置通知》責令限期改正并通知各應用商店督促整改,對問題突出的“捷停車”“駕考家園”“凱立德導航”3款App運營企業(yè)做出警告并罰款的行政處罰決定。

IT之家獲悉,這些應用涉及迅雷(7.05.0.7076)、唯品會(7.28.3)、中信證券(3.03.029)等。

被查處的 App 存在兩方面問題,一是 App 及其后臺服務器存在 “明文存儲密碼”“反編譯”“SQL 注入”等數(shù)據(jù)安全隱患問題;二是違反用戶個人信息保護規(guī)定,包括 “未公開明示收集規(guī)則”“默認勾選同意隱私協(xié)議”“未列明所集成 SDK 及其采集信息”“為注銷賬號、刪除個人信息設置障礙”“未經(jīng)用戶同意共享給第三方”等侵犯用戶對其個人信息處理享有的知情權、決定權,以及違反最小必要原則超前、超需、超頻索取權限或采集信息,甚至不給必需權限不讓用等強迫行為。

被予以行政處罰的 “捷停車”App 存在侵害用戶權益的問題較為典型,其中最為突出的問題是:為用戶注銷賬號設置過多不合理的障礙。App 在用戶注冊賬號時僅憑手機號碼及驗證碼即完成注冊,但注銷賬號時卻要求用戶提供手機號碼的真實姓名、身份證正反面照片,甚至要求用戶提供電信運營商出具的手機號碼權屬證明方可受理。此外,該 App 還存在未使用相關功能就索取用戶相機權限,且相機權限及 App 集成的地圖、支付、推送、統(tǒng)計、分享等多個 SDK 均未在隱私政策中逐一列明。對此,廣東省通信管理局約談了捷停車 App 運營公司的負責人,對該公司做出給予警告并罰款兩萬元的行政處罰,同時報請工業(yè)和信息化部納入電信業(yè)務經(jīng)營不良名單。

附件:存在問題的App名單(88款)

序號

App名稱

版本號

企業(yè)名稱

侵害用戶權益問題

安全隱患問題

1

駕考家園

6.1

廣州先睿數(shù)碼科技有限公司

1.“未公開收集使用規(guī)則”:App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取存儲、電話、麥克風、相機和位置五項權限;
  2.“未明示收集使用個人信息的目的、方式和范圍”:隱私政策中沒有說明獲取相機和麥克風權限的目的、方式、范圍;應用內集成多個第三方SDK,且未在隱私政策中聲明;
  3.“未經(jīng)用戶同意收集使用個人信息”:征得用戶同意前就開始收集個人信息(Android ID、MAC地址等);以默認方式同意隱私政策。


2

捷停車

4.2.0

深圳市順易通信息科技有限公司

1.“違反必要原則收集個人信息”:在用戶未使用相關功能或服務時,提前申請開啟相機權限;
  2.“未明示收集使用個人信息的目的、方式和范圍”:隱私政策中沒有列出獲取存儲、相機和撥打電話權限的目的、方式、范圍,應用內集成多個第三方SDK,且未在隱私政策中聲明;
  3.“賬號注銷難”:為注銷用戶賬號設置不必要或不合理條件。


3

凱立德導航

8.4.2

深圳市凱立德欣軟件技術有限公司

1.未明示收集使用個人信息的目的、方式和范圍:App申請使用相機、麥克風和通信錄三項權限,超出隱私政策用戶授權范圍;
  2.應用內集成多個可收集用戶個人信息的第三方SDK,且未在隱私政策中聲明。


4

千聊

V4.2.7

廣州思塢信息科技有限公司

1.以默認方式同意隱私政策;
  2.違反必要原則:App在用戶未使用相關功能或服務時,提前申請開啟相機、麥克風權限;
  3.投訴、舉報承諾處理時限過長:個人信息安全投訴、舉報渠道的承諾處理時限(三十天)超過15個工作日。


5

KingRoot

5.4.0

廣州云訊信息科技有限公司

1.未公開收集使用規(guī)則:App中未發(fā)現(xiàn)隱私政策;
  2.未經(jīng)用戶同意收集使用個人信息:未經(jīng)用戶閱讀隱私政策并征的同意前,應用就申請獲取拍照、存儲和讀取電話狀態(tài)權限;
  3.超范圍收集個人信息:應用申請使用拍照權限,超出隱私政策用戶授權范圍;
  4.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。


6

向日葵保險

4.50.0

廣州向日葵信息科技有限公司

1.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;
  2.頻繁索取存儲權限:用戶明確表示不同意后,仍頻繁征求用戶同意、干擾用戶正常使用;

1.Java代碼反編譯風險
  2.Webview明文存儲密碼風險
  3.Webview File同源策略繞過漏洞

7

花生日記

4.7.8

廣州花生日記網(wǎng)絡科技有限公司

1.未經(jīng)用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監(jiān)控發(fā)現(xiàn)獲取GET_TASK檢索了應用程序、Android ID、MAC地址、IMEI、IMSI;
  2.違反必要原則:更換頭像時只同意存儲權限不同意相機權限無法正常使用;
  3.隱私政策中未逐一列出第三方SDK收集個人信息的目的、方式、范圍。

1.Activity組件導出風險
  2.Service組件導出風險

8

夸克

4.2.5.140

優(yōu)視科技(中國)有限公司

1.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。

1.Java代碼反編譯風險
  2.Janus簽名機制漏洞
  3.Webview明文存儲密碼風險

9

NOW直播

1.54.5.14

深圳市騰訊計算機系統(tǒng)有限公司

1.超范圍收集個人信息:應用申請使用拍照權限,超出隱私政策用戶授權范圍;
  2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。


10

全民電視直播

4.8.3

珠海星動技術咨詢有限公司

1.未經(jīng)用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監(jiān)控發(fā)現(xiàn)獲取GET_TASK檢索了應用程序、Android ID、MAC地址 、IMEI、IMSI;
  2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;
  3.違反必要原則:“用戶反饋”圖片時只同意存儲權限不同意相機權限,拒絕提供業(yè)務功能。

1.FFmpeg文件讀取漏洞
  2.WebSQL注入漏洞
  3.InnerHTML的XSS攻擊漏洞

11

唯品會

7.28.3

廣州唯品會電子商務有限公司

1.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。

1.Webview明文存儲密碼風險
  2.Webview File同源策略繞過漏洞

12

迅雷

7.05.0.7076

深圳市迅雷網(wǎng)文化有限公司

1. App未明確告知收集使用讀取聯(lián)系人權限的目的、方式、范圍;
  2.隱私政策中未逐一列出第三方SDK收集個人信息的目的、方式、范圍。


13

金十數(shù)據(jù)

4.7.1

廣州金十信息科技有限公司

1.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;
  2.不給權限不讓用:用戶拒絕授予獲取電話狀態(tài)和訪問外部存儲權限后,無法使用應用。

1.InnerHTML的XSS攻擊漏洞

14

布卡漫畫

2.4.1.7

珠海布卡科技有限公司

1.不給權限不讓用:用戶拒絕授予訪問外部存儲權限后,無法使用應用.

1.Webview明文存儲密碼風險
  2.Webview File同源策略繞過漏洞
  3.密鑰硬編碼漏洞

15

愛拍

5.3.4.912

廣州愛拍網(wǎng)絡科技有限公司

1.未公開收集使用規(guī)則:App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取存儲和電話權限;
  2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;
  3.不給權限不讓用:用戶不同意開啟非App運行最小必要的電話權限,App無法使用。

1.Webview明文存儲密碼風險
  2.Webview File同源策略繞過漏洞

16

MAKA

5.21.6

深圳格萊珉文化傳播有限公司

1.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;
  2.App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取存儲和電話權限。


17

時代財經(jīng)

3.4.4

廣東時代傳媒有限公司

1.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;
  2.超范圍收集個人信息:應用申請使用相機權限,超出隱私政策用戶授權范圍。

1.InnerHTML的XSS攻擊漏洞

18

微商相冊

v2.7.12.05221404

深圳市微購科技有限公司

1.私自共享給第三方:應用內集成多個第三方SDK,且未在隱私政策逐一說明會向第三方共享信息;
  2.不給權限不讓用:用戶拒絕授予訪問外部存儲權限后,無法使用應用。

1.應用數(shù)據(jù)任意備份風險
  2.剪切板敏感信息泄露漏洞

19

迷人直播

V8.2.1

深圳恩斯洛格科技有限公司

1.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;
  2.違規(guī)向他人提供個人信息:未經(jīng)用戶同意,App向接入的第三方mPush魔推SDK提供用戶android   id、IMEI、Mac地址等個人信息;
  3.違反必要原則:App在用戶未使用相關功能或服務時,提前申請開啟位置、電話權限;
  4.不給權限不讓用:用戶不同意開啟非App運行最小必要的位置、電話權限,App無法使用;
  5.未按法律規(guī)定提供刪除或更正個人信息功能:更正、刪除個人信息、注銷用戶賬號的承諾時限(30天)超過15個工作日,個人信息安全投訴、舉報渠道的承諾處理時限亦超過15個工作日。


20

西瓜影音播放器

1.0.4

深圳鄉(xiāng)里云網(wǎng)絡科技有限公司

1.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;
  2.未公開收集使用規(guī)則:App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取存儲和電話權限。

1.Webview明文存儲密碼風險
  2.Webview File同源策略繞過漏洞

21

小7手游

4.999X.99PERMISSION.1986

深圳尚米網(wǎng)絡技術有限公司

1.超范圍收集個人信息:應用申請使用麥克風權限,超出隱私政策用戶授權范圍;
  2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;
  3.不給權限不讓用:用戶不同意開啟非App運行最小必要的電話權限,App無法使用。


22

絲瓜視頻

4.5.11

深圳美明贊文化傳播有限公司

1.未逐一列出第三方SDK收集使用個人信息的目的、方式、范圍等;
  2.個人信息安全投訴、舉報渠道的承諾處理時限(30天)超過15個工作日。

1.Java代碼反編譯風險
  2.Webview明文存儲密碼風險
  3.Webview File同源策略繞過漏洞

23

快貓

5.4.3

深圳市禾火網(wǎng)絡科技有限公司

1.未按法律規(guī)定提供刪除或更正個人信息功能;
  2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。

1.Webview明文存儲密碼風險
  2.Webview File同源策略繞過漏洞
  3.密鑰硬編碼漏洞

24

我的安吉拉

4.6.2.1037

廣州金科文化科技有限公司

1. App未明確告知收集使用拍照權限的目的、方式、范圍;
  2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。

1.存在應用備份風險
  2.存在Java代碼反編譯風險

25

湯姆貓跑酷

4.4.1.491

廣州金科文化科技有限公司

1.App未明確告知收集使用拍照權限的目的、方式、范圍;
  2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。

1.存在應用備份風險
  2.存在Java代碼反編譯風險

26

老黃歷通勝-日歷萬年歷擇日

5.9.0

廣東靈機文化傳播有限公司

1.App未明確告知收集使用拍照、麥克風和電話權限的目的、方式、范圍;
  2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;

1.存在Java代碼反編譯風險

27

企鵝電競

6.2.0.516

深圳市騰訊計算機系統(tǒng)有限公司

1.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;
  2.超范圍收集個人信息:應用申請使用相機權限,超出隱私政策用戶授權范圍。

Webview明文存儲密碼風險

28

九游

7.2.3.2

廣州愛九游信息技術有限公司

1.App未明確告知收集使用讀取日程提醒權限的目的、方式、范圍;
  2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。


29

幫購

3.2.2.r

深圳市幫購科技有限公司

1.未公開收集使用規(guī)則:App中未發(fā)現(xiàn)隱私政策;
  2.不給權限不讓用:用戶拒絕授予讀取電話狀態(tài)、拍照、獲取位置信息、訪問外部存儲和讀取短信內容權限后,無法使用應用。

1.存在Java代碼反編譯風險

30

時空獵人

5.1.1120

廣州銀漢科技有限公司

1.未公開收集使用規(guī)則:App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取讀取電話狀態(tài)權限;
  2.App未明確告知收集使用讀取短信內容權限的目的、方式、范圍;
  3.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。

1.存在應用備份風險
  2.存在Java代碼反編譯風險

31

洪銦八字算命

12.7.8

廣州洪銦信息科技有限公司

1.私自共享給第三方:應用內集成第三方SDK,且未在隱私政策逐一說明會向第三方共享信息;
  2.App以默認方式同意隱私政策。

1.存在應用備份風險

32

唯彩看球

5.7.4

廣州唯彩會網(wǎng)絡科技有限公司

1.App未明確告知收集使用拍照權限的目的、方式、范圍;
  2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。

1.存在應用備份風險
  2.存在Java代碼反編譯風險

33

神廟逃亡2

5.5.0

深圳市創(chuàng)夢天地科技有限公司

1.未經(jīng)用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監(jiān)控發(fā)現(xiàn)獲取GET_TASK檢索了應用程序、Android ID、MAC地址、ip地址;
  2.電話權限超頻獲??;
  3.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;
  4.未按法律規(guī)定提供刪除或更正個人信息功能。


34

地鐵跑酷

3.10.0

深圳市夢域科技有限公司

1.App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取電話、相機、位置、存儲、麥克風和撥打電話權限;
  2.未經(jīng)用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監(jiān)控發(fā)現(xiàn)獲取GET_TASK檢索了應用程序、Android ID、MAC地址、ip地址
  3.電話權限超頻獲取
  4.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;
  5.未按法律規(guī)定提供刪除或更正個人信息功能。


35

瀏覽器

8.3.11.0

深圳市艾酷通信軟件有限公司

1.App未明確告知收集使用相機、麥克風權限的目的、方式、范圍;
  2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。

1.存在Java代碼反編譯風險

36

萬聯(lián)證券股票開戶

3.3.8

萬聯(lián)證券股份有限公司

1.App首次運行未經(jīng)用戶閱讀隱私政策,應用就申請獲取相機、錄音、存儲和位置信息權限;
  2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。

1.存在Java代碼反編譯風險

37

富途牛牛

10.17.1252

深圳市富途網(wǎng)絡科技有限公司

1應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;
  2.未經(jīng)用戶閱讀隱私政策,應用就申請獲取存儲權限;
  3.個人信息安全投訴、舉報渠道的承諾處理時限(30天)超過15個工作日


38

立刷

3.1.3

嘉聯(lián)支付有限公司

1.App未明確告知收集使用麥克風權限的目的、方式、范圍;
  2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。

1.存在應用備份風險
  2.存在Java代碼反編譯風險

39

立刷商戶版

2.4.3

嘉聯(lián)支付有限公司

1.App未明確告知收集使用麥克風權限的目的、方式、范圍;
  2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。

1.存在Java代碼反編譯風險

40

中郵錢包

2.8.6

中郵消費金融有限公司

1.App未明確告知收集使用麥克風權限的目的、方式、范圍


41

順豐金融

V4.3.2

深圳市順恒融豐投資有限公司

1.App未明確告知收集使用短信和日歷權限的目的、方式、范圍;
  2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;
  3.未經(jīng)用戶閱讀隱私政策,應用就申請獲取位置信息、相機、存儲、麥克風和電話狀態(tài)信息權限。

1.存在Java代碼反編譯風險

42

樂刷商務版

6.0.0

深圳市移卡科技有限公司

1.未經(jīng)用戶閱讀隱私政策,應用就申請獲取讀取位置、存儲和電話三項權限;
  2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。


43

心語語音聊天交友

1.4.0

惠州市屹立信息技術有限公司

1.未經(jīng)用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監(jiān)控發(fā)現(xiàn)獲取GET_TASK檢索了應用程序、Android ID、IP地址、MAC地址、IMEI、IMSI;
  2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。


44

錢盒商戶通

5.0.4

深圳盒子信息科技有限公司

1.App未明確告知收集使用相機權限的目的、方式、范圍;
  2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;
  3.賬號注銷難:為注銷用戶賬號設置不必要或不合理條件。


45

房貸計算器

1.3.6

深圳市中龍信息科技有限公司

1.未經(jīng)用戶閱讀隱私政策,應用就申請獲取電話狀態(tài)信息權限;
  2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息;
  3.更正、刪除個人信息難:更正、刪除個人信息的人工處理承諾時限(三十天)超過15個工作日;
  4.投訴、舉報承諾處理時限過長:個人信息安全投訴、舉報渠道的承諾處理時限(三十天)超過15個工作日。


46

飛貸

6.5.9

深圳中興飛貸金融科技有限公司

應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。


47

我要自學網(wǎng)

1.7.5

佛山市豐智勝教育咨詢服務有限公司

1.未經(jīng)用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監(jiān)控發(fā)現(xiàn)獲取Android ID、MAC地址、IMEI、IMSI;
  2.存在嵌入第三方代碼、插件等方式通過App客戶端直接收集個人信息的情況,且在使用過程中未明確告知用戶;
  3.未按法律規(guī)定提供刪除或更正個人信息功能。


48

三國志幻想大陸

1.2.12

深圳市豆悅網(wǎng)絡科技有限公司

1.未經(jīng)用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監(jiān)控發(fā)現(xiàn)獲取GET_TASK檢索了應用程序、Android ID、IP地址、MAC地址、IMEI、IMSI;
  2.存在嵌入第三方代碼、插件等方式通過App客戶端直接收集個人信息的情況,且在使用過程中未明確告知用戶。


49

哆點

2.5.9

廣州熱點軟件科技股份有限公司

1.未經(jīng)用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監(jiān)控發(fā)現(xiàn)獲取Android ID、IP地址、MAC地址、IMEI;
  2.存在嵌入第三方代碼、插件等方式通過App客戶端直接收集個人信息的情況,且在使用過程中未明確告知用戶;
  3.未按法律規(guī)定提供刪除或更正個人信息功能。


50

Q房網(wǎng)

9.4.2

深圳市云房網(wǎng)絡科技有限公司

1.更正、刪除個人信息處理時限過長:更正、刪除個人信息的人工處理承諾時限為30天,超過15個工作日。

1.Java代碼反編譯風險;
  2.Webview明文存儲密碼風險;
  3.密鑰硬編碼漏洞;
  4.Content Provider數(shù)據(jù)泄露漏洞

51

跑跑達人

1.1

深圳市夢想暢游科技有限公司

1.未公開收集使用規(guī)則:App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取個人的存儲權限;
  2.進入App主界面,隱私政策難以訪問;
  3.強制用戶使用定向推送功能:利用用戶個人信息和算法定向推送信息,未提供非定向推送信息的選項。

1.應用數(shù)據(jù)任意備份風險;
  2.Service組件導出風險

52

蛇蛇爭霸

6.8.0

深圳市抱一網(wǎng)絡科技有限公司

1.未公開收集使用規(guī)則:App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取個人的存儲、電話兩項權限;
  2.進入App主界面,隱私政策難以訪問;
  3.不給權限不讓用:用戶不同意開啟非App運行最小必要的電話權限,App無法使用。

1.Janus簽名機制漏洞

53

共享師資

3.2.1

廣州利他網(wǎng)絡科技有限公司

1.未公開收集使用規(guī)則:App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取個人的相機、存儲兩項權限;
  2.未明示收集使用個人信息的目的、方式和范圍:隱私政策中未列出獲取相機、存儲權限的目的、方式、范圍。
  3.違反必要原則:App在用戶未使用相關功能或服務時,提前申請開啟相機權限;
  4.App在用戶明確拒絕相機權限和存儲權限申請后,頻繁申請開啟與服務場景無關的權限,騷擾用戶;
  5.以默認方式同意隱私政策。

1.剪切板敏感信息泄露漏洞;
  2.InnerHTML的XSS攻擊漏。

54

鯨魚閱讀

2.0.8

深圳市華閱文化傳媒有限公司

1.未公開收集使用規(guī)則:App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取個人的位置、存儲和電話權限;
  2.隱私政策難以訪問:進入App主界面后,需5次(多于4次)點擊操作才能訪問到;
  3.未明示收集使用個人信息的目的、方式和范圍:隱私政策未列出獲取存儲權限的目的、方式和范圍;
  4.違反必要原則:App在用戶未使用相關功能或服務時,提前申請開啟位置權限。


55

全民千炮捕魚

6.0.12

深圳游創(chuàng)天下網(wǎng)絡科技有限公司

1.未公開收集使用規(guī)則:App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取位置、存儲、電話和短信權限;
  2.進入App主界面,隱私政策難以訪問;
  3.違反必要原則:App在用戶未使用相關功能或服務時,提前申請開啟位置和短信權限。

1.Java代碼反編譯風險
  2.Janus簽名機制漏洞
  3.未移除有風險的Webview系統(tǒng)隱藏接口漏洞

56

捕魚至尊寶

9.0.23.4.0

深圳智道明遠科技有限公司

1.未公開收集使用規(guī)則:App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取位置、存儲、電話權限;
  2.以默認方式同意隱私政策;
  3.違反必要原則:App在用戶未使用相關功能或服務時,提前申請開啟位置權限。

1.Janus簽名機制漏洞;
  2.Webview明文存儲密碼風險;
  3.“應用克隆”漏洞攻擊風險;
  4.未移除有風險的Webview系統(tǒng)隱藏接口漏洞。

57

紅娘婚戀

2.8.0

深圳市創(chuàng)樂天下網(wǎng)絡科技有限公司

1.投訴、舉報承諾處理時限過長:個人信息安全投訴、舉報渠道的承諾處理時限30日超過15個工作日。

1.明文數(shù)字證書風險;
  2.Activity組件導出風險;
  3.Service組件導出風險;
  4.Broadcast Receiver組件導出風險。

58

松果傾訴

7.8.2.2

廣州智悅網(wǎng)絡科技有限公司

1.未公開收集使用規(guī)則:App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取存儲、電話權限,亦未同步告知用戶其目的;
  2.不給權限不讓用:用戶不同意開啟非App運行最小必要的電話權限,App無法使用。

1.Janus簽名機制漏洞

59

對莊翡翠

6.3.7

深圳市對莊科技有限公司

1.未公開收集使用規(guī)則:App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取存儲、電話權限;
  2.進入App主界面,隱私政策難以訪問;
  3.未明示收集使用個人信息的目的、方式和范圍:隱私政策中沒有列出獲取存儲、電話、相機等權限的目的、方式、范圍;
  4.以默認方式同意隱私政策;
  5.違反必要原則:修改個人信息頭像時需要開啟非最小必要的相機權限(存儲權限是最小必要權限),不給權限不讓修改;
  6.不給權限不讓用:用戶不同意開啟非App運行最小必要的電話權限,App無法使用;
  7.投訴、舉報承諾處理時限過長:個人信息安全投訴、舉報渠道的承諾處理時限(三十天)超過15個工作日。

1.FFmpeg文件讀取漏洞。

60

經(jīng)絡穴位圖解

6.1.6

深圳市灸大夫醫(yī)療科技有限公司

1.未公開收集使用規(guī)則:App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取存儲、電話權限,亦未同步告知用戶其目的;
  2.不給權限不讓用:用戶不同意開啟非App運行最小必要的電話權限,App無法使用;
  3.賬號注銷難:為注銷用戶賬號設置不合理條件,“30天緩沖期”的注銷處理承諾時限超過15個工作日。

1.Janus簽名機制漏洞

61

史上最坑爹的游戲3

7.1.01

珠海頂峰互動科技有限公司

1.未公開收集使用規(guī)則:App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取存儲、電話權限; 
  2.不給權限不讓用:用戶不同意開啟非App運行最小必要的電話權限,App無法使用;
  3.應用內集成多個第三方SDK,未逐一列出第三方SDK收集使用個人信息的目的、方式、范圍等。

1.Java代碼反編譯風險
  2.Janus簽名機制漏洞

62

云淘集

2.9.1

深圳市造夢網(wǎng)絡科技有限公司

1.未明示收集使用個人信息的目的、方式和范圍:在申請打開可收集個人信息的存儲、位置權限時,未同步告知用戶其目的;
  2.隱私政策中沒有列出獲取存儲、位置權限的目的、方式、范圍;
  3.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。

1.Java代碼反編譯風險;
  2.Webview明文存儲密碼風險;
  3.Webview File同源策略繞過漏洞;
  4.InnerHTML的XSS攻擊漏洞

63

萬順叫車

4.8.8

深圳萬順叫車云信息技術有限公司

1.未公開收集使用規(guī)則:App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取個人位置、存儲和電話三項權限;
  2.違反必要原則:修改個人信息頭像時需要開啟非最小必要的相機權限(存儲權限是最小必要權限),不給權限不讓修改;
  3.未明示收集使用個人信息的目的、方式和范圍:隱私政策未列出獲取相機權限的目的、方式和范圍;
  4.收集使用個人信息的目的、方式、范圍發(fā)生變化時,未以適當方式通知用戶。


64

口袋助理

V6.5.0

深圳市口袋網(wǎng)絡科技有限公司

1.未公開收集使用規(guī)則:App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取存儲、電話權限。

1.Webview明文存儲密碼風險
  2.密鑰硬編碼漏洞
  3.InnerHTML的XSS攻擊漏洞

65

媽媽金融學院

V2.8.1

廣州普融教育科技有限公司

1.App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取存儲權限。

1.Java代碼反編譯風險;
  2.Webview明文存儲密碼風險;
  3.Webview File同源策略繞過漏洞。

66

美胸匯

V5.6.0

廣州一九九零科技有限公司

1.未公開收集使用規(guī)則:App首次運行未經(jīng)用戶閱讀隱私政策,就申請獲取位置、電話權限;
  2.違反必要原則:App在用戶未使用相關功能或服務時,提前申請開啟相機、位置、麥克風權限。

1.FFmpeg文件讀取漏洞

67

十色成人兩性情趣

V6.0.1

深圳市德他數(shù)據(jù)有限公司

1.App未明確告知收集使用電話權限的目的、方式、范圍;
  2.違反必要原則:App在用戶未使用相關功能或服務時,提前申請開啟撥打電話和相機權限。

1.Activity組件導出風險;
  2.Service組件導出風險

68

有車以后

4.37.0

廣州有車以后信息科技有限公司

1.未經(jīng)用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監(jiān)控發(fā)現(xiàn)GET_TASK檢索了應用程序。
  2.超頻獲取電話權限。

1.Root環(huán)境檢測
  2.防截屏檢測
  3.界面劫持安全

69

坐車網(wǎng)

3.18.201551

廣州浩寧智能設備有限公司

1.未經(jīng)用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監(jiān)控發(fā)現(xiàn)GET_TASK獲取Android ID、MAC地址。
  2.超頻獲取電話權限。
  3.未提供有效的更正、刪除個人信息及注銷用戶賬號功能。

1.Root環(huán)境檢測
  2.敏感信息內存加密
  3.防截屏檢測
  4.界面劫持安全
  5.登陸密碼爆破風險

70

八斗銀

2.0.2

廣東八斗銀建設投資集團有限公司

1.未明示收集使用個人信息的目的、方式和范圍:申請個人信息權限或個人敏感信息時未同步告知用戶目的,且隱私政策中也未說明。
  2.未經(jīng)用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監(jiān)控發(fā)現(xiàn)GET_TASK檢索了應用程序、Android ID、MAC地址、ip地址。
  3.未提供撤回已同意授權的用戶操作方法。
  4.應用內集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。
  5.未提供賬號注銷途徑。

1.Root環(huán)境檢測
  2.防截屏檢測
  3.界面劫持安全

71

高鐵管家

7.4

深圳市活力天匯科技股份有限公司

1.未經(jīng)用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監(jiān)控發(fā)現(xiàn)GET_TASK獲取應用程序、Android ID。
  2.超頻獲取電話權限。

1.Root環(huán)境檢測
  2.界面劫持安全

72

WiFi管家

3.9.6

深圳市騰訊計算機系統(tǒng)有限公司

1.賬號注銷難:應用內未發(fā)現(xiàn)注銷賬號功能
  2.應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一說明以及是否向第三方共享信息。

Webview明文存儲密碼風險

73

廣銀信用卡

3.9.4

廣州銀行股份有限公司信用卡中心

1.未經(jīng)用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監(jiān)控發(fā)現(xiàn)GET_TASK獲取應用程序、Android ID、MAC地址、ip地址。  
  2.同意存儲權限不同意相機權限無法正常使用更換頭像功能。
  3.隱私政策未發(fā)現(xiàn)描述響應時限的條款。


74

蜜桃直播

8.17.0

廣州市九浚信息技術有限公司

1.未經(jīng)用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監(jiān)控發(fā)現(xiàn)GET_TASK獲取了應用程序、Android ID、MAC地址、IMEI。
  2.主界面四步以內未能找到隱私政策。

1.Root環(huán)境檢測
  2.防截屏檢測
  3.界面劫持安全
  4.登陸密碼爆破風險

75

56視頻

6.1.8

廣州市千鈞網(wǎng)絡科技有限公司

1.未明示收集使用個人信息的目的、方式和范圍:56視頻隱私政策完全調用搜狐視頻隱私政策,描述完全一致,且未通過自定義彈窗告知索權目的。
  2.未經(jīng)用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監(jiān)控發(fā)現(xiàn)GET_TASK檢索了應用程序、IP地址、MAC地址、IMEI、IMSI。
  3.應用內集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。


76

人氣直播

6.2.1

深圳市果醬時代科技有限公司

1.未明示收集使用個人信息的目的、方式和范圍:隱私政策中未明示手機信息權限和存儲權限使用目的,也未使用自定義彈框同步告知目的。
  2.未經(jīng)用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監(jiān)控發(fā)現(xiàn)GET_TASK檢索了應用程序、Android ID、IMSI。
  3.以默認同意的方式收集個人信息:首次登錄時默認同意隱私政策。
  4.應用內集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。

1.敏感信息內存加密      
  2.防截屏檢測
  3.界面劫持安全

77

來吼語音

1.25.0

廣州檸檸網(wǎng)絡科技有限公司

1.未明示收集使用個人信息的目的、方式和范圍:首次運行未以彈窗的方式告知用戶協(xié)議和隱私政策,也未使用自定義彈框同步告知索權目的。
   2.未經(jīng)用戶同意收集使用個人信息:首次開啟App,未同意隱私政策前行為監(jiān)控發(fā)現(xiàn)GET_TASK檢索了應用程序、Android ID、MAC地址 、ip地址   、IMEI、IMSI。
  3.以默認同意的方式收集個人信息:首次登錄時默認同意隱私政策。
  4.應用內集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。

界面劫持安全

78

記點點記賬

1.9.9

廣州小邁網(wǎng)絡科技有限公司

1.應用內集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。
  2.未公開收集使用規(guī)則:App首次運行未彈窗提示用戶閱讀隱私政策。
  3. 未明示收集使用個人信息的目的、方式和范圍:申請打開可收集個人信息的權限時,未同步告知用戶其目的。


79

廣州農(nóng)商銀行

5.5.9

廣州農(nóng)村商業(yè)銀行股份有限公司

1.應用內集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。
  2.未公開收集使用規(guī)則:App首次運行未彈窗提示用戶閱讀隱私政策。
  3. 未明示收集使用個人信息的目的、方式和范圍:申請打開可收集個人信息的權限時,未同步告知用戶其目的。


80

極簡記賬

1.8.3

深圳路得青云信息科技有限公司

1.應用內集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。
  2.未公開收集使用規(guī)則:App首次運行未彈窗提示用戶閱讀隱私政策。
  3. 未明示收集使用個人信息的目的、方式和范圍:申請打開可收集個人信息的權限時,未同步告知用戶其目的。


81

奧買家全球購

4.1.4

廣東奧園奧買家電子商務有限公司

1.應用內集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。
  2.未公開收集使用規(guī)則:App首次運行未彈窗提示用戶閱讀隱私政策。
  3. 未明示收集使用個人信息的目的、方式和范圍:申請打開可收集個人信息的權限時,未同步告知用戶其目的。

存在Java代碼反編譯風險

82

恒大財富

3.4.3

恒大互聯(lián)網(wǎng)金融服務(深圳)有限公司

應用內集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。


83

同學會

1.6.9

深圳眾海誠信息咨詢服務有限公司

應用內集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。


84

全民錢包

6.2.1.0

廣州市全民錢包科技有限公司

應用內集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。


85

廣東農(nóng)信

3.3.4

廣東省農(nóng)村信用社聯(lián)合社

1.未公開收集使用規(guī)則:App首次運行未彈窗提示用戶閱讀隱私政策。
  2. 未明示收集使用個人信息的目的、方式和范圍:申請打開可收集個人信息的權限時,未同步告知用戶其目的。


86

中信證券

3.03.029

中信證券股份有限公司

應用內集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。


87

汽修寶

5.13.1.2

廣州前實網(wǎng)絡科技有限公司

1.應用內集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。
  2.未公開收集使用規(guī)則:App首次運行未彈窗提示用戶閱讀隱私政策。
  3. 未明示收集使用個人信息的目的、方式和范圍:申請打開可收集個人信息的權限時,未同步告知用戶其目的。


88

點點

3.3.5

深圳蜂點科技有限公司

應用內集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一說明是否向第三方共享信息。


廣告聲明:文內含有的對外跳轉鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時間,結果僅供參考,IT之家所有文章均包含本聲明。

相關文章

關鍵詞:應用隱私

軟媒旗下網(wǎng)站: IT之家 最會買 - 返利返現(xiàn)優(yōu)惠券 iPhone之家 Win7之家 Win10之家 Win11之家

軟媒旗下軟件: 軟媒手機APP應用 魔方 最會買 要知