原标题:广东省通信管理局App监管情况通报 (2020年10月)
来源:广东省通信管理局
广东省通信管理局践行“以人民为中心”的发展思想,按照工业和信息化部关于App数据安全和侵害用户权益专项整治的工作部署和要求,加强对属地App的监督检查,建设App监管平台,并委托第三方专业机构进行检测,累计检测5千余款App,共发现疑似存在问题App 237款,经核验确定问题App 88款,对其中“红娘婚恋”等85款App运营者发出《违法违规App处置通知》责令限期改正并通知各应用商店督促整改,对问题突出的“捷停车”“驾考家园”“凯立德导航”3款App运营企业做出警告并罚款的行政处罚决定。
被查处的App存在两方面问题,一是App及其后台服务器存在“明文存储密码”“反编译”“SQL注入”等数据安全隐患问题;二是违反用户个人信息保护规定,包括“未公开明示收集规则”“默认勾选同意隐私协议”“未列明所集成SDK及其采集信息”“为注销账号、删除个人信息设置障碍”“未经用户同意共享给第三方”等侵犯用户对其个人信息处理享有的知情权、决定权,以及违反最小必要原则超前、超需、超频索取权限或采集信息,甚至不给必需权限不让用等强迫行为。
被予以行政处罚的“捷停车”App存在侵害用户权益的问题较为典型,其中最为突出的问题是:为用户注销账号设置过多不合理的障碍。App在用户注册账号时仅凭手机号码及验证码即完成注册,但注销账号时却要求用户提供手机号码的真实姓名、身份证正反面照片,甚至要求用户提供电信运营商出具的手机号码权属证明方可受理。此外,该App还存在未使用相关功能就索取用户相机权限,且相机权限及App集成的地图、支付、推送、统计、分享等多个SDK均未在隐私政策中逐一列明。对此,广东省通信管理局约谈了捷停车App运营公司的负责人,对该公司做出给予警告并罚款两万元的行政处罚,同时报请工业和信息化部纳入电信业务经营不良名单。
下一步,广东省通信管理局坚持“技管结合”,不断加大对App的监督检查力度,并强化对已责令整改或行政处罚的App进行跟踪复测,对问题突出、整改不彻底的App及运营企业,坚决采取下架、停接入、停域名、行政处罚以及纳入电信业务经营不良名单或失信名单并公开曝光等措施进行严厉处置,切实维护App网络数据和个人信息安全。
附件
存在问题的App名单(88款)
|
序号 |
App名称 |
版本号 |
企业名称 |
侵害用户权益问题 |
安全隐患问题 |
|
1 |
驾考家园 |
6.1 |
广州先睿数码科技有限公司 |
1.“未公开收集使用规则”:App首次运行未经用户阅读隐私政策,就申请获取存储、电话、麦克风、相机和位置五项权限; |
|
|
2 |
捷停车 |
4.2.0 |
深圳市顺易通信息科技有限公司 |
1.“违反必要原则收集个人信息”:在用户未使用相关功能或服务时,提前申请开启相机权限; |
|
|
3 |
凯立德导航 |
8.4.2 |
深圳市凯立德欣软件技术有限公司 |
1.未明示收集使用个人信息的目的、方式和范围:App申请使用相机、麦克风和通信录三项权限,超出隐私政策用户授权范围; |
|
|
4 |
千聊 |
V4.2.7 |
广州思坞信息科技有限公司 |
1.以默认方式同意隐私政策; |
|
|
5 |
KingRoot |
5.4.0 |
广州云讯信息科技有限公司 |
1.未公开收集使用规则:App中未发现隐私政策; |
|
|
6 |
向日葵保险 |
4.50.0 |
广州向日葵信息科技有限公司 |
1.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; |
1.Java代码反编译风险 |
|
7 |
花生日记 |
4.7.8 |
广州花生日记网络科技有限公司 |
1.未经用户同意收集使用个人信息:首次开启App,未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、MAC地址、IMEI、IMSI; |
1.Activity组件导出风险 |
|
8 |
夸克 |
4.2.5.140 |
优视科技(中国)有限公司 |
1.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 |
1.Java代码反编译风险 |
|
9 |
NOW直播 |
1.54.5.14 |
深圳市腾讯计算机系统有限公司 |
1.超范围收集个人信息:应用申请使用拍照权限,超出隐私政策用户授权范围; |
|
|
10 |
全民电视直播 |
4.8.3 |
珠海星动技术咨询有限公司 |
1.未经用户同意收集使用个人信息:首次开启App,未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、MAC地址 、IMEI、IMSI; |
1.FFmpeg文件读取漏洞 |
|
11 |
唯品会 |
7.28.3 |
广州唯品会电子商务有限公司 |
1.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 |
1.Webview明文存储密码风险 |
|
12 |
迅雷 |
7.05.0.7076 |
深圳市迅雷网文化有限公司 |
1. App未明确告知收集使用读取联系人权限的目的、方式、范围; |
|
|
13 |
金十数据 |
4.7.1 |
广州金十信息科技有限公司 |
1.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; |
1.InnerHTML的XSS攻击漏洞 |
|
14 |
布卡漫画 |
2.4.1.7 |
珠海布卡科技有限公司 |
1.不给权限不让用:用户拒绝授予访问外部存储权限后,无法使用应用. |
1.Webview明文存储密码风险 |
|
15 |
爱拍 |
5.3.4.912 |
广州爱拍网络科技有限公司 |
1.未公开收集使用规则:App首次运行未经用户阅读隐私政策,就申请获取存储和电话权限; |
1.Webview明文存储密码风险 |
|
16 |
MAKA |
5.21.6 |
深圳格莱珉文化传播有限公司 |
1.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; |
|
|
17 |
时代财经 |
3.4.4 |
广东时代传媒有限公司 |
1.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; |
1.InnerHTML的XSS攻击漏洞 |
|
18 |
微商相册 |
v2.7.12.05221404 |
深圳市微购科技有限公司 |
1.私自共享给第三方:应用内集成多个第三方SDK,且未在隐私政策逐一说明会向第三方共享信息; |
1.应用数据任意备份风险 |
|
19 |
迷人直播 |
V8.2.1 |
深圳恩斯洛格科技有限公司 |
1.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; |
|
|
20 |
西瓜影音播放器 |
1.0.4 |
深圳乡里云网络科技有限公司 |
1.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; |
1.Webview明文存储密码风险 |
|
21 |
小7手游 |
4.999X.99PERMISSION.1986 |
深圳尚米网络技术有限公司 |
1.超范围收集个人信息:应用申请使用麦克风权限,超出隐私政策用户授权范围; |
|
|
22 |
丝瓜视频 |
4.5.11 |
深圳美明赞文化传播有限公司 |
1.未逐一列出第三方SDK收集使用个人信息的目的、方式、范围等; |
1.Java代码反编译风险 |
|
23 |
快猫 |
5.4.3 |
深圳市禾火网络科技有限公司 |
1.未按法律规定提供删除或更正个人信息功能; |
1.Webview明文存储密码风险 |
|
24 |
我的安吉拉 |
4.6.2.1037 |
广州金科文化科技有限公司 |
1. App未明确告知收集使用拍照权限的目的、方式、范围; |
1.存在应用备份风险 |
|
25 |
汤姆猫跑酷 |
4.4.1.491 |
广州金科文化科技有限公司 |
1.App未明确告知收集使用拍照权限的目的、方式、范围; |
1.存在应用备份风险 |
|
26 |
老黄历通胜-日历万年历择日 |
5.9.0 |
广东灵机文化传播有限公司 |
1.App未明确告知收集使用拍照、麦克风和电话权限的目的、方式、范围; |
1.存在Java代码反编译风险 |
|
27 |
企鹅电竞 |
6.2.0.516 |
深圳市腾讯计算机系统有限公司 |
1.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; |
Webview明文存储密码风险 |
|
28 |
九游 |
7.2.3.2 |
广州爱九游信息技术有限公司 |
1.App未明确告知收集使用读取日程提醒权限的目的、方式、范围; |
|
|
29 |
帮购 |
3.2.2.r |
深圳市帮购科技有限公司 |
1.未公开收集使用规则:App中未发现隐私政策; |
1.存在Java代码反编译风险 |
|
30 |
时空猎人 |
5.1.1120 |
广州银汉科技有限公司 |
1.未公开收集使用规则:App首次运行未经用户阅读隐私政策,就申请获取读取电话状态权限; |
1.存在应用备份风险 |
|
31 |
洪铟八字算命 |
12.7.8 |
广州洪铟信息科技有限公司 |
1.私自共享给第三方:应用内集成第三方SDK,且未在隐私政策逐一说明会向第三方共享信息; |
1.存在应用备份风险 |
|
32 |
唯彩看球 |
5.7.4 |
广州唯彩会网络科技有限公司 |
1.App未明确告知收集使用拍照权限的目的、方式、范围; |
1.存在应用备份风险 |
|
33 |
神庙逃亡2 |
5.5.0 |
深圳市创梦天地科技有限公司 |
1.未经用户同意收集使用个人信息:首次开启App,未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、MAC地址、ip地址; |
|
|
34 |
地铁跑酷 |
3.10.0 |
深圳市梦域科技有限公司 |
1.App首次运行未经用户阅读隐私政策,就申请获取电话、相机、位置、存储、麦克风和拨打电话权限; |
|
|
35 |
浏览器 |
8.3.11.0 |
深圳市艾酷通信软件有限公司 |
1.App未明确告知收集使用相机、麦克风权限的目的、方式、范围; |
1.存在Java代码反编译风险 |
|
36 |
万联证券股票开户 |
3.3.8 |
万联证券股份有限公司 |
1.App首次运行未经用户阅读隐私政策,应用就申请获取相机、录音、存储和位置信息权限; |
1.存在Java代码反编译风险 |
|
37 |
富途牛牛 |
10.17.1252 |
深圳市富途网络科技有限公司 |
1应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; |
|
|
38 |
立刷 |
3.1.3 |
嘉联支付有限公司 |
1.App未明确告知收集使用麦克风权限的目的、方式、范围; |
1.存在应用备份风险 |
|
39 |
立刷商户版 |
2.4.3 |
嘉联支付有限公司 |
1.App未明确告知收集使用麦克风权限的目的、方式、范围; |
1.存在Java代码反编译风险 |
|
40 |
中邮钱包 |
2.8.6 |
中邮消费金融有限公司 |
1.App未明确告知收集使用麦克风权限的目的、方式、范围 |
|
|
41 |
顺丰金融 |
V4.3.2 |
深圳市顺恒融丰投资有限公司 |
1.App未明确告知收集使用短信和日历权限的目的、方式、范围; |
1.存在Java代码反编译风险 |
|
42 |
乐刷商务版 |
6.0.0 |
深圳市移卡科技有限公司 |
1.未经用户阅读隐私政策,应用就申请获取读取位置、存储和电话三项权限; |
|
|
43 |
心语语音聊天交友 |
1.4.0 |
惠州市屹立信息技术有限公司 |
1.未经用户同意收集使用个人信息:首次开启App,未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、IP地址、MAC地址、IMEI、IMSI; |
|
|
44 |
钱盒商户通 |
5.0.4 |
深圳盒子信息科技有限公司 |
1.App未明确告知收集使用相机权限的目的、方式、范围; |
|
|
45 |
房贷计算器 |
1.3.6 |
深圳市中龙信息科技有限公司 |
1.未经用户阅读隐私政策,应用就申请获取电话状态信息权限; |
|
|
46 |
飞贷 |
6.5.9 |
深圳中兴飞贷金融科技有限公司 |
应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 |
|
|
47 |
我要自学网 |
1.7.5 |
佛山市丰智胜教育咨询服务有限公司 |
1.未经用户同意收集使用个人信息:首次开启App,未同意隐私政策前行为监控发现获取Android ID、MAC地址、IMEI、IMSI; |
|
|
48 |
三国志幻想大陆 |
1.2.12 |
深圳市豆悦网络科技有限公司 |
1.未经用户同意收集使用个人信息:首次开启App,未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、IP地址、MAC地址、IMEI、IMSI; |
|
|
49 |
哆点 |
2.5.9 |
广州热点软件科技股份有限公司 |
1.未经用户同意收集使用个人信息:首次开启App,未同意隐私政策前行为监控发现获取Android ID、IP地址、MAC地址、IMEI; |
|
|
50 |
Q房网 |
9.4.2 |
深圳市云房网络科技有限公司 |
1.更正、删除个人信息处理时限过长:更正、删除个人信息的人工处理承诺时限为30天,超过15个工作日。 |
1.Java代码反编译风险; |
|
51 |
跑跑达人 |
1.1 |
深圳市梦想畅游科技有限公司 |
1.未公开收集使用规则:App首次运行未经用户阅读隐私政策,就申请获取个人的存储权限; |
1.应用数据任意备份风险; |
|
52 |
蛇蛇争霸 |
6.8.0 |
深圳市抱一网络科技有限公司 |
1.未公开收集使用规则:App首次运行未经用户阅读隐私政策,就申请获取个人的存储、电话两项权限; |
1.Janus签名机制漏洞 |
|
53 |
共享师资 |
3.2.1 |
广州利他网络科技有限公司 |
1.未公开收集使用规则:App首次运行未经用户阅读隐私政策,就申请获取个人的相机、存储两项权限; |
1.剪切板敏感信息泄露漏洞; |
|
54 |
鲸鱼阅读 |
2.0.8 |
深圳市华阅文化传媒有限公司 |
1.未公开收集使用规则:App首次运行未经用户阅读隐私政策,就申请获取个人的位置、存储和电话权限; |
|
|
55 |
全民千炮捕鱼 |
6.0.12 |
深圳游创天下网络科技有限公司 |
1.未公开收集使用规则:App首次运行未经用户阅读隐私政策,就申请获取位置、存储、电话和短信权限; |
1.Java代码反编译风险 |
|
56 |
捕鱼至尊宝 |
9.0.23.4.0 |
深圳智道明远科技有限公司 |
1.未公开收集使用规则:App首次运行未经用户阅读隐私政策,就申请获取位置、存储、电话权限; |
1.Janus签名机制漏洞; |
|
57 |
红娘婚恋 |
2.8.0 |
深圳市创乐天下网络科技有限公司 |
1.投诉、举报承诺处理时限过长:个人信息安全投诉、举报渠道的承诺处理时限30日超过15个工作日。 |
1.明文数字证书风险; |
|
58 |
松果倾诉 |
7.8.2.2 |
广州智悦网络科技有限公司 |
1.未公开收集使用规则:App首次运行未经用户阅读隐私政策,就申请获取存储、电话权限,亦未同步告知用户其目的; |
1.Janus签名机制漏洞 |
|
59 |
对庄翡翠 |
6.3.7 |
深圳市对庄科技有限公司 |
1.未公开收集使用规则:App首次运行未经用户阅读隐私政策,就申请获取存储、电话权限; |
1.FFmpeg文件读取漏洞。 |
|
60 |
经络穴位图解 |
6.1.6 |
深圳市灸大夫医疗科技有限公司 |
1.未公开收集使用规则:App首次运行未经用户阅读隐私政策,就申请获取存储、电话权限,亦未同步告知用户其目的; |
1.Janus签名机制漏洞 |
|
61 |
史上最坑爹的游戏3 |
7.1.01 |
珠海顶峰互动科技有限公司 |
1.未公开收集使用规则:App首次运行未经用户阅读隐私政策,就申请获取存储、电话权限; |
1.Java代码反编译风险 |
|
62 |
云淘集 |
2.9.1 |
深圳市造梦网络科技有限公司 |
1.未明示收集使用个人信息的目的、方式和范围:在申请打开可收集个人信息的存储、位置权限时,未同步告知用户其目的; |
1.Java代码反编译风险; |
|
63 |
万顺叫车 |
4.8.8 |
深圳万顺叫车云信息技术有限公司 |
1.未公开收集使用规则:App首次运行未经用户阅读隐私政策,就申请获取个人位置、存储和电话三项权限; |
|
|
64 |
口袋助理 |
V6.5.0 |
深圳市口袋网络科技有限公司 |
1.未公开收集使用规则:App首次运行未经用户阅读隐私政策,就申请获取存储、电话权限。 |
1.Webview明文存储密码风险 |
|
65 |
妈妈金融学院 |
V2.8.1 |
广州普融教育科技有限公司 |
1.App首次运行未经用户阅读隐私政策,就申请获取存储权限。 |
1.Java代码反编译风险; |
|
66 |
美胸汇 |
V5.6.0 |
广州一九九零科技有限公司 |
1.未公开收集使用规则:App首次运行未经用户阅读隐私政策,就申请获取位置、电话权限; |
1.FFmpeg文件读取漏洞 |
|
67 |
十色成人两性情趣 |
V6.0.1 |
深圳市德他数据有限公司 |
1.App未明确告知收集使用电话权限的目的、方式、范围; |
1.Activity组件导出风险; |
|
68 |
有车以后 |
4.37.0 |
广州有车以后信息科技有限公司 |
1.未经用户同意收集使用个人信息:首次开启App,未同意隐私政策前行为监控发现GET_TASK检索了应用程序。 |
1.Root环境检测 |
|
69 |
坐车网 |
3.18.201551 |
广州浩宁智能设备有限公司 |
1.未经用户同意收集使用个人信息:首次开启App,未同意隐私政策前行为监控发现GET_TASK获取Android ID、MAC地址。 |
1.Root环境检测 |
|
70 |
八斗银 |
2.0.2 |
广东八斗银建设投资集团有限公司 |
1.未明示收集使用个人信息的目的、方式和范围:申请个人信息权限或个人敏感信息时未同步告知用户目的,且隐私政策中也未说明。 |
1.Root环境检测 |
|
71 |
高铁管家 |
7.4 |
深圳市活力天汇科技股份有限公司 |
1.未经用户同意收集使用个人信息:首次开启App,未同意隐私政策前行为监控发现GET_TASK获取应用程序、Android ID。 |
1.Root环境检测 |
|
72 |
WiFi管家 |
3.9.6 |
深圳市腾讯计算机系统有限公司 |
1.账号注销难:应用内未发现注销账号功能 |
Webview明文存储密码风险 |
|
73 |
广银信用卡 |
3.9.4 |
广州银行股份有限公司信用卡中心 |
1.未经用户同意收集使用个人信息:首次开启App,未同意隐私政策前行为监控发现GET_TASK获取应用程序、Android ID、MAC地址、ip地址。 |
|
|
74 |
蜜桃直播 |
8.17.0 |
广州市九浚信息技术有限公司 |
1.未经用户同意收集使用个人信息:首次开启App,未同意隐私政策前行为监控发现GET_TASK获取了应用程序、Android ID、MAC地址、IMEI。 |
1.Root环境检测 |
|
75 |
56视频 |
6.1.8 |
广州市千钧网络科技有限公司 |
1.未明示收集使用个人信息的目的、方式和范围:56视频隐私政策完全调用搜狐视频隐私政策,描述完全一致,且未通过自定义弹窗告知索权目的。 |
|
|
76 |
人气直播 |
6.2.1 |
深圳市果酱时代科技有限公司 |
1.未明示收集使用个人信息的目的、方式和范围:隐私政策中未明示手机信息权限和存储权限使用目的,也未使用自定义弹框同步告知目的。 |
1.敏感信息内存加密 |
|
77 |
来吼语音 |
1.25.0 |
广州柠柠网络科技有限公司 |
1.未明示收集使用个人信息的目的、方式和范围:首次运行未以弹窗的方式告知用户协议和隐私政策,也未使用自定义弹框同步告知索权目的。 |
界面劫持安全 |
|
78 |
记点点记账 |
1.9.9 |
广州小迈网络科技有限公司 |
1.应用内集成多个可收集个人信息的第三方SDK,但未在隐私政策逐一说明是否向第三方共享信息。 |
|
|
79 |
广州农商银行 |
5.5.9 |
广州农村商业银行股份有限公司 |
1.应用内集成多个可收集个人信息的第三方SDK,但未在隐私政策逐一说明是否向第三方共享信息。 |
|
|
80 |
极简记账 |
1.8.3 |
深圳路得青云信息科技有限公司 |
1.应用内集成多个可收集个人信息的第三方SDK,但未在隐私政策逐一说明是否向第三方共享信息。 |
|
|
81 |
奥买家全球购 |
4.1.4 |
广东奥园奥买家电子商务有限公司 |
1.应用内集成多个可收集个人信息的第三方SDK,但未在隐私政策逐一说明是否向第三方共享信息。 |
存在Java代码反编译风险 |
|
82 |
恒大财富 |
3.4.3 |
恒大互联网金融服务(深圳)有限公司 |
应用内集成多个可收集个人信息的第三方SDK,但未在隐私政策逐一说明是否向第三方共享信息。 |
|
|
83 |
同学会 |
1.6.9 |
深圳众海诚信息咨询服务有限公司 |
应用内集成多个可收集个人信息的第三方SDK,但未在隐私政策逐一说明是否向第三方共享信息。 |
|
|
84 |
全民钱包 |
6.2.1.0 |
广州市全民钱包科技有限公司 |
应用内集成多个可收集个人信息的第三方SDK,但未在隐私政策逐一说明是否向第三方共享信息。 |
|
|
85 |
广东农信 |
3.3.4 |
广东省农村信用社联合社 |
1.未公开收集使用规则:App首次运行未弹窗提示用户阅读隐私政策。 |
|
|
86 |
中信证券 |
3.03.029 |
中信证券股份有限公司 |
应用内集成多个可收集个人信息的第三方SDK,但未在隐私政策逐一说明是否向第三方共享信息。 |
|
|
87 |
汽修宝 |
5.13.1.2 |
广州前实网络科技有限公司 |
1.应用内集成多个可收集个人信息的第三方SDK,但未在隐私政策逐一说明是否向第三方共享信息。 |
|
|
88 |
点点 |
3.3.5 |
深圳蜂点科技有限公司 |
应用内集成多个可收集个人信息的第三方SDK,但未在隐私政策逐一说明是否向第三方共享信息。
|
责任编辑:王蒙
APP专享直播
热门推荐
收起
24小时滚动播报最新的财经资讯和视频,更多粉丝福利扫描二维码关注(sinafinance)
