网赚,作为一种新兴的赚钱方式已经被越来越多的人接受,也被越来越多的人认可。也正因此,网赚App打着“做任务赚佣金,边玩手机边赚钱”等口号吸引了不少用户注册使用。

据相关数据显示,仅2018年网赚App影响用户量即高达2.5亿。另外,网赚App在下沉城市更受欢迎,其中00后用户占比为24%,高于全部网民中00后占比。

据“App治理工作组”2020年7月披露的信息:App专项治理工作组“App个人信息举报”举报平台收到的有效举报信息中,近期内涉及“网赚”类App的举报信息就高达200余条,大部分都涉及利用套路骗取个人信息等问题。

2020年“3.15晚会”上,就对“边玩手机边赚钱”的App和网页工具等进行了曝光,发出了预警,App专项治理工作组也曾提醒广大网友一定要擦亮眼睛,保持清醒,个人信息一旦流入不法分子手中,则很难彻底追回,可能长期影响生活。

现象:网赚App中广泛存在危害用户个人信息的行为

5G移动互联时代,个人数据出现了爆发性增长,各行业从业者利用以App为主的信息技术载体,通过数据采集、大数据分析、人物画像等技术,赋能自身业务,获得了可观的商业利益。但在对个人数据大规模采集的同时,也随之产生了相关的数据安全问题,特别是如何保护敏感的个人隐私数据。

政府监管部门对此高度重视,制定了一系列法律法规,要求相关从业者合法合规的采集、存储、使用个人数据,保障用户的隐私和权益。然而,当前大量风险App存在对个人信息过度采集、不安全的存储、传播售卖滥用、恶意推送、功能欺诈等行为,威胁着移动生态健康发展。

为应对以上问题,在持续关注和披露当前移动应用侵害用户权益行为的过程中,安天移动安全风险检测预警平台发现网赚类App影响用户量较大,其中较活跃的App月活可达500万以上。安天移动安全大白鹅团队针对几款下载量较高的网赚类APP,进行了用户个人信息安全的相关跟踪分析。

我们发现,网赚App中广泛存在危害用户个人信息的行为,包括过度收集与当前业务功能场景无关的权限、频繁请求用户已拒绝的权限且在用户拒绝后无法使用应用等现象,影响用户正常使用的同时,也对用户个人信息安全造成威胁。

下文将对网赚App过度收集权限、拒绝非必要权限后反复弹窗申请且拒绝后无法使用App的两类主要问题进行分析。

威胁个人信息安全的相关行为

#01过度收集与当前业务功能场景无关的权限

我们发现,在用户首次进入时,App会向用户申请获取拨打电话的权限,而在相关隐私政策中并未说明申请直接拨打电话权限的用途和具体功能。

今年3月,由国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合发布《常见类型移动互联网应用程序必要个人信息范围规定》,明确移动互联网应用程序(App)运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务。《常见类型移动互联网应用程序必要个人信息范围规定》中明确规定“网上购物类,基本功能服务为“购买商品”,必要个人信息包括:1.注册用户移动电话号码;2.收货人姓名(名称)、地址、联系电话;3.支付时间、支付金额、支付渠道等支付信息。”

如根据规定判断,该应用作为一个特价购物类应用,申请直接拨打电话权限已经超出必要个人信息范围,是不合规的。

#02频繁请求用户已拒绝的权限且在用户拒绝后无法使用应用

我们发现用户在拒绝非必要权限申请后,App仍会频繁弹窗反复申请该权限,直到用户同意;而在用户持续拒绝后将无法正常使用App。

《常见类型移动互联网应用程序必要个人信息范围规定》中明确规定”网络游戏类,基本功能服务为“提供网络游戏产品和服务”,必要个人信息为:注册用户移动电话号码。“今年4月,在国家互联网信息办公室的统筹指导下,工业和信息化部会同公安部、市场监管总局起草的《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》也规定了:“用户拒绝相关授权申请后,不得强制退出或者关闭App,不得提前申请超出其业务功能或者服务外的权限,不得利用频繁弹窗反复申请与当前服务场景无关的权限”。

如根据相关规定判断,下述App作为游戏类应用,申请位置权限的行为以及用户拒绝后反复弹窗申请直至用户同意才能使用应用的行为都是不合规的。

应用举例:“**餐厅”和“**花园”

如下图所示,应用申请定位权限,用户拒绝后仍然会反复弹窗申请权限直到用户同意才可以使用该应用。而在隐私政策中,该应用明确说明拒绝定位权限后不影响其正常使用。实际情况与描述不符。

大白鹅团队针对以上问题进行了技术分析:

应用启动时进入SplashActivity,会执行a方法判断权限是否已同意,没有同意的权限加入申请list,如果list为空则跳转到afterPermissionGranted展示正常界面。

list不为空时跳转requestPermissions方法进行权限申请,该方法最终调起a方法申请权限,直到权限全部同意后展示正常登录界面。

应用“**消消乐”

如下图所示,该应用以推广信息为由申请非必要权限,用户拒绝后反复弹窗请求权限,拒绝6次后无法正常使用该应用。“**消消乐”作为一款游戏应用,按照《常见类型移动互联网应用程序必要个人信息范围规定》相关规定,个人信息收集的范围应该是围绕用户注册相关的如移动电话号码,而该应用运行中还申请位置权限,收集用户位置信息,超出了个人信息收集范围。

大白鹅团队针对以上问题进行了技术分析:

应用启动后进入MainActivity调用a方法,该方法实现了权限申请的逻辑,首先判断当前是第几次申请权限,如果低于6次则继续申请,然后判断当前时间距上次请求时间,若大于0.6秒判断获取IMEI号,位置和存储三种权限的状态是否已同意,未同意的权限加入请求list继续请求直到请求list为空,请求同意后跳转afterPermissionGranted方法,获取用户的IMEI号、运营商和位置等信息并初始化界面。如果用户拒绝次数大于6次,无法初始化,会展示空白界面,应用无法正常使用。

重视用户个人信息保护助力移动安全生态纯净健康发展

移动App危害用户个人信息安全的行为不仅会导致行业劣币驱逐良币的畸形格局,伤害整个行业生态的可持续发展,还会侵害用户的合法权益,成为行业从流量变现走向通过高质量服务进行增值变现道路上的绊脚石。当前,无论是监管部门、手机厂商还是安全厂商都在持续关注侵害用户权益的行为,网赚App只有将用户个人信息安全放在第一位,不断为用户提供更优质的产品和服务,才是可持续的、长久的生存之道。

移动互联网生态良性有序发展离不开行业相关规范和标准的引导,以及海量发现、关口前移的技术手段进行治理和约束,建立健全相关行业标准规范,通过技术手段强化监管能力,提高从业者的自律性。

安天移动安全拥有十余年移动安全技术积累,能对App违规行为准确有效进行追踪溯源,准确定位恶意代码、模块、SDK等,通过技术手段配合相关监管单位按照法律法规和标准规范的要求,助力移动安全生态纯净健康发展,为广大人民过上美好幸福生活贡献力量。

安天移动安全:重视用户个人信息保护,是App长效发展的关键相关推荐

  1. ​做让用户安心合规的智能家居产品——智能家庭用户个人信息保护方案

    说起家电行业,海尔是大家耳熟能详的大企业,在智能家居行业,有着丰富的探索和实践,第三届SCA智能家居信息安全大会上,海尔标准与知识产权部总监王淼做了"做让用户安心,合规的智能加家居产品--智 ...

  2. 爱回收回应下架通报:认真整改 切实落实用户隐私信息保护

    近日,据工信部发布的消息,工信部下架106款侵害用户权益APP,包括豆瓣.唱吧和爱回收等. 对此,爱回收方面回应称,此次出现问题的爱回收APP安卓版本(版本号5.8.3)所收集的信息为用户位置信息,目 ...

  3. 电信和互联网用户个人信息保护规定_2019,中国互联网个人信息保护元年

    2018年5月25日,欧盟出台<通用数据保护条例>(GDPR,General Data Protection Regulation).该条例详实地说明了地域适用范围.个人敏感数据.问责机制 ...

  4. 电信和互联网用户个人信息保护规定_你的孩子的个人信息可能被窃取,保护规定来了...

    最近,国家互联网信息办公室发布<儿童个人信息网络保护规定>,如果用一句话来讲这个规定能干什么,那就是:保护儿童个人信息安全,促进儿童健康成长.这些年,随着互联网技术的大踏步发展,各种手机应 ...

  5. 用户姓名信息保护python,喜大普奔!Maya 2022来了?!

    原标题:喜大普奔!Maya 2022来了?! 距离Maya 2020第一个版本发布已经过去将近1年半.各位用户苦等Maya 2021的发布,不料2021没等到,而Maya 2022要来了?! 这两天小 ...

  6. 个人信息保护建设面临的问题和困境及解决方案

    数字经济的持续深化推进,数据已成为影响世界各国竞争的战 略性资源.能够充分发挥数据经济价值和战略意义的数据开发利用技 术蓬勃发展的同时,防止数据泄漏,丢失,滥用,保障数据安全流通 共享与流通的数据安全 ...

  7. 个人信息保护建设有哪些问题

    个人信息保护建设面临的问题和困境 数字经济的持续深化推进,数据已成为影响世界各国竞争的战 略性资源.能够充分发挥数据经济价值和战略意义的数据开发利用技 术蓬勃发展的同时,防止数据泄漏,丢失,滥用,保障 ...

  8. AI一分钟 | 谷歌租下北京 6000 平米写字楼,或将发展AI项目;工信部就个人信息保护约谈百度、支付宝、今日头条

    一分钟AI 今日头条召开算法分享大会,称算法分发并非是把所有决策都交给机器 谷歌计划推出利用AI技术+人工审查的方法来共同消除视频中的不恰当内容 谷歌的智能音箱销量仅为25%,为扭转亚马逊独占市场大 ...

  9. 个人信息保护相关的重要法规及规范性文件汇总目录

    序号 文件名称 发布机构 生效时间 法律状态 1 中华人民共和国个人信息保护法 全国人民代表大会常务委员会 2021-11-01 现行有效 1 最高人民法院关于审理使用人脸识别技术处理个人信息相关民事 ...

  10. APP开发者个人信息保护培训宣讲会(友盟+站)在杭州成功举办

    为进一步加强APP个人信息保护工作,友盟+联合中国信息通信研究院.浙江省通信管理局网络安全管理处共同举办的APP开发者个人信息保护培训宣讲会于10月14日在杭州如期举行.本次宣讲会也是中国信通院与浙江 ...

最新文章

  1. [Python]网络打解包
  2. 5G 对无线通讯芯片产业链的影响
  3. 基于Redis的分布式锁到底安全吗(上)?
  4. HDU2034 人见人爱A-B(C++)
  5. 执行sql语句_一条SQL查询语句是如何执行的?
  6. js怎么设置z index.html,HTML5 Canvas set z-index
  7. edge robert matlab,哪位熟悉matlab的大神路过瞄一眼哈
  8. mybatis generator修改默认生成的sql模板
  9. Android使用init.rc触发脚本实现隐藏内置应用
  10. 你知道Java里有多少种锁吗?15种锁最全总结!
  11. 【机器学习系列】MCMC第二讲:Markov Chain Monte Carlo基本概念和核心思想
  12. Hadoop整理四(Hadoop分布式计算框架MapReduce)
  13. python动作捕捉_打破价格垄断,工程师自制动作捕捉系统-嵌入式系统-与非网
  14. STM32C8T6+面板板+3只LED点亮流水灯
  15. 鼠标事件(mouseover和mouseenter)
  16. 在C#控制台输出的爱心图案
  17. BUUCTF 异性相吸
  18. 深度linux_工作中完全放弃windows使用深度linux的感受
  19. 利用micro:bit开发板工具写一个小游戏
  20. 英雄会,会英雄,CSDN大会有感

热门文章

  1. Win10经常断开网络连接的原因
  2. 加密保护软件 WinLicense 注册常见问题(二)
  3. python爬虫构建国外代理池_建立爬虫代理ip池
  4. 计算机二级答题技巧口诀,计算机二级考试复习技巧:考场答题经验分享
  5. 工信部定级备案和等保备案有什么区别
  6. (四十二)利率互换与货币互换的定价
  7. redis集群(服务端sharding)
  8. 随笔—我的大学,在人间1
  9. 非IE浏览器下ActiveX技术的替代方案
  10. Manjaro Linux 魔兽世界 使用黑盒工坊安装插件