App之个人隐私检测一份报告
某APP为例
系统类型:Android
App版本:V1.6.8
一、 评估单位信息
| 机构名称 | |||||
| 地址 | 邮编 | ||||
| 联系人 | | ||||
| 电话 | 传真 | ||||
| 评估组长: 评估成员: 复核人员: | |||||
二、 评估对象信息
| 项 目 | 描 述 |
| APP名称及版本 | test风云、V1.6.8 |
| 基本业务功能 | 是一款由科技有限公司开发的全球首款题材SLG手游 |
| 业务功能描述 | 这里有辽阔的战场,能够容纳成千上万只装甲集团军在这里纵横拼杀; 这里汇聚了古今中外战场上各式威名赫赫的test,能够让您组建一支前所未有的强大陆战之师; 这里集中了最具现代化科学技术与部队相结合,能够让您体验到现代化科技战争的无穷魅力; 而这一切,只要您动动手指,即可体验“弹指间,樯橹灰飞烟灭”的快感! |
| 系统类型 | Android |
| 样本来源 | 小米应用商店 |
| 样本下载地址 | http://app.mi.com/details?id=com.raiyjooy.bigtcaink.mi&ref=search |
| 样本下载量 | 16.1万 |
| 样本大小 | 124.31M |
| 样本获取时间 | 2020年 |
| 运营者名称 | 科技有限公司 |
| 个人信息保护负责人/机构联系方式 | / |
三、 收集个人信息情况
| 范围 | (非敏感)个人信息 | 个人敏感信息 |
| 服务所需最小信息范围 | 用户的姓名,有效XXX证件号码,家庭地址、电话号码,IP地址,电子邮件地址信息 | / |
| 隐私政策所声明 个人信息类型 |
| 指用户对本软件的操作状态及使用习惯等一些明确且客观反映在雷尚科技服务器端的基本记录信息和其他一切个人隐私信息范围外的普通信息。 |
| 实际收集个人信息类型 | 手机号码、IMEI、IMSI、读写设备上的照片及文件、授权信息 | 游戏账号中的昵称、头像以及在雷尚科技游戏中的相关操作信息、游戏信息等 |
| 收集与业务功能 无关的个人信息 | / | / |
四、 申请可收集个人信息权限情况
| 权限组 名称 | 序号 | 权限名称 | Manifest | 用户不同意则无法运行 | 与业务 功能无关 | 非必要但强制索要 |
| NETWORK网络 | 1 | INTERNET连接互联网 | √ | √ | ||
| 2 | CHANGE_NETWORK_STATE更改网络状态 | √ | √ | |||
| 3 | ACCESS_NETWORK_STATE获取网络状态 | √ | √ | |||
| 4 | ACCESS_WIFI_STATE获取WIFI状态 | √ | √ | |||
| CALL_LOG 通话记录 | 3 | READ_CALL_LOG 读取通话记录 | ||||
| 4 | WRITE_CALL_LOG 编辑通话记录 | |||||
| 5 | PROCESS_OUTGOING_CALLS修改或查看拨号 | |||||
| CAMERA 相机 | 6 | CAMERA拍摄 | √ | |||
| CONTACTS 通讯录 | 7 | READ_CONTACTS 读取通讯录 | ||||
| 8 | WRITE_CONTACTS 编辑通讯录 | |||||
| 9 | GET_ACCOUNTS 获取应用账户 | √ | √ | |||
| LOCATION 位置 | 10 | ACCESS_FINE_LOCATION 访问精准定位 | √ | √ | ||
| 11 | ACCESS_COARSE_LOCATION 访问粗略位置 | √ | √ | |||
| MICROPHONE麦克风 | 12 | RECORD_AUDIO 录音 | √ | √ | ||
| PHONE 电话 | 13 | READ_PHONE_STATE 读取电话状态(获取设备IMSI、IMEI号) | √ | |||
| 14 | READ_PHONE_NUMBERS 读取本机电话号码 | √ | ||||
| 15 | CALL_PHONE 拨打电话 | √ | ||||
| 16 | ANSWER_PHONE_CALLS 接听电话 | √ | ||||
| 17 | ADD_VOICEMAIL 添加语音邮件 | |||||
| 18 | USE_SIP 使用网络电话 | |||||
| SENSORS 传感器 | 19 | BODY_SENSORS 获取身体传感器(心率等)信息 | ||||
| SMS短信 | 20 | SEND_SMS发送短信 | ||||
| 21 | RECEIVE_SMS 接收短信 | |||||
| 22 | READ_SMS 读取短信 | |||||
| 23 | RECEIVE_WAP_PUSH 接收WAP推送 | |||||
| 24 | RECEIVE_MMS 接收彩信 | |||||
| STORAGE 存储 | 25 | READ_EXTERNAL_STORAGE 读取外置存储器 | √ | √ | ||
| 26 | WRITE_EXTERNAL_STORAGE写入外置存储器 | √ | √ | |||
| 数量 | 15 | 6 | 4 | 0 | ||
| targetSdkVersion | 26 | |||||
五、 嵌入第三方SDK情况
| 嵌入第三方SDK数量 | 8 | |||||
| 序号 | 第三方 SDK名称 | 申请的可收集个人信息相关权限 | 收集的个人信息类型 | 是否在隐私政政策等中告知 | 是否有发送数据包行为 | 是否将个人信息发送至境外服务器 |
| 1 | 百度云推送 | INTERNET网络/ACCESS_NETWORK_STATE获取网络状态/RECEIVE_BOOT_COMPLETED接收开机广播/WRITE_SETTINGS设置写入/VIBRATE振动/WRITE_EXTERNAL_STORAGE外部存储写入/ACCESS_WIFI_STATE获取WIFI状态 | 非敏感 | √ | / | / |
| 2 | 小米支付 | GET_ACCOUNTS获取账户信息/ACCESS_FINE_LOCATION获取精确位置 | 敏感 | √ | / | / |
| 3 | 小米AuthService认证服务 | INTERNET网络/RECEIVE_BOOT_COMPLETED接收开机广播/WRITE_SETTINGS设置写入/VIBRATE振动/WRITE_EXTERNAL_STORAGE外部存储写入/DISABLE_KEYGUARD禁用键盘保护/ACCESS_COARSE_LOCATION获取大致位置 | 非敏感 | √ | / | / |
| 4 | 小米推送 | ON_CLICK_RECEIVER点击监测 | 非敏感 | √ | / | / |
| 5 | 谷歌图片 | SYSTEM_ALERT_WINDOW系统警告弹窗/RECORD_AUDIO录音/WAKE_LOCK唤醒与休眠/MOUNT_UNMOUNT_FILESYSTEMS挂载与卸载系统文件/CAMERA相机 | 敏感 | √ | / | / |
| 6 | 支付宝 | INTERNET互联网/ACCESS_NETWORK_STATE获取网络状态/ACCESS_WIFI_STATE获取wifi状态 | 非敏感 | √ | / | / |
| 7 | 微信支付 | INTERNET互联网/ACCESS_NETWORK_STATE获取网络状态/ACCESS_WIFI_STATE获取wifi状态 | 非敏感 | √ | / | / |
| 8 | QQ钱包 | INTERNET互联网/ACCESS_NETWORK_STATE获取网络状态/ACCESS_WIFI_STATE获取wifi状态 | 非敏感 | √ | / | / |
六、 举报信息核实(如无举报可不填)
| 举报来源 | 网民举报/自主发现 |
| 举报情况 | |
| 核实情况 |
七、 问题汇总
| 序号 | 问题点 | 问题描述 |
| 1 | 1.1 没有隐私政策 | 收集个人信息,如:IMEI、手机号等信息,详见证据01 |
| 2 | 2.1 未说明App收集使用的个人信息的目的、类型、方式 | 用户协议中涉及游戏中存在的PK玩法、条款、法律、知识产权等信息详见证据02 |
| 3 | 2.2 申请权限时未同步告知目的 | 登陆游戏时,需要进行实名认证,根据国家有关规定实行的。详见证据03 |
| 4 | 3.1 未经同意收集个人信息的权限 | 阅读用户协议前,就已经收集了用户的手机IMEI,网络运营商等信息,其为非敏感的必须获取信息,不存在违规现象,详见证据04 |
| 5 | 3.2实际收集使用个人信息行为与声明不一致 | 1.经试用,未发现每次重新打开App时,某一业务功能重新询问是否同意收集个人信息的情况。 2.经试用,未发现用户使用与某个人信息无关的功能时频繁询问是否同意收集该个人信息的情况。 3.首次运行App时拒绝申请的所有权限,然后退出并重新打开App,未发现App重新索要已拒绝的非必要系统权限的情况。 4.首次运行App时拒绝申请的权限,并试用App提供的功能,未发现频繁索要已拒绝的与使用的业务功能无关的系统权限的情况。 |
| 6 | 3.3 未征得用户明示同意 | 1.没有得到用户同意,就可以打开不同应用,拥有完全的网络访问权限,访问GPS位置,读取手机状态和身份,修改或者删除SD卡内容,查找设备上的账号,录音,拍照片,视频等内容,查看代码时也显示允许或者自动开启。详见证据05 |
| 7 | 4.1 收集与业务功能无关的个人信息 | 1.App启动时就申请了”访问设备上的照片、媒体内容和文件,获取手机号码、IMEI、IMSI“这两个权限,由于该类App没有最小权限范围的判定依据,因此判为符合。 2.通过功能试用、获取App发送的网络数据包并对其进行分析等方法,未发现App实际收集的个人信息与所提供所有业务功能均无任何相关性的个人信息的情况。 3.详见证据06 |
| 8 | 4.2 强制收集非必要个人信息 | 1.App启动时就申请了”访问设备上的照片、媒体内容和文件,获取手机号码、IMEI、IMSI“这两个权限,也可以拒绝提供这些信息的权限,一样可以登录游戏。 |
| 9 | 4.3 收集个人信息的频度等超出业务功能实际需要 | 1. 用微信、支付宝、QQ钱包、小米钱包进行游戏充值操作,并未发现有不必要的或敏感的信息被收集,详见证据07 2. 游戏升级到10级,操作过程中一直进行抓包操作,并未发现有频繁说及个人信息的行为,详见证据08 |
| 10 | 4.4 以捆绑等非正当方式收集个人信息 | 1. 未发现非正当方式收集个人信息 2. 在APP登录游戏内进行充值,转至第三方服务,没有看到必须捆绑银行卡、钱包账户等内容,详见证据09 |
| 11 | 5.1 未经用户同意向第三方共享个人信息 | 1.通过抓包截取流量包发现,登录时获取客户端的IP地址,详见证据10 |
| 12 | 6.1 未提供有效的注销账号功能 | 1. 登录APP游戏以后,在设置界面可以更换账户,但是不可以注销账户 2. 在APP登录界面,用户可以更换登录方式,点击更换账户,替代其他账户 3. 详见证据11 |
| 13 | 6.2 为注销用户账号设置不合理条件 | 1.没有查看到“注销账户”的字眼,所以也就看不到是否提出不合理的条件,其《用户协议》条款2.5中注明:“用户2个月内未使用游戏账号登陆雷尚科技游戏,雷尚科技有权在提前通知的情况下,对该账号及其账号下的游戏数据及相关信息采取删除等处置措施。”,详见证据12 |
| 14 | 6.3 未建立并公布有效个人信息投诉、举报渠道 | 1. 登录游戏-用户协议内未明确告知客服的联系方式 2. 登录APP游戏,在设置内显示联系我们-跳转到浏览器界面【客服】,也可以留言,评价,还可以将投诉内容发送到邮箱 3. 试用发现还可以转人工,进行咨询,详见证据13 |
八、 评估结论
| 在未公开收集使用规则方面,存在0 个问题;在未明示收集使用个人信息的目的、方式和范围方面,存在0 个问题;在未经用户同意收集使用个人信息方面,存在1 个问题;在违反必要原则、收集与其提供的服务无关的个人信息方面,存在0 个问题;在未经同意向他人提供个人信息方面,存在1 个问题;在未提供注销帐号等功能、未公布投诉、举报方式方面,存在2 个问题。 |
九、 评估结果和过程记录
9.1. 评估项一:未公开收集使用规则
问题点1.1 没有隐私政策
【评估结果】: 不存在该问题
【问题描述及评估过程】:
首次进入App主功能界面后,会弹出包含用户协议的窗口,文本能正常显示,详见证据01,而隐私内容包含在用户协议里
【相关证明】:
图-证据01
9.2. 评估项二:未明显收集使用个人信息的目的、方式和范围
问题点2.1 未说明APP收集使用的个人信息的目的、类型、方式
【评估结果】:不存在该问题
【问题描述及评估过程】:
用户协议中涉及游戏中存在的PK玩法、条款、法律、知识产权等信息详见证据02
图-证据02
问题点2.2 申请权限时未同步告知目的
【评估结果】:不存在该问题
【问题描述及评估过程】:
登陆游戏时,需要进行实名认证,根据国家有关规定实行的。详见证据03
【相关证明】:
图-证据03
9.3. 评估项三:未经用户同意收集使用个人信息
问题点3.1 未经同意收集个人信息
【评估结果】: 不存在该问题
【问题描述及评估过程】:
在点击打开游戏后,自动弹出用户协议,在未阅读勾选同意之前,小米游戏已经获取了用户的IMEI,运营商,手机型号等信息。但其为必要获取的基本信息,不存在违规现象。详见证据04
【相关证明】:
(该手机的IMEI经md5加密后,即为抓包获取的md5IMEI参数值)
图-证据04
问题点3.2 频繁征求同意干扰用户使用
【评估结果】: 不存在该问题
【问题描述及评估过程】:
1.经试用,未发现每次重新打开App时,某一业务功能重新询问是否同意收集个人信息的情况。
2.经试用,未发现用户使用与某个人信息无关的功能时频繁询问是否同意收集该个人信息的情况。
3.首次运行App时拒绝申请的所有权限,然后退出并重新打开App,未发现App重新索要已拒绝的非必要系统权限的情况。
4.首次运行App时拒绝申请的权限,并试用App提供的功能,未发现频繁索要已拒绝的与使用的业务功能无关的系统权限的情况。
问题点3.3 未征得用户明示同意
【评估结果】: 存在该问题
【处置建议】: 督促整改
【问题描述及评估过程】:
1.没有得到用户同意,就可以打开不同应用,拥有完全的网络访问权限,访问GPS位置,读取手机状态和身份,修改或者删除SD卡内容,查找设备上的账号,录音,拍照片,视频等内容,查看代码时也显示允许或者自动开启。详见证据05
【相关证明】:
图-证据05
9.4. 评估项四:违反必要原则,收集与其提供的服务无关的个人信息
问题点4.1 收集与业务功能无关的个人信息
【评估结果】:不存在该问题
【问题描述及评估过程】:
1.App启动时就申请了“访问设备上的照片、媒体内容和文件,获取手机号码、IMEI、IMSI“这两个权限,由于该类App没有最小权限范围的判定依据,因此判为符合。
2.通过功能试用、获取App发送的网络数据包并对其进行分析等方法,未发现App实际收集的个人信息与所提供所有业务功能均无任何相关性的个人信息的情况。
3.详见证据06
【相关证明】:
图-证据06
问题点4.2 强制收集非必要个人信息
【评估结果】:不存在该问题
【问题描述及评估过程】:
1.App启动时就申请了”访问设备上的照片、媒体内容和文件,获取手机号码、IMEI、IMSI“这两个权限,也可以拒绝提供这些信息的权限,一样可以登录游戏。
问题点4.3 收集个人信息的频度等超出能实际需要
【评估结果】: 不存在该问题
【问题描述及评估过程】:
- 用微信、支付宝、QQ钱包、小米钱包进行游戏充值操作,并未发现有不必要的或敏感的信息被收集,详见证据07
- 游戏升级到10级,操作过程中一直进行抓包操作,并未发现有频繁说及个人信息的行为,详见证据08
【相关证明】:
xxx.qq.com,向服务器发送密文消息
图-证据07
图-证据08
问题点4.4 以捆绑等非正当方式收集个人信息
【评估结果】: 不存在该问题
【问题描述及评估过程】:
- 未发现非正当方式收集个人信息
- 在APP登录游戏内进行充值,转至第三方服务,没有看到必须捆绑银行卡、钱包账户等内容,详见证据09
【相关证明】:
图-证据09
9.5. 评估项五:未经同意向他人提供个人信息
问题点5.1 未经用户同意向第三方共享个人信息
【评估结果】存在该问题
【处置建议】: 督促整改
【问题描述及评估过程】:
1.通过抓包截取流量包发现,登录时获取客户端的IP地址,详见证据10
【相关证明】:
图-证据10
9.6. 评估项六:未按规定提供注销账号等功能、未公布投诉、举报方式等
问题点6.1 未提供有效的注销账号功能
【评估结果】: 存在该问题
【处置建议】: 需专家认定
【问题描述及评估过程】:
- 登录APP游戏以后,在设置界面可以更换账户,但是不可以注销账户
- 在APP登录界面,用户可以更换登录方式,点击更换账户,替代其他账户
- 详见证据11
【相关证明】:
图-证据11
问题点6.2 为注销用户账号设置不合理条件
【评估结果】: 不存在该问题
【问题描述及评估过程】:
- 没有查看到注“销账户”的字眼,所以也就看不到是否提出不合理的条件。
- 《用户协议》条款5中,注明:“用户2个月内未使用游戏账号登陆雷尚科技游戏,雷尚科技有权在提前通知的情况下,对该账号及其账号下的游戏数据及相关信息采取删除等处置措施。”
- 详见证据12
【相关证明】:
图-证据12
问题点6.3 未建立并公布有效个人信息投诉、举报渠道
【评估结果】:存在该问题
【处置建议】:督促整改
【问题描述及评估过程】:
- 登录游戏-用户协议内未明确告知客服的联系方式
- 登录APP游戏,在设置内显示联系我们-跳转到浏览器界面【客服】,也可以留言,评价,还可以将投诉内容发送到邮箱
- 试用发现还可以转人工,进行咨询,详见证据13
【相关证明】:
图-证据13
题外话
初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:
- 2023届全国高校毕业生预计达到1158万人,就业形势严峻;
- 国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。
一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。
6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。
具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。
网络安全行业特点
1、就业薪资非常高,涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2、人才缺口大,就业机会多
2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图 
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
726
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
