IT之家11月24日消息11月23日,广东省通信管理局发布App监管情况通报 (2020年10月),累计检测5千余款App,共发现疑似存在问题App 237款,经核验确定问题App 88款,对其中"红娘婚恋"等85款App运营者发出《违法违规App处置通知》责令限期改正并通知各应用商店督促整改,对问题突出的"捷停车""驾考家园""凯立德导航"3款App运营企业做出警告并罚款的行政处罚决定。 IT之家获悉,这些应用涉及迅雷(7.05.0.7076)、唯品会(7.28.3)、中信证券(3.03.029)等。 被查处的 App 存在两方面问题,一是 App 及其后台服务器存在 "明文存储密码""反编译""SQL 注入"等数据安全隐患问题;二是违反用户个人信息保护规定,包括 "未公开明示收集规则""默认勾选同意隐私协议""未列明所集成 SDK 及其采集信息""为注销账号、删除个人信息设置障碍""未经用户同意共享给第三方"等侵犯用户对其个人信息处理享有的知情权、决定权,以及违反最小必要原则超前、超需、超频索取权限或采集信息,甚至不给必需权限不让用等强迫行为。 被予以行政处罚的 "捷停车"App 存在侵害用户权益的问题较为典型,其中最为突出的问题是:为用户注销账号设置过多不合理的障碍。App 在用户注册账号时仅凭手机号码及验证码即完成注册,但注销账号时却要求用户提供手机号码的真实姓名、身份证正反面照片,甚至要求用户提供电信运营商出具的手机号码权属证明方可受理。此外,该 App 还存在未使用相关功能就索取用户相机权限,且相机权限及 App 集成的地图、支付、推送、统计、分享等多个 SDK 均未在隐私政策中逐一列明。对此,广东省通信管理局约谈了捷停车 App 运营公司的负责人,对该公司做出给予警告并罚款两万元的行政处罚,同时报请工业和信息化部纳入电信业务经营不良名单 。 附件:存在问题的App名单(88款) 序号 App名称 版本号 企业名称 侵害用户权益问题 安全隐患问题 1
驾考家园 6.1 广州先睿数码科技有限公司 1."未公开收集使用规则":App首次运行未经用户阅读隐私政策,就申请获取存储、电话、麦克风、相机和位置五项权限; 2."未明示收集使用个人信息的目的、方式和范围":隐私政策中没有说明获取相机和麦克风权限的目的、方式、范围;应用内集成多个第三方SDK,且未在隐私政策中声明; 3."未经用户同意收集使用个人信息":征得用户同意前就开始收集个人信息(Android ID、MAC地址等);以默认方式同意隐私政策。 2
捷停车 4.2.0 深圳市顺易通信息科技有限公司 1."违反必要原则收集个人信息":在用户未使用相关功能或服务时,提前申请开启相机权限; 2."未明示收集使用个人信息的目的、方式和范围":隐私政策中没有列出获取存储、相机和拨打电话权限的目的、方式、范围,应用内集成多个第三方SDK,且未在隐私政策中声明; 3."账号注销难":为注销用户账号设置不必要或不合理条件。 3
凯立德导航 8.4.2 深圳市凯立德欣软件技术有限公司 1.未明示收集使用个人信息的目的、方式和范围:App申请使用相机、麦克风和通信录三项权限,超出隐私政策用户授权范围; 2.应用内集成多个可收集用户个人信息的第三方SDK,且未在隐私政策中声明。 4
千聊 V4.2.7 广州思坞信息科技有限公司 1.以默认方式同意隐私政策; 2.违反必要原则:App在用户未使用相关功能或服务时,提前申请开启相机、麦克风权限; 3.投诉、举报承诺处理时限过长:个人信息安全投诉、举报渠道的承诺处理时限(三十天)超过15个工作日。 5
KingRoot 5.4.0 广州云讯信息科技有限公司 1.未公开收集使用规则:App中未发现隐私政策; 2.未经用户同意收集使用个人信息:未经用户阅读隐私政策并征的同意前,应用就申请获取拍照、存储和读取电话状态权限; 3.超范围收集个人信息:应用申请使用拍照权限,超出隐私政策用户授权范围; 4.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 6
向日葵保险 4.50.0 广州向日葵信息科技有限公司 1.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; 2.频繁索取存储权限:用户明确表示不同意后,仍频繁征求用户同意、干扰用户正常使用; 1.Java代码反编译风险 2.Webview明文存储密码风险 3.Webview File同源策略绕过漏洞 7
花生日记 4.7.8 广州花生日记网络科技有限公司 1.未经用户同意收集使用个人信息:首次开启App,未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、MAC地址、IMEI、IMSI; 2.违反必要原则:更换头像时只同意存储权限不同意相机权限无法正常使用; 3.隐私政策中未逐一列出第三方SDK收集个人信息的目的、方式、范围。 1.Activity组件导出风险 2.Service组件导出风险 8
夸克 4.2.5.140 优视科技(中国)有限公司 1.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 1.Java代码反编译风险 2.Janus签名机制漏洞 3.Webview明文存储密码风险 9
NOW直播 1.54.5.14 深圳市腾讯计算机系统有限公司 1.超范围收集个人信息:应用申请使用拍照权限,超出隐私政策用户授权范围; 2.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 10
全民电视直播 4.8.3 珠海星动技术咨询有限公司 1.未经用户同意收集使用个人信息:首次开启App,未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、MAC地址 、IMEI、IMSI; 2.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; 3.违反必要原则:"用户反馈"图片时只同意存储权限不同意相机权限,拒绝提供业务功能。 1.FFmpeg文件读取漏洞 2.WebSQL注入漏洞 3.InnerHTML的XSS攻击漏洞 11
唯品会 7.28.3 广州唯品会电子商务有限公司 1.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 1.Webview明文存储密码风险 2.Webview File同源策略绕过漏洞 12
迅雷 7.05.0.7076 深圳市迅雷网文化有限公司 1. App未明确告知收集使用读取联系人权限的目的、方式、范围; 2.隐私政策中未逐一列出第三方SDK收集个人信息的目的、方式、范围。 13
金十数据 4.7.1 广州金十信息科技有限公司 1.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; 2.不给权限不让用:用户拒绝授予获取电话状态和访问外部存储权限后,无法使用应用。 1.InnerHTML的XSS攻击漏洞 14
布卡漫画 2.4.1.7 珠海布卡科技有限公司 1.不给权限不让用:用户拒绝授予访问外部存储权限后,无法使用应用. 1.Webview明文存储密码风险 2.Webview File同源策略绕过漏洞 3.密钥硬编码漏洞 15
爱拍 5.3.4.912 广州爱拍网络科技有限公司 1.未公开收集使用规则:App首次运行未经用户阅读隐私政策,就申请获取存储和电话权限; 2.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; 3.不给权限不让用:用户不同意开启非App运行最小必要的电话权限,App无法使用。 1.Webview明文存储密码风险 2.Webview File同源策略绕过漏洞 16
MAKA 5.21.6 深圳格莱珉文化传播有限公司 1.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; 2.App首次运行未经用户阅读隐私政策,就申请获取存储和电话权限。 17
时代财经 3.4.4 广东时代传媒有限公司 1.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; 2.超范围收集个人信息:应用申请使用相机权限,超出隐私政策用户授权范围。 1.InnerHTML的XSS攻击漏洞 18
微商相册 v2.7.12.05221404 深圳市微购科技有限公司 1.私自共享给第三方:应用内集成多个第三方SDK,且未在隐私政策逐一说明会向第三方共享信息; 2.不给权限不让用:用户拒绝授予访问外部存储权限后,无法使用应用。 1.应用数据任意备份风险 2.剪切板敏感信息泄露漏洞 19
迷人直播 V8.2.1 深圳恩斯洛格科技有限公司 1.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; 2.违规向他人提供个人信息:未经用户同意,App向接入的第三方mPush魔推SDK提供用户android id、IMEI、Mac地址等个人信息; 3.违反必要原则:App在用户未使用相关功能或服务时,提前申请开启位置、电话权限; 4.不给权限不让用:用户不同意开启非App运行最小必要的位置、电话权限,App无法使用; 5.未按法律规定提供删除或更正个人信息功能:更正、删除个人信息、注销用户账号的承诺时限(30天)超过15个工作日,个人信息安全投诉、举报渠道的承诺处理时限亦超过15个工作日。 20
西瓜影音播放器 1.0.4 深圳乡里云网络科技有限公司 1.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; 2.未公开收集使用规则:App首次运行未经用户阅读隐私政策,就申请获取存储和电话权限。 1.Webview明文存储密码风险 2.Webview File同源策略绕过漏洞 21
小7手游 4.999X.99PERMISSION.1986 深圳尚米网络技术有限公司 1.超范围收集个人信息:应用申请使用麦克风权限,超出隐私政策用户授权范围; 2.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; 3.不给权限不让用:用户不同意开启非App运行最小必要的电话权限,App无法使用。 22
丝瓜视频 4.5.11 深圳美明赞文化传播有限公司 1.未逐一列出第三方SDK收集使用个人信息的目的、方式、范围等; 2.个人信息安全投诉、举报渠道的承诺处理时限(30天)超过15个工作日。 1.Java代码反编译风险 2.Webview明文存储密码风险 3.Webview File同源策略绕过漏洞 23
快猫 5.4.3 深圳市禾火网络科技有限公司 1.未按法律规定提供删除或更正个人信息功能; 2.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 1.Webview明文存储密码风险 2.Webview File同源策略绕过漏洞 3.密钥硬编码漏洞 24
我的安吉拉 4.6.2.1037 广州金科文化科技有限公司 1. App未明确告知收集使用拍照权限的目的、方式、范围; 2.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 1.存在应用备份风险 2.存在Java代码反编译风险 25
汤姆猫跑酷 4.4.1.491 广州金科文化科技有限公司 1.App未明确告知收集使用拍照权限的目的、方式、范围; 2.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 1.存在应用备份风险 2.存在Java代码反编译风险 26
老黄历通胜-日历万年历择日 5.9.0 广东灵机文化传播有限公司 1.App未明确告知收集使用拍照、麦克风和电话权限的目的、方式、范围; 2.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; 1.存在Java代码反编译风险 27
企鹅电竞 6.2.0.516 深圳市腾讯计算机系统有限公司 1.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; 2.超范围收集个人信息:应用申请使用相机权限,超出隐私政策用户授权范围。 Webview明文存储密码风险 28
九游 7.2.3.2 广州爱九游信息技术有限公司 1.App未明确告知收集使用读取日程提醒权限的目的、方式、范围; 2.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 29
帮购 3.2.2.r 深圳市帮购科技有限公司 1.未公开收集使用规则:App中未发现隐私政策; 2.不给权限不让用:用户拒绝授予读取电话状态、拍照、获取位置信息、访问外部存储和读取短信内容权限后,无法使用应用。 1.存在Java代码反编译风险 30
时空猎人 5.1.1120 广州银汉科技有限公司 1.未公开收集使用规则:App首次运行未经用户阅读隐私政策,就申请获取读取电话状态权限; 2.App未明确告知收集使用读取短信内容权限的目的、方式、范围; 3.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 1.存在应用备份风险 2.存在Java代码反编译风险 31
洪铟八字算命 12.7.8 广州洪铟信息科技有限公司 1.私自共享给第三方:应用内集成第三方SDK,且未在隐私政策逐一说明会向第三方共享信息; 2.App以默认方式同意隐私政策。 1.存在应用备份风险 32
唯彩看球 5.7.4 广州唯彩会网络科技有限公司 1.App未明确告知收集使用拍照权限的目的、方式、范围; 2.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 1.存在应用备份风险 2.存在Java代码反编译风险 33
神庙逃亡2 5.5.0 深圳市创梦天地科技有限公司 1.未经用户同意收集使用个人信息:首次开启App,未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、MAC地址、ip地址; 2.电话权限超频获取; 3.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; 4.未按法律规定提供删除或更正个人信息功能。 34
地铁跑酷 3.10.0 深圳市梦域科技有限公司 1.App首次运行未经用户阅读隐私政策,就申请获取电话、相机、位置、存储、麦克风和拨打电话权限; 2.未经用户同意收集使用个人信息:首次开启App,未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、MAC地址、ip地址 3.电话权限超频获取 4.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; 5.未按法律规定提供删除或更正个人信息功能。 35
浏览器 8.3.11.0 深圳市艾酷通信软件有限公司 1.App未明确告知收集使用相机、麦克风权限的目的、方式、范围; 2.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 1.存在Java代码反编译风险 36
万联证券股票开户 3.3.8 万联证券股份有限公司 1.App首次运行未经用户阅读隐私政策,应用就申请获取相机、录音、存储和位置信息权限; 2.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 1.存在Java代码反编译风险 37
富途牛牛 10.17.1252 深圳市富途网络科技有限公司 1应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; 2.未经用户阅读隐私政策,应用就申请获取存储权限; 3.个人信息安全投诉、举报渠道的承诺处理时限(30天)超过15个工作日 38
立刷 3.1.3 嘉联支付有限公司 1.App未明确告知收集使用麦克风权限的目的、方式、范围; 2.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 1.存在应用备份风险 2.存在Java代码反编译风险 39
立刷商户版 2.4.3 嘉联支付有限公司 1.App未明确告知收集使用麦克风权限的目的、方式、范围; 2.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 1.存在Java代码反编译风险 40
中邮钱包 2.8.6 中邮消费金融有限公司 1.App未明确告知收集使用麦克风权限的目的、方式、范围 41
顺丰金融 V4.3.2 深圳市顺恒融丰投资有限公司 1.App未明确告知收集使用短信和日历权限的目的、方式、范围; 2.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; 3.未经用户阅读隐私政策,应用就申请获取位置信息、相机、存储、麦克风和电话状态信息权限。 1.存在Java代码反编译风险 42
乐刷商务版 6.0.0 深圳市移卡科技有限公司 1.未经用户阅读隐私政策,应用就申请获取读取位置、存储和电话三项权限; 2.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 43
心语语音聊天交友 1.4.0 惠州市屹立信息技术有限公司 1.未经用户同意收集使用个人信息:首次开启App,未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、IP地址、MAC地址、IMEI、IMSI; 2.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 44
钱盒商户通 5.0.4 深圳盒子信息科技有限公司 1.App未明确告知收集使用相机权限的目的、方式、范围; 2.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; 3.账号注销难:为注销用户账号设置不必要或不合理条件。 45
房贷计算器 1.3.6 深圳市中龙信息科技有限公司 1.未经用户阅读隐私政策,应用就申请获取电话状态信息权限; 2.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息; 3.更正、删除个人信息难:更正、删除个人信息的人工处理承诺时限(三十天)超过15个工作日; 4.投诉、举报承诺处理时限过长:个人信息安全投诉、举报渠道的承诺处理时限(三十天)超过15个工作日。 46
飞贷 6.5.9 深圳中兴飞贷金融科技有限公司 应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 47
我要自学网 1.7.5 佛山市丰智胜教育咨询服务有限公司 1.未经用户同意收集使用个人信息:首次开启App,未同意隐私政策前行为监控发现获取Android ID、MAC地址、IMEI、IMSI; 2.存在嵌入第三方代码、插件等方式通过App客户端直接收集个人信息的情况,且在使用过程中未明确告知用户; 3.未按法律规定提供删除或更正个人信息功能。 48
三国志幻想大陆 1.2.12 深圳市豆悦网络科技有限公司 1.未经用户同意收集使用个人信息:首次开启App,未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、IP地址、MAC地址、IMEI、IMSI; 2.存在嵌入第三方代码、插件等方式通过App客户端直接收集个人信息的情况,且在使用过程中未明确告知用户。 49
哆点 2.5.9 广州热点软件科技股份有限公司 1.未经用户同意收集使用个人信息:首次开启App,未同意隐私政策前行为监控发现获取Android ID、IP地址、MAC地址、IMEI; 2.存在嵌入第三方代码、插件等方式通过App客户端直接收集个人信息的情况,且在使用过程中未明确告知用户; 3.未按法律规定提供删除或更正个人信息功能。 50
Q房网 9.4.2 深圳市云房网络科技有限公司 1.更正、删除个人信息处理时限过长:更正、删除个人信息的人工处理承诺时限为30天,超过15个工作日。 1.Java代码反编译风险; 2.Webview明文存储密码风险; 3.密钥硬编码漏洞; 4.Content Provider数据泄露漏洞 51
跑跑达人 1.1 深圳市梦想畅游科技有限公司 1.未公开收集使用规则:App首次运行未经用户阅读隐私政策,就申请获取个人的存储权限; 2.进入App主界面,隐私政策难以访问; 3.强制用户使用定向推送功能:利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项。 1.应用数据任意备份风险; 2.Service组件导出风险 52
蛇蛇争霸 6.8.0 深圳市抱一网络科技有限公司 1.未公开收集使用规则:App首次运行未经用户阅读隐私政策,就申请获取个人的存储、电话两项权限; 2.进入App主界面,隐私政策难以访问; 3.不给权限不让用:用户不同意开启非App运行最小必要的电话权限,App无法使用。 1.Janus签名机制漏洞 53
共享师资 3.2.1 广州利他网络科技有限公司 1.未公开收集使用规则:App首次运行未经用户阅读隐私政策,就申请获取个人的相机、存储两项权限; 2.未明示收集使用个人信息的目的、方式和范围:隐私政策中未列出获取相机、存储权限的目的、方式、范围。 3.违反必要原则:App在用户未使用相关功能或服务时,提前申请开启相机权限; 4.App在用户明确拒绝相机权限和存储权限申请后,频繁申请开启与服务场景无关的权限,骚扰用户; 5.以默认方式同意隐私政策。 1.剪切板敏感信息泄露漏洞; 2.InnerHTML的XSS攻击漏。 54
鲸鱼阅读 2.0.8 深圳市华阅文化传媒有限公司 1.未公开收集使用规则:App首次运行未经用户阅读隐私政策,就申请获取个人的位置、存储和电话权限; 2.隐私政策难以访问:进入App主界面后,需5次(多于4次)点击操作才能访问到; 3.未明示收集使用个人信息的目的、方式和范围:隐私政策未列出获取存储权限的目的、方式和范围; 4.违反必要原则:App在用户未使用相关功能或服务时,提前申请开启位置权限。 55
全民千炮捕鱼 6.0.12 深圳游创天下网络科技有限公司 1.未公开收集使用规则:App首次运行未经用户阅读隐私政策,就申请获取位置、存储、电话和短信权限; 2.进入App主界面,隐私政策难以访问; 3.违反必要原则:App在用户未使用相关功能或服务时,提前申请开启位置和短信权限。 1.Java代码反编译风险 2.Janus签名机制漏洞 3.未移除有风险的Webview系统隐藏接口漏洞 56
捕鱼至尊宝 9.0.23.4.0 深圳智道明远科技有限公司 1.未公开收集使用规则:App首次运行未经用户阅读隐私政策,就申请获取位置、存储、电话权限; 2.以默认方式同意隐私政策; 3.违反必要原则:App在用户未使用相关功能或服务时,提前申请开启位置权限。 1.Janus签名机制漏洞; 2.Webview明文存储密码风险; 3."应用克隆"漏洞攻击风险; 4.未移除有风险的Webview系统隐藏接口漏洞。 57
红娘婚恋 2.8.0 深圳市创乐天下网络科技有限公司 1.投诉、举报承诺处理时限过长:个人信息安全投诉、举报渠道的承诺处理时限30日超过15个工作日。 1.明文数字证书风险; 2.Activity组件导出风险; 3.Service组件导出风险; 4.Broadcast Receiver组件导出风险。 58
松果倾诉 7.8.2.2 广州智悦网络科技有限公司 1.未公开收集使用规则:App首次运行未经用户阅读隐私政策,就申请获取存储、电话权限,亦未同步告知用户其目的; 2.不给权限不让用:用户不同意开启非App运行最小必要的电话权限,App无法使用。 1.Janus签名机制漏洞 59
对庄翡翠 6.3.7 深圳市对庄科技有限公司 1.未公开收集使用规则:App首次运行未经用户阅读隐私政策,就申请获取存储、电话权限; 2.进入App主界面,隐私政策难以访问; 3.未明示收集使用个人信息的目的、方式和范围:隐私政策中没有列出获取存储、电话、相机等权限的目的、方式、范围; 4.以默认方式同意隐私政策; 5.违反必要原则:修改个人信息头像时需要开启非最小必要的相机权限(存储权限是最小必要权限),不给权限不让修改; 6.不给权限不让用:用户不同意开启非App运行最小必要的电话权限,App无法使用; 7.投诉、举报承诺处理时限过长:个人信息安全投诉、举报渠道的承诺处理时限(三十天)超过15个工作日。 1.FFmpeg文件读取漏洞。 60
经络穴位图解 6.1.6 深圳市灸大夫医疗科技有限公司 1.未公开收集使用规则:App首次运行未经用户阅读隐私政策,就申请获取存储、电话权限,亦未同步告知用户其目的; 2.不给权限不让用:用户不同意开启非App运行最小必要的电话权限,App无法使用; 3.账号注销难:为注销用户账号设置不合理条件,"30天缓冲期"的注销处理承诺时限超过15个工作日。 1.Janus签名机制漏洞 61
史上最坑爹的游戏3 7.1.01 珠海顶峰互动科技有限公司 1.未公开收集使用规则:App首次运行未经用户阅读隐私政策,就申请获取存储、电话权限; 2.不给权限不让用:用户不同意开启非App运行最小必要的电话权限,App无法使用; 3.应用内集成多个第三方SDK,未逐一列出第三方SDK收集使用个人信息的目的、方式、范围等。 1.Java代码反编译风险 2.Janus签名机制漏洞 62
云淘集 2.9.1 深圳市造梦网络科技有限公司 1.未明示收集使用个人信息的目的、方式和范围:在申请打开可收集个人信息的存储、位置权限时,未同步告知用户其目的; 2.隐私政策中没有列出获取存储、位置权限的目的、方式、范围; 3.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 1.Java代码反编译风险; 2.Webview明文存储密码风险; 3.Webview File同源策略绕过漏洞; 4.InnerHTML的XSS攻击漏洞 63
万顺叫车 4.8.8 深圳万顺叫车云信息技术有限公司 1.未公开收集使用规则:App首次运行未经用户阅读隐私政策,就申请获取个人位置、存储和电话三项权限; 2.违反必要原则:修改个人信息头像时需要开启非最小必要的相机权限(存储权限是最小必要权限),不给权限不让修改; 3.未明示收集使用个人信息的目的、方式和范围:隐私政策未列出获取相机权限的目的、方式和范围; 4.收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户。 64
口袋助理 V6.5.0 深圳市口袋网络科技有限公司 1.未公开收集使用规则:App首次运行未经用户阅读隐私政策,就申请获取存储、电话权限。 1.Webview明文存储密码风险 2.密钥硬编码漏洞 3.InnerHTML的XSS攻击漏洞 65
妈妈金融学院 V2.8.1 广州普融教育科技有限公司 1.App首次运行未经用户阅读隐私政策,就申请获取存储权限。 1.Java代码反编译风险; 2.Webview明文存储密码风险; 3.Webview File同源策略绕过漏洞。 66
美胸汇 V5.6.0 广州一九九零科技有限公司 1.未公开收集使用规则:App首次运行未经用户阅读隐私政策,就申请获取位置、电话权限; 2.违反必要原则:App在用户未使用相关功能或服务时,提前申请开启相机、位置、麦克风权限。 1.FFmpeg文件读取漏洞 67
十色成人两性情趣 V6.0.1 深圳市德他数据有限公司 1.App未明确告知收集使用电话权限的目的、方式、范围; 2.违反必要原则:App在用户未使用相关功能或服务时,提前申请开启拨打电话和相机权限。 1.Activity组件导出风险; 2.Service组件导出风险 68
有车以后 4.37.0 广州有车以后信息科技有限公司 1.未经用户同意收集使用个人信息:首次开启App,未同意隐私政策前行为监控发现GET_TASK检索了应用程序。 2.超频获取电话权限。 1.Root环境检测 2.防截屏检测 3.界面劫持安全 69
坐车网 3.18.201551 广州浩宁智能设备有限公司 1.未经用户同意收集使用个人信息:首次开启App,未同意隐私政策前行为监控发现GET_TASK获取Android ID、MAC地址。 2.超频获取电话权限。 3.未提供有效的更正、删除个人信息及注销用户账号功能。 1.Root环境检测 2.敏感信息内存加密 3.防截屏检测 4.界面劫持安全 5.登陆密码爆破风险 70
八斗银 2.0.2 广东八斗银建设投资集团有限公司 1.未明示收集使用个人信息的目的、方式和范围:申请个人信息权限或个人敏感信息时未同步告知用户目的,且隐私政策中也未说明。 2.未经用户同意收集使用个人信息:首次开启App,未同意隐私政策前行为监控发现GET_TASK检索了应用程序、Android ID、MAC地址、ip地址。 3.未提供撤回已同意授权的用户操作方法。 4.应用内集成多个可收集个人信息的第三方SDK,但未在隐私政策逐一说明是否向第三方共享信息。 5.未提供账号注销途径。 1.Root环境检测 2.防截屏检测 3.界面劫持安全 71
高铁管家 7.4 深圳市活力天汇科技股份有限公司 1.未经用户同意收集使用个人信息:首次开启App,未同意隐私政策前行为监控发现GET_TASK获取应用程序、Android ID。 2.超频获取电话权限。 1.Root环境检测 2.界面劫持安全 72
WiFi管家 3.9.6 深圳市腾讯计算机系统有限公司 1.账号注销难:应用内未发现注销账号功能 2.应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。 Webview明文存储密码风险 73
广银信用卡 3.9.4 广州银行股份有限公司信用卡中心 1.未经用户同意收集使用个人信息:首次开启App,未同意隐私政策前行为监控发现GET_TASK获取应用程序、Android ID、MAC地址、ip地址。 2.同意存储权限不同意相机权限无法正常使用更换头像功能。 3.隐私政策未发现描述响应时限的条款。 74
蜜桃直播 8.17.0 广州市九浚信息技术有限公司 1.未经用户同意收集使用个人信息:首次开启App,未同意隐私政策前行为监控发现GET_TASK获取了应用程序、Android ID、MAC地址、IMEI。 2.主界面四步以内未能找到隐私政策。 1.Root环境检测 2.防截屏检测 3.界面劫持安全 4.登陆密码爆破风险 75
56视频 6.1.8 广州市千钧网络科技有限公司 1.未明示收集使用个人信息的目的、方式和范围:56视频隐私政策完全调用搜狐视频隐私政策,描述完全一致,且未通过自定义弹窗告知索权目的。 2.未经用户同意收集使用个人信息:首次开启App,未同意隐私政策前行为监控发现GET_TASK检索了应用程序、IP地址、MAC地址、IMEI、IMSI。 3.应用内集成多个可收集个人信息的第三方SDK,但未在隐私政策逐一说明是否向第三方共享信息。 76
人气直播 6.2.1 深圳市果酱时代科技有限公司 1.未明示收集使用个人信息的目的、方式和范围:隐私政策中未明示手机信息权限和存储权限使用目的,也未使用自定义弹框同步告知目的。 2.未经用户同意收集使用个人信息:首次开启App,未同意隐私政策前行为监控发现GET_TASK检索了应用程序、Android ID、IMSI。 3.以默认同意的方式收集个人信息:首次登录时默认同意隐私政策。 4.应用内集成多个可收集个人信息的第三方SDK,但未在隐私政策逐一说明是否向第三方共享信息。 1.敏感信息内存加密 2.防截屏检测 3.界面劫持安全 77
来吼语音 1.25.0 广州柠柠网络科技有限公司 1.未明示收集使用个人信息的目的、方式和范围:首次运行未以弹窗的方式告知用户协议和隐私政策,也未使用自定义弹框同步告知索权目的。 2.未经用户同意收集使用个人信息:首次开启App,未同意隐私政策前行为监控发现GET_TASK检索了应用程序、Android ID、MAC地址 、ip地址 、IMEI、IMSI。 3.以默认同意的方式收集个人信息:首次登录时默认同意隐私政策。 4.应用内集成多个可收集个人信息的第三方SDK,但未在隐私政策逐一说明是否向第三方共享信息。 界面劫持安全 78
记点点记账 1.9.9 广州小迈网络科技有限公司 1.应用内集成多个可收集个人信息的第三方SDK,但未在隐私政策逐一说明是否向第三方共享信息。 2.未公开收集使用规则:App首次运行未弹窗提示用户阅读隐私政策。 3. 未明示收集使用个人信息的目的、方式和范围:申请打开可收集个人信息的权限时,未同步告知用户其目的。 79
广州农商银行 5.5.9 广州农村商业银行股份有限公司 1.应用内集成多个可收集个人信息的第三方SDK,但未在隐私政策逐一说明是否向第三方共享信息。 2.未公开收集使用规则:App首次运行未弹窗提示用户阅读隐私政策。 3. 未明示收集使用个人信息的目的、方式和范围:申请打开可收集个人信息的权限时,未同步告知用户其目的。 80
极简记账 1.8.3 深圳路得青云信息科技有限公司 1.应用内集成多个可收集个人信息的第三方SDK,但未在隐私政策逐一说明是否向第三方共享信息。 2.未公开收集使用规则:App首次运行未弹窗提示用户阅读隐私政策。 3. 未明示收集使用个人信息的目的、方式和范围:申请打开可收集个人信息的权限时,未同步告知用户其目的。 81
奥买家全球购 4.1.4 广东奥园奥买家电子商务有限公司 1.应用内集成多个可收集个人信息的第三方SDK,但未在隐私政策逐一说明是否向第三方共享信息。 2.未公开收集使用规则:App首次运行未弹窗提示用户阅读隐私政策。 3. 未明示收集使用个人信息的目的、方式和范围:申请打开可收集个人信息的权限时,未同步告知用户其目的。 存在Java代码反编译风险 82
恒大财富 3.4.3 恒大互联网金融服务(深圳)有限公司 应用内集成多个可收集个人信息的第三方SDK,但未在隐私政策逐一说明是否向第三方共享信息。 83
同学会 1.6.9 深圳众海诚信息咨询服务有限公司 应用内集成多个可收集个人信息的第三方SDK,但未在隐私政策逐一说明是否向第三方共享信息。 84
全民钱包 6.2.1.0 广州市全民钱包科技有限公司 应用内集成多个可收集个人信息的第三方SDK,但未在隐私政策逐一说明是否向第三方共享信息。 85
广东农信 3.3.4 广东省农村信用社联合社 1.未公开收集使用规则:App首次运行未弹窗提示用户阅读隐私政策。 2. 未明示收集使用个人信息的目的、方式和范围:申请打开可收集个人信息的权限时,未同步告知用户其目的。 86
中信证券 3.03.029 中信证券股份有限公司 应用内集成多个可收集个人信息的第三方SDK,但未在隐私政策逐一说明是否向第三方共享信息。 87
汽修宝 5.13.1.2 广州前实网络科技有限公司 1.应用内集成多个可收集个人信息的第三方SDK,但未在隐私政策逐一说明是否向第三方共享信息。 2.未公开收集使用规则:App首次运行未弹窗提示用户阅读隐私政策。 3. 未明示收集使用个人信息的目的、方式和范围:申请打开可收集个人信息的权限时,未同步告知用户其目的。 88
点点 3.3.5 深圳蜂点科技有限公司 应用内集成多个可收集个人信息的第三方SDK,但未在隐私政策逐一说明是否向第三方共享信息。