2023年2月9日星期四

“网上购物类”App个人信息收集情况测试报告

文/国家互联网应急中心CNCERT

近期,中国网络空间安全协会、国家计算机网络应急技术处理协调中心对“网上购物类”公众大量使用的部分App收集个人信息情况进行了测试。测试情况及结果如下:

一  测试对象

本次测试选取了19家应用商店⁽¹⁾累计下载量排名前10位的“网上购物类”App。10款App基本情况如表1。

表1  10款App基本情况

二  测试方法

(一)测试环境

本次测试选取相同品牌、型号的手机终端,安装相同版本安卓操作系统,分别部署10款App,在相同网络环境下进行同步操作。

(二)测试场景

以完成一次网上购物活动作为测试单元,包括启动App、搜索商品、购物下单3种用户使用场景,以及后台静默应用场景⁽²⁾。

(三)测试内容
本次测试包括系统权限调用、个人信息上传、网络上传流量3项内容。

三  测试结果

(一)系统权限调用情况
测试发现,10款App在4种场景下调用了位置、设备信息、剪切板、应用列表4类系统权限,未发现调用相机、麦克风、通讯录等其他权限。
在启动App场景中,调用系统权限种类最多的为拼多多(4类),调用系统权限次数最多的为苏宁易购(357次)。具体情况如表2。

表2  启动App场景调用系统权限情况

在搜索商品场景中,调用系统权限种类最多的为淘宝(3类),调用系统权限次数最多的为苏宁易购(152次)。具体情况如表3。

表3  搜索商品场景调用系统权限情况

在购物下单场景中,调用系统权限种类最多的为手机天猫(3类),调用系统权限次数最多的为苏宁易购(255次)。具体情况如表4。

表4  购物下单场景调用系统权限情况

在后台静默场景中,调用系统权限种类最多的为拼多多(4类),调用系统权限次数最多的为苏宁易购(1199次)。具体情况如表5。

表5  后台静默场景调用系统权限情况

(二)个人信息上传情况

测试发现,10款App上传了6种类型个人信息:①位置信息,包括经纬度、街道地址、当前连接WiFi MAC地址、当前连接基站信息、周边可用WiFi MAC地址等;②唯一设备识别码,包括IMEI(国际移动设备识别码)、IMSI(SIM卡国际移动用户识别码)、Android ID(安卓ID)、OAID(开放匿名设备标识符)、手机MAC地址等;③剪切板内容信息,包括商品分享链接、最近复制的文本等;④应用列表信息,包括手机上已安装、正在运行、新安装和新卸载的应用信息等;⑤购物信息,包括商品搜索词、订单信息等;⑥登录信息,包括用户ID、登录状态等。

在启动App场景中,个人信息上传种类最多的为拼多多(4类)。具体情况如表6。

表6  启动App场景个人信息上传情况


在搜索商品场景中,个人信息上传种类最多的为拼多多和手机天猫(均为4类)。具体情况如表7。

表7  搜索商品场景个人信息上传情况

在购物下单场景中,个人信息上传种类最多的为淘宝、京东、苏宁易购(均为4类)。具体情况如表8。

表8  购物下单场景个人信息上传情况

在后台静默场景中,个人信息上传种类最多的为拼多多(3类)。具体情况如表9。

表9  后台静默场景个人信息上传情况


(三)网络上传流量情况

测试发现,10款App在用户完成一次网上购物活动(启动App、搜索商品、购物下单)时,上传数据流量平均⁽³⁾最多的为苏宁易购,约为653KB;平均最少的为荣耀亲选,约为115KB。具体情况如图1。

图1  完成一次网上购物活动平均上传数据流量(单位:KB)

测试发现,10款App后台静默12小时,上传数据流量平均⁽⁴⁾最多的为手机天猫,约为92KB;平均最少的为唯品会,约为1.4KB。具体情况如图2。

图2  后台静默12小时平均上传数据流量(单位:KB)

注释:

⁽¹⁾包括华为应用市场、小米应用商店、腾讯应用宝、OPPO软件商店、VIVO应用市场、360手机助手、百度手机助手、豌豆荚手机助手、历趣应用商店、乐商店、魅族应用商店、移动MM商店、太平洋下载、中关村在线、木蚂蚁安卓应用市场、多特软件站、华军软件园、西西软件园、绿色资源网。
⁽²⁾启动App指用户点击图标至主界面加载完成;搜索商品指用户选中搜索框,输入搜索词,点击搜索并选择第一项搜索结果;购物下单指用户点击购买按钮,选择收货地址,提交订单至确认付款页面;后台静默指用户将App切换至后台保持静默运行状态。
⁽³⁾共重复测试24次。
⁽⁴⁾共重复测试7次。

没有评论:

发表评论