215款App被广东省通信管理局责令限期整改

时间:2021-02-25 07:00:39   热度:37.1℃   作者:网络

中国质量新闻网讯  据广东省通信管理局网站2021年2月23日消息,2021年1月,广东省通信管理局共监测发现215款App存在侵害用户权益和安全隐患问题,并依据《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规对App运营者发出《违法违规App处置通知》,责令限期整改并通知各应用商店督促整改。另外,对于前期已通报App整改进度进行核查复测,发现仍有7款App未整改或整改不彻底,再次公开通报。

本批被责令整改的215款侵害用户权益和安全隐患问题App中,游戏类45款、工具类38款、生活服务类22款、购物类20款、社交类19款,教育类18款,旅行交通类15款,金融理财类12款,健康类10款,新闻阅读类4款,视音频类4款、办公类5款、娱乐类3款。

本批App侵害用户权益的典型表现有:一是未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围(129款,占比60%),二是未经用户阅读并同意隐私政策,提前申请获取终端权限(69款,占比55.2%),三是App在用户未使用相关功能或服务时,提前申请开启通讯录、定位、短信、录音、相机等权限(49款,占比39.2%),四是未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引(48款,占比21.5%);数据安全隐患问题主要有Janus签名机制漏洞、未移除有风险的Webview系统隐藏接口漏洞、界面劫持安全、密钥硬编码漏洞、应用备份风险等。

在3·15消费者权益日即将到来之际,广东省通信管理局将持续加大巡查力度,及时发现并通报侵犯用户权益的App,同时加强对已通报App及其运营者关联App进行跟踪复查,如有必要坚决采取下架、停接入、停域名、行政处罚以及纳入电信业务经营不良名单或失信名单并公开曝光等措施,依法严厉处置,切实维护App用户合法权益和网络安全秩序。

215款被广东省通信管理局责令整改App名单.docx

7款前期通报整改未整改或整改不彻底App名单

序号

应用名称

开发者

版本号

侵害用户权益问题

安全隐患问题

前期通报时间

通报版本

1

掘金宝

掘金链科技(深圳)有限公司

2.0.1.10

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.在申请打开可收集个人信息的权限时,未同步告知用户其目的;
  3.APP首次运行,用户同意隐私政策前,私自收集“GET_TASK检索了应用程序、Android ID、IP地址、MAC地址、IMEI、IMSI”信息;
  4.APP在用户明确拒绝权限申请后,频繁申请开启与当前服务场景无关的权限(存储),骚扰用户。


2020年11月26日

V2.0.0.03

2

摇钱花

深圳市小赢科技有限责任公司

2.18.1

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.在登录时,以默认方式同意隐私政策;
  3.违反必要原则收集个人信息:用户不同意开启非必要的相机权限,拒绝提供上传照片功能。


2020年12月7日

2.14.0

3

顺丰金融

深圳市顺恒融丰投资有限公司

V4.3.6

1.征得用户同意前,App嵌入的第三方SDK私自收集个人MAC地址信息;
  2.在注册登录时,以默认方式同意隐私政策;
  3.因用户不同意收集非必要的QQ、邮箱等个人信息,拒绝提供我要留言功能;
  4.违反必要原则收集个人信息:用户不同意开启非必要的相机权限,拒绝提供上传图片功能。

1.WebView远程代码执行漏洞;
  2.界面劫持风险。

2020年10月23日

V4.3.2

4

坐车网

广州浩宁智能设备有限公司

3.21.209697

1. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2. 在注册时,以默认方式同意隐私政策;
  3. 账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没
有注销指引。

1.HTTPS中间人劫持风险;
  2.WebView远程代码执行漏洞;
  3.界面劫持风险;
  4.Janus签名机制漏洞。

2020年10月29日

3.18.201551

5

中邮钱包

中邮消费金融有限公司

2.9.9

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.未提供有效的注销账号功能:按照隐私政策中声明的注销指引,咨询在线客服,客服明确回复未实名认证的账号无需注销。


2020年10月23日

2.8.6

6

华盛通

深圳市时代华盛网络科技有限公司

2.3.501

1.隐私政策中未逐一列出获取个人银行卡信息的目的、方式、范围;
  2.征得用户同意前,App私
自收集个人IMEI信息;
  3.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。


2020年11月26日

V2.3.201

7

万联e万通

万联证券股份有限公司

V8.04.30

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.违反必要原则收集个人信息:用户不同意开启非必要的相机权限,拒绝提供上传照片业务;
  3.为注销用户账号设置不必要或不合理条件:App账号管理界面未提供账号注销菜单入口,通过客服联系时,却为注销用户账号设置不必要或不合理条件(账号使用手机号码注册但未填写姓名、身份证号码等个人信息,但受理注销账号时却要求提供包括姓名、身份证号码才可进行)。

Janus签名机制漏洞。

2020年11月26日

8.04.10


上一篇: 中消协启动2021年度“守护安全 畅通消...

下一篇: [USA]不到最后根本猜不透的网飞最新悬...


 本站广告