宁夏回族自治区通信管理局关于2021年3-4月移动互联网智能终端应用软件安全检测监管平台监测及运行情况的通报
各基础电信运营企业:
为进一步加强和推进移动互联网智能终端应用软件安全检测工作,依据《工业和信息化部移动智能终端应用软件预置和分发管理暂行规定》及《App违法违规收集使用个人信息行为认定方法》,我局现将2021年3-4月平台监测运行情况通报如下:
一、线下营业厅App检测情况
(一)App安全检测设备运行情况
2021年3-4月共检测手机终端5278部,其中宁夏电信2523部、宁夏移动1375部、宁夏联通1380部。
2021年3-4月各运营商营业厅检测设备平均开机时长分别为宁夏电信745分钟/天、宁夏移动759分钟/天和宁夏联通698分钟/天。
(二)线下APP安全检测情况
2021年3-4月,线下各营业厅共检测App 17.5万款,其中宁夏电信8.1万款、宁夏移动5.2万款、宁夏联通4.2万款。
依据《App违法违规收集使用个人信息行为认定方法》,共检出“小红书”、“一格网”、“伴读宝”等问题App 10款。问题类型包括隐私泄露4款、未经用户同意收集使用个人信息3款、明文上传账号密码2款、上传应用列表1款(详见附件1)。
二、线上移动应用程序样本检测情况
(一)各基础电信企业样本上报情况
2021年3-4月,平台累计接收各基础电信企业上报样本约71.3万款,电信上传样本60.2万款,移动上传样本10.6万款,联通上传样本0.5万款。
(二)线上移动应用程序样本检测比对情况
2021年3-4月,平台研判分析处置了“面部解锁”、“微信加人神器”、“欢乐走”等高危应用23款,同比1-2月下降了20.6%。(详见附件2)。
三、区内APP个人信息保护的安全风险评测情况
2021年4月份,我局依据《APP收集使用个人信息最小必要评估规范》等法律法规对我区使用量较大的17款APP进行了违法违规收集使用个人信息的评测及应用安全风险评估,其中2款合格,15款存在未公开收集使用规则及XML存储明文数据风险等安全隐患。
四、下一步工作要求
(一)提高思想认识。各单位要提高思想认识,坚持安全与发展并重的理念,落实企业网络安全主体责任,将业务和安全放在同等重要位置进行宣传,让广大手机用户进店即知晓手机APP应用安全检测服务,提高用户知晓度和参与度,提升用户网络安全和个人权益保护意识。
(二)加大宣传力度。各营业厅要充分利用横幅、海报、LED屏等多种宣传方式(宣传形式不限),对手机APP应用安全检测和网络安全进行宣传,提高用户网络安全和保护个人信息的认知。
(三)加强用户引导。各营业厅在开展App安全检测服务时,应及时提醒和引导用户通过官方正规渠道下载手机App。对于检出的问题App,要提示用户及时卸载,防止问题App损害用户和企业的合法权益。
(四)发挥平台作用。各营业厅要明确专人负责检测设备的保管和使用。保证检测设备按时开机联网,每天开机时间不少于8小时,每月检测手机数量不少于30部,确保App安全检测服务和监管平台有效发挥作用。检测设备若有损坏、丢失,由相关基础电信企业按原型号自行配置。
(五)样本推送处置。各基础电信企业利用现已对接的系统向我局推送移动恶意程序样本数据(包括移动恶意程序的黑、白、灰名单),确保数据上报质量和数量,对研判后下发的高危移动恶意程序样本进行及时处置,并将处置的结果以邮件形式反馈我局。
(六)APP评测整改。各基础电信企业区公司要依据《中华人民共和国网络安全法》《信息安全技术 个人信息安全规范》《信息安全技术 移动互联网应用(APP)收集个人信息基本规范》《APP收集使用个人信息最小必要评估规范》等法律规范,制定移动智能终端个人信息保护及数据安全管理规范,对自己开发或运营的APP定期开展评测,并对存在问题的APP及时进行整改。
以上要求,我局已纳入2021年度行风建设和纠风工作考核,将不定期对营业厅APP安全检测工作进行走访督查,各基础电信企业请认真遵照执行。
附件:
1.线下流通渠道问题App列表
2.线上问题App样本列表
宁夏回族自治区通信管理局
2021年5月10日
附件1:
线下流通渠道问题App列表
宁夏通信管理局建议广大手机用户谨慎选择手机应用软件,并从官方正规渠道进行下载安装,避免造成个人信息泄露及不必要的损失。2021年3-4月宁夏地区检测出问题App见下表:
序号 | APP名称 | APP版本 | 所涉问题 |
1 | 规范查阅 | 3.6.0.8 | 明文上传账号密码 |
2 | 一格网 | 6.6.0 | 明文上传账号密码 |
3 | Tripadvisor猫途鹰 | 35.2 | 隐私泄露 |
4 | 伴读宝 | 2.0.6 | 隐私泄露 |
5 | 中国证券报 | 1.3.0 | 隐私泄露 |
6 | 烧酒网 | 3.0.3 | 隐私泄露 |
7 | 饿了么 | 9.3.6 | 未经用户同意收集使用个人信息 |
8 | 小红书 | 6.63.0 | 未经用户同意收集使用个人信息 |
9 | 手机营业厅 | 7.5 | 未经用户同意收集使用个人信息 |
10 | 毛绒宠物美容院 | 1.0.6 | 上传应用安装列表 |
宁夏通信管理局温馨提示:广大手机用户请通过应用商店等正规渠道下载手机APP,安装应用前认真阅读APP服务条款和个人授权内容;不安装和使用要求与提供服务无关个人信息的APP;APP登录密码要避免简单、重复;不连接无密码的公共WiFi,在公共WiFi下尽量不进行金融交易;不在手机中保存个人重要支付密码、身份证号码等信息;用户在更换新手机后,及时删除旧手机中个人信息及重要数据、不随意丢弃旧手机。 |
附件2:
线上问题App样本列表
序号 | 问题App样本名称 | 应用包名称 | 所涉问题 |
1 | 迷你世界(微缩模型四期) | com.mingya.sports.iapppay | 流氓行为 |
2 | 荒岛求生3D | com.tyou.yanyuan | 流氓行为 |
3 | 刷QQ会员 | com.qqbi.qqbi2_vip | 流氓行为 |
4 | 微信加人神器 | com.fujin.app10869 | 流氓行为 |
5 | 网速优化 | csivrq.rlkvqp.otbckq.elgoxo | 流氓行为 |
6 | 欢乐走 | com.pedometer.money.cn | 流氓行为 |
7 | 蓝桉 | com.lanan | 系统破坏 |
8 | 闪电助手 | com.longyanyuanshichuanqix | 系统破坏 |
9 | 刺激战场画质修改 | com.xel.cjzchzxg | 系统破坏 |
10 | GameGuardian | catch_.me_.if_.you_.can_ | 系统破坏 |
11 | 龙焱辅助2.7.7 | com.longyanyuanshichuanqi | 系统破坏 |
12 | 球球&小玉玉 | com.xiaoyuyu | 系统破坏 |
13 | 球球大作战分身 | dkplugin.elq.cxq | 系统破坏 |
14 | 青石1.2.3 | com.com.tencent.mm | 系统破坏 |
15 | ppsspp设置详细教程 | com.zhainveport.zvyrcgmasn | 诱骗欺诈 |
16 | 面部解锁 | org.rhmhpj.jggnkr.ksps | 诱骗欺诈 |
17 | 寿命计算器 | com.xsd.smjsq | 隐私窃取 |
18 | DroidSheep | de.trier.infsec.koch.droidsheep | 隐私窃取 |
19 | 午夜快播 | com.xslgame.ninja | 恶意传播 |
20 | 掀美女裙子 | com.cs.andriod.qz | 恶意传播 |