據「網信中國」公眾號消息,近期,中國網絡空間安全協會、國家計算機網絡應急技術處理協調中心對「瀏覽器類」公眾大量使用的部分App收集個人信息情況進行了測試。測試情況及結果如下:
一、測試對象
本次測試選取了19家應用商店⁽¹⁾累計下載量達到1億次的「瀏覽器類」App,共計9款,其基本情況如表1。
表1-9款App基本情況
二、測試方法
(一)測試環境
本次測試選取相同品牌、型號的手機終端,安裝相同版本安卓作業系統,分別部署9款App,在相同網絡環境下進行同步操作。
(二)測試場景
以完成一次網際網路信息瀏覽活動作為測試單元,包括啟動App、搜索信息、訪問信息3種用戶使用場景,以及後台靜默應用場景⁽²⁾。
(三)測試內容
本次測試包括系統權限調用、個人信息上傳、網絡上傳流量3項內容。
三、測試結果
(一)系統權限調用情況
測試發現,9款App在4種場景下調用了位置、設備信息、剪切板、應用列表、相冊5類系統權限,未發現調用麥克風、通訊錄等其他權限。
(1)在啟動App場景中,調用系統權限種類最多的為悟空瀏覽器(5類),調用系統權限次數最多的為UC瀏覽器(88次)。具體情況如表2。
表2-啟動App場景調用系統權限情況
(2)在搜索信息場景中,調用系統權限種類最多的為小米瀏覽器和搜狗瀏覽器極速版(均為3類),調用系統權限次數最多的為小米瀏覽器(12次)。具體情況如表3。
表3-搜索信息場景調用系統權限情況
(3)在訪問信息場景中,通過瀏覽器打開網站時,調用系統權限種類和次數最多的均為悟空瀏覽器(2類、5次);通過瀏覽器下載文件時,調用系統權限次數最多的為UC瀏覽器和悟空瀏覽器(均為2次)。具體情況如表4。
表4-訪問信息場景調用系統權限情況
(4)在後台靜默場景中,調用系統權限種類最多的為UC瀏覽器、夸克、360瀏覽器、悟空瀏覽器(均為2類),調用系統權限次數最多的為360瀏覽器(16次)。具體情況如表5。
表5-後台靜默場景調用系統權限情況
(二)個人信息上傳情況
測試發現,9款App上傳了4種類型個人信息⁽³⁾:①位置信息,包括經緯度、街道地址、當前連接Wi-Fi MAC地址、當前連接基站信息、周邊可用Wi-Fi MAC地址;②唯一設備識別碼,包括IMEI(國際行動裝置識別碼)、Android ID(安卓ID)、OAID(開放匿名設備標識符)、手機MAC地址;③應用列表信息,包括手機上已安裝、新安裝、新卸載的應用信息;④用戶在App內的截圖操作信息。
(1)在啟動App場景中,個人信息上傳種類最多的為UC瀏覽器(4類)。具體情況如表6。
表6-啟動App場景個人信息上傳情況
(2)在搜索信息場景中,個人信息上傳種類最多的為悟空瀏覽器(2類)。具體情況如表7。
表7-搜索信息場景個人信息上傳情況
(3)在訪問信息場景中,通過瀏覽器打開網站時,個人信息上傳種類最多的為小米瀏覽器和悟空瀏覽器(均為2類);通過瀏覽器下載文件時,個人信息上傳種類最多的為UC瀏覽器和360瀏覽器(均為2類)。具體情況如表8。
表8-訪問信息場景個人信息上傳情況
(4)在後台靜默場景中,個人信息上傳種類最多的為UC瀏覽器(3類)。具體情況如表9。
表9-後台靜默場景個人信息上傳情況
(三)網絡上傳流量情況
(1)9款App在用戶完成一次網站瀏覽活動(啟動App、搜索信息、打開網站)時,上傳數據流量平均⁽⁴⁾最多的為悟空瀏覽器,約為1608KB;平均最少的為小米瀏覽器,約為472KB。具體情況如圖1。
圖1 完成一次網站瀏覽活動的平均上傳數據流量(單位:KB)
(2)9款App在用戶完成一次文件下載活動(啟動App、搜索信息、下載文件)時,上傳數據流量平均⁽⁵⁾最多的為QQ瀏覽器,約為1994KB;平均最少的為小米瀏覽器,約為152KB。具體情況如圖2。
圖2 完成一次文件下載活動的平均上傳數據流量(單位:KB)
(3)9款App後台靜默12小時,上傳數據流量平均⁽⁶⁾最多的為UC瀏覽器,約為2506KB;平均最少的為華為瀏覽器,約為87KB。具體情況如圖3。
圖3 後台靜默12小時平均上傳數據流量(單位:KB)
注釋:
⁽¹⁾包括華為應用市場、小米應用商店、騰訊應用寶、OPPO軟體商店、VIVO應用市場、360手機助手、百度手機助手、豌豆莢手機助手、歷趣應用商店、樂商店、魅族應用商店、移動MM商店、太平洋下載、中關村在線、木螞蟻安卓應用市場、多特軟體站、華軍軟體園、西西軟體園、綠色資源網。
⁽²⁾啟動App指用戶點擊瀏覽器圖標啟動App至首頁加載完畢;搜索信息指用戶搜索一個網站或文件,至搜索結果加載完畢;訪問信息指用戶點擊一條搜索結果進行瀏覽(當搜索結果為一個網頁時)或下載(當搜索結果為一個文件時);後台靜默指用戶啟動瀏覽器後,直接切換到後台保持靜默狀態。
⁽³⁾不包含用戶訪問網際網路產生的交互信息。例如,用戶瀏覽銀行網站時,可能向網站傳輸身份證號、銀行卡號、取款密碼等信息,在此過程中瀏覽器僅按照網絡協議向網站轉發數據,本身不收集上述信息。
⁽⁴⁾共重複測試10次。
⁽⁵⁾共重複測試10次。
⁽⁶⁾共重複測試6次。(南方網)