苏宁易购后台调用位置权限上千次！申报实测十款头部购物应用

图源自中国网络空间安全协会官网

报告显示，App在后台静默时，苏宁易购App（9.5.62）调用位置权限高达1199次。
而在上传个人信息方面，拼多多App（6.20.0）在启动、搜索、后台静默三中场景下都上传了最多类型的个人信息，包括唯一识别码、位置信息、剪切板信息、运用列表信息等。

南都梳理发现，此前监管部门通报App违法违规网络利用个人信息行为时仅表露大概类型，而这次报告表露得较为详细。
有专家表示，报告是更柔性的关照办法，其意义更多是“列数据、摆事实”，并不能完全折射App的个人信息保护水平。
不过，企业对报告的结果也会非常重视。

后台静默时，苏宁易购调用位置权限上千次

2月2日，中国网络空间安全协会、国家打算机网络应急技能处理折衷中央联合发布《“网上购物类”App个人信息网络情形测试报告》（下称《报告》）。

《报告》选取了淘宝、京东、拼多多等累计下载量最高的10款“网上购物类”App作为测试工具，以完成一次网上购物活动作为测试单元，包括启动App、搜索商品、购物下单三种用户利用场景，以及后台静默运用处景。
测试内容为系统权限调用、个人信息上传、网络上传流量三项。

测试结果显示，在系统权限调用方面，10款App在四种场景下调用了位置、设备信息、剪切板、运用列表四类系统权限。
详细而言，在启动App场景中，拼多多App调用系统权限种类最多，包括位置、设备信息、剪切板、运用列表四项。
苏宁易购App在启动App、搜索商品、购物下单场景中均为调用系统权限次数最多的App。
在后台静默场景中，苏宁易购App调用位置权限1199次。

图源自中国网络空间安全协会官网

2021年发布的推举性国家标准《信息安全技能移动互联网运用程序（App）个人信息安全测评规范》（搜聚见地稿）提出，舆图导航、位置追踪等实时定位场景，网络地理位置的合理频率是持续读取（每秒1次）；展示周边可用做事等场景下，应周期性读取（每30秒1次）；若是识别当前地址等场景，则只应一次性读取。

南都发布的《个人信息安全年度报告（2022）》曾对150款App自动采集个人信息的频率进行实测，重点关注了Android ID、剪切板、精确地理位置等9项个人信息的读取情形。
结果创造，个中116款自动采集个人信息频率超出了实现其业务功能所必需的最低频率，占比近八成。

南都实测：超频率采集个人信息的App数量分布

详细而言，有106款App在一定时限内读取Android ID超出了实现业务功能所必需的最低频率，74款App超频率读取了MAC地址，如“乐视视频”App（10.5.3）均匀每分钟读取约38次。
频繁读取设备IP的App也有65款。

针对部分App被测出调用系统权限上千次的情形，北京汉华飞天信安科技有限公司总经理彭根推测，可能是由于代码在某个模块形成了循环，或利用第三方代码不规范等缘故原由。
“本来只需网络一次就可以了，但那个模块网络了很多次，形成了一个循环。
”

不同App网络个人信息情形差异较大

在个人信息上传情形方面，10款App上传了六类个人信息，包括位置、唯一设备识别码、剪切板内容、运用列表、购物和登录信息。
在购物下单场景中，个人信息上传种类最多的为淘宝、京东、苏宁易购App，其分别在完成一次购物下单过程中上传了四类个人信息。

值得把稳的是，在后台静默场景中，不同App上传的个人信息种类差别较大，如拼多多App上传了唯一设备识别码、剪切板内容、运用列表信息三类，手机天猫App仅上传了位置信息。

图源自中国网络空间安全协会官网

根据测试结果，不同App的个人信息网络情形可能存在较大差异。
为何同一类型且同为头部的App会涌现这种情形？

中国网络安全审查技能与认证中央高等工程师樊华认为，这与App的规模大小、涉及业务范围以及风险掌握维度等成分有关。
比如淘宝是购物类App中最早进入大众视野的，但现在其业务范围不仅包括购物，还能供应旅行民宿、二手交易等生活做事；而唯品会等购物类App暂时未开拓这些功能。
如果二者的个人信息网络情形存在差异是正常的。

彭根也有类似意见。
他指出，不同App调用哪些系统权限，上传哪些个人信息可能受到多方面影响，涌现这种情形并不奇怪。
比如，这次被测的头部App大多各自由多个开拓小组共同研发，而不同小组研发的模块之间都是低耦合的情形，还可能引入第三方模块，“他们都有可能在某利用场景或静默状态下网络和发送个人信息，App故意识地频繁网络或传输个人信息的可能性不大。
”

该测评还包括10款App的网络上传流量情形。
结果显示，在完成一次网上购物活动时，均匀上传数据流量最多的苏宁易购App比最少的光彩亲选App赶过近五倍。
在App后台静默12小时的情形下，均匀上传数据流量最多的是手机天猫，约为92KB，最少的是唯品会，约为1.4KB。

后台静默12小时均匀上传数据流量 图源自中国网络空间安全协会官网

网络上传流量的多少意味着什么？樊华表示，由于当下大部分App采取加密的办法传输数据，测试员很难解析传输的详细内容，因此只能通过测试统计静默状态等分外场景下的上传数据流量，剖析App从用户终端中获取的数据体量，进而从侧面反响其网络个人信息的情形。

以报告形式关照提高企业接管度

事实上，监管部门对不合规App进行通报已持续数年，该手段一贯是整治App、监督互联网企业的有效办法。
南都去年发布的《个人信息安全年度报告（2022）》显示，去年共有635款违法违规App（包含SDK）因个人信息干系问题被工信部、国家网信办、公安部通报。

南都把稳到，监管部门通报时，表露App存在的问题时常日利用较为笼统的概括性措辞，如“违规网络个人信息”“超范围网络个人信息”等。
这次《报告》针对App行为给出了详细数据，为通报详细违规问题供应了可能。
结合报告发布方的官方背景，是否意味着监管模式有所改变？

樊华直言，《报告》更倾向于技能类剖析，与监管部门的正式通报是有差异的，不涉及App是否违规的剖断。
“随着测试的深入，我们创造由于实现某些App功能的技能方法和开拓方案不同，个人信息网络行为无法按照一个固定标准来判断，很难仅以一种技能检测结果来判断App是否违规。
”

她表示，《报告》的意义更多是“列数据、摆事实”，并不能完全折射App的个人信息保护水平，其积极意义在于提高用户透明度，同时匆匆使企业同行业比拟、反省、整改。
“这种报告的形式虽然与之前的通报比较，逼迫力有限，对企业而言是更柔性的关照办法。
由于近年来这些头部互联网企业对个人信息保护和数据安全都十分重视，企业对报告的结果也会非常重视。
”

彭根则指出，如果将问题细节都公布出来，所有人都会知道该App的弱点，因此公开通报时不能将问题表露得太细。
此外，只管通报中只表露了粗略的违规情形，但关照每个App开拓商时会有详细细节，从而督匆匆实在现整改。

采写：南都樊文扬