“浏览器类”App个人信息收集情况测试报告.pdf
“浏览器类”App个人信息收集情况测试报告.pdf
“浏览器类”App 个人信息收集情况测试报告 近期,中国网络空间安全协会、国家计算机网络应急 技术处理协调中心对“浏览器类”公众大量使用的部分 App 收集个人信息情况进行了测试。测试情况及结果如下: 一、测试对象 本次测试选取了 19 家应用商店[1]累计下载量达到 1 亿 次的“浏览器类”App,共计 9 款,其基本情况如表 1。 表 1 9 款 App 基本情况 App 名称 运营者 测试版本 华为浏览器 华为软件技术有限公司 11.0.7.303 小米浏览器 小米科技有限责任公司 17.4.240216 UC 浏览器 广州市动景计算机科技有限公司 15.2.4.1214 QQ 浏览器 深圳市腾讯计算机系统有限公司 13.4.6.6043 夸 克 广州市动景计算机科技有限公司 6.1.0.237 搜狗浏览器极速版 北京搜狗科技发展有限公司 13.3.7.7101 360 浏览器 北京奇元科技有限公司 10.1.1.270 悟空浏览器 北京无限维度科技有限公司 1.7.5 火狐浏览器 北京谋智火狐信息技术有限公司 109.1.1 二、测试方法 (一)测试环境 本次测试选取相同品牌、型号的手机终端,安装相同 版本安卓操作系统,分别部署 9 款 App,在相同网络环境下 [1] 包括华为应用市场、小米应用商店、腾讯应用宝、OPPO 软件商店、VIVO 应用市场、360 手机助手、百 度手机助手、豌豆荚手机助手、历趣应用商店、乐商店、魅族应用商店、移动 MM 商店、太平洋下载、 中关村在线、木蚂蚁安卓应用市场、多特软件站、华军软件园、西西软件园、绿色资源网。 1 进行同步操作。 (二)测试场景 以完成一次互联网信息浏览活动作为测试单元,包括 启动 App、搜索信息、访问信息 3 种用户使用场景,以及后 台静默应用场景[2]。 (三)测试内容 本次测试包括系统权限调用、个人信息上传、网络上 传流量 3 项内容。 三、测试结果 (一)系统权限调用情况 测试发现,9 款 App 在 4 种场景下调用了位置、设备信 息、剪切板、应用列表、相册 5 类系统权限,未发现调用麦 克风、通讯录等其他权限。 (1)在启动 App 场景中,调用系统权限种类最多的为 悟空浏览器(5 类),调用系统权限次数最多的为 UC 浏览 器(88 次) 。具体情况如表 2。 表 2 启动 App 场景调用系统权限情况 App 名称 完成一次启动过程调用系统权限的种类和次数 华为浏览器 位置权限(14 次)、设备信息权限(1 次)、应用列表权限(2 次) 小米浏览器 位置权限(4 次) 、设备信息权限(9 次)、剪切板权限(3 次) UC 浏览器 位置权限(68 次)、设备信息权限(18 次)、相册权限(2 次) QQ 浏览器 位置权限(4 次) 启动 App 指用户点击浏览器图标启动 App 至首页加载完毕;搜索信息指用户搜索一个网站或文件,至 搜索结果加载完毕;访问信息指用户点击一条搜索结果进行浏览(当搜索结果为一个网页时)或下载(当 搜索结果为一个文件时) ;后台静默指用户启动浏览器后,直接切换到后台保持静默状态。 [2] 2 夸 克 位置权限(20 次)、设备信息权限(5 次)、剪切板权限(1 次)、 相册权限(1 次) 搜狗浏览器 位置权限(4 次) 、设备信息权限(10 次) 极速版 360 浏览器 位置权限(1 次)、应用列表权限(1 次) 位置权限(18 次) 、剪切板权限(2 次)、设备信息权限(10 次)、 悟空浏览器 应用列表权限(1 次) 、相册权限(1 次) 火狐浏览器 剪切板权限(2 次) (2)在搜索信息场景中,调用系统权限种类最多的为 小米浏览器和搜狗浏览器极速版(均为 3 类),调用系统权 限次数最多的为小米浏览器(12 次)。具体情况如表 3。 表 3 搜索信息场景调用系统权限情况 App 名称 完成一次搜索信息过程调用系统权限的种类和次数 华为浏览器 位置权限(3 次)、剪切板权限(1 次) 小米浏览器 位置权限(4 次) 、设备信息权限(7 次)、相册权限(1 次) UC 浏览器 位置权限(1 次) QQ 浏览器 剪切板权限(1 次) 夸 克 位置权限(1 次) 搜狗浏览器 位置权限(1 次) 、设备信息权限(3 次)、剪切板权限(1 次) 极速版 360 浏览器 剪切板权限(2 次) 悟空浏览器 位置权限(2 次) 、设备信息权限(8 次) 火狐浏览器 剪切板权限(3 次) (3)在访问信息场景中,通过浏览器打开网站时,调 用系统权限种类和次数最多的均为悟空浏览器(2 类、5 次);通过浏览器下载文件时,调用系统权限次数最多的为 UC 浏览器和悟空浏览器(均为 2 次)。具体情况如表 4。 表 4 访问信息场景调用系统权限情况 App 名称 完成一次访问信息过程调用系统权限的种类和次数 打开网站 下载文件 华为浏览器 位置权限(1 次) 应用列表权限(1 次) 小米浏览器 位置权限(1 次) 未调用权限 3 UC 浏览器 位置权限(2 次) 位置权限(2 次) QQ 浏览器 未调用权限 未调用权限 夸 克 搜狗浏览器 极速版 360 浏览器 位置权限(1 次) 应用列表权限(1 次) 未调用权限 未调用权限 悟空浏览器 火狐浏览器 未调用权限 应用列表权限(1 次) 位置权限(2 次)、设备信息权 设备信息权限(2 次) 限(3 次) 未调用权限 未调用权限 (4)在后台静默场景中,调用系统权限种类最多的为 UC 浏览器、夸克、360 浏览器、悟空浏览器(均为 2 类), 调用系统权限次数最多的为 360 浏览器(16 次)。具体情况 如表 5。 表 5 后台静默场景调用系统权限情况 App 名称 后台静默期间调用系统权限的种类和次数 华为浏览器 未调用权限 小米浏览器 相册权限(1 次) UC 浏览器 位置权限(5 次)、应用列表权限(2 次) QQ 浏览器 应用列表权限(2 次) 夸 克 搜狗浏览器 极速版 360 浏览器 位置权限(1 次)、相册权限(1 次) 悟空浏览器 剪切板权限(4 次)、应用列表权限(5 次) 火狐浏览器 未调用权限 应用列表权限(2 次) 位置权限(10 次)、设备信息权限(6 次) (二)个人信息上传情况 测试发现,9 款 App 上传了 4 种类型个人信息 [3]:①位 置信息,包括经纬度、街道地址、当前连接 Wi-Fi MAC 地 址、当前连接基站信息、周边可用 Wi-Fi MAC 地址;②唯 [3] 不包含用户访问互联网产生的交互信息。例如,用户浏览银行网站时,可能向网站传输身份证号、银行 卡号、取款密码等信息,在此过程中浏览器仅按照网络协议向网站转发数据,本身不收集上述信息。 4 一 设 备 识 别 码 , 包 括 IMEI ( 国 际 移 动 设 备 识 别 码 )、 Android ID(安卓 ID)、OAID(开放匿名设备标识符)、手 机 MAC 地址;③应用列表信息,包括手机上已安装、新安 装、新卸载的应用信息;④用户在 App 内的截图操作信 息。 (1)在启动 App 场景中,个人信息上传种类最多的为 UC 浏览器(4 类)。具体情况如表 6。 表 6 启动 App 场景个人信息上传情况 App 名称 完成一次启动过程上传的个人信息种类 华为浏览器 经纬度;IMEI、OAID 经纬度、当前连接 Wi-Fi MAC 地址、周边可用 Wi-Fi MAC 地址; Android ID 经纬度、当前连接 Wi-Fi MAC 地址、当前连接基站信息、周边可 UC 浏览器 用 Wi-Fi MAC 地址;Android ID、手机 MAC 地址;已安装的应用 信息;用户在 App 内的截图操作信息 当前连接 Wi-Fi MAC 地址、当前连接基站信息、周边可用 Wi-Fi QQ 浏览器 MAC 地址;Android ID 经纬度、街道地址、当前连接 Wi-Fi MAC 地址、周边可用 Wi-Fi 夸 克 MAC 地址;Android ID、手机 MAC 地址 搜狗浏览器 当前连接 Wi-Fi MAC 地址;Android ID 极速版 当前连接 Wi-Fi MAC 地址、当前连接基站信息、周边可用 Wi-Fi 360 浏览器 MAC 地址;Android ID、OAID;已安装的应用信息 经纬度、周边可用 Wi-Fi MAC 地址;IMEI、Android ID、手机 悟空浏览器 MAC 地址;已安装的应用信息 火狐浏览器 无 小米浏览器 (2)在搜索信息场景中,个人信息上传种类最多的为 悟空浏览器(2 类)。具体情况如表 7。 表 7 搜索信息场景个人信息上传情况 App 名称 完成一次搜索信息过程上传的个人信息种类 华为浏览器 OAID 5 小米浏览器 Android ID UC 浏览器 经纬度 QQ 浏览器 Android ID 夸 克 无 搜狗浏览器 Android ID 极速版 360 浏览器 Android ID、OAID 悟空浏览器 当前连接 Wi-Fi MAC 地址;IMEI、Android ID 火狐浏览器 无 (3)在访问信息场景中,通过浏览器打开网站时,个 人信息上传种类最多的为小米浏览器和悟空浏览器(均为 2 类);通过浏览器下载文件时,个人信息上传种类最多的为 UC 浏览器和 360 浏览器(均为 2 类) 。具体情况如表 8。 表 8 访问信息场景个人信息上传情况 完成一次访问信息过程上传的个人信息种类 App 名称 打开网站 下载文件 UC 浏览器 OAID OAID 经纬度、当前连接 Wi-Fi MAC 地址、周边可用 Wi-Fi MAC 地 Android ID 址;Android ID 经纬度 经纬度;Android ID QQ 浏览器 Android ID Android ID 夸 克 搜狗浏览器 极速版 无 无 Android ID Android ID 360 浏览器 Android ID、OAID Android ID、OAID;已安装的 应用信息 华为浏览器 小米浏览器 悟空浏览器 火狐浏览器 当 前 连 接 Wi-Fi MAC 地 址 ; IMEI、Android ID IMEI、Android ID 无 无 (4)在后台静默场景中,个人信息上传种类最多的为 UC 浏览器(3 类)。具体情况如表 9。 表 9 后台静默场景个人信息上传情况 6 App 名称 后台静默期间上传的个人信息种类 华为浏览器 无 小米浏览器 无 经纬度、当前连接 Wi-Fi MAC 地址、当前连接基站信息、周边可 UC 浏览器 用 Wi-Fi MAC 地址;Android ID、手机 MAC 地址;新安装和新卸 载的应用信息 QQ 浏览器 新安装的应用信息 夸 克 当前连接 Wi-Fi MAC 地址;Android ID、OAID、手机 MAC 地址 搜狗浏览器 Android ID;新安装的应用信息 极速版 当前连接基站信息、周边可用 Wi-Fi MAC 地址;Android ID、 360 浏览器 OAID 悟空浏览器 无 火狐浏览器 无 (三)网络上传流量情况 (1)9 款 App 在用户完成一次网站浏览活动(启动 App、搜索信息、打开网站)时,上传数据流量平均[4]最多 的为悟空浏览器,约为 1608KB;平均最少的为小米浏览 器,约为 472KB。具体情况如图 1。 图 1 完成一次网站浏览活动的平均上传数据流量(单位:KB) [4] 共重复测试 10 次。 7 (2)9 款 App 在用户完成一次文件下载活动(启动 App、搜索信息、下载文件)时,上传数据流量平均[5]最多 的为 QQ 浏览器,约为 1994KB;平均最少的为小米浏览 器,约为 152KB。具体情况如图 2。 图 2 完成一次文件下载活动的平均上传数据流量(单位:KB) (3)9 款 App 后台静默 12 小时,上传数据流量平均[6] 最多的为 UC 浏览器,约为 2506KB;平均最少的为华为浏 览器,约为 87KB。具体情况如图 3。 [5] [6] 共重复测试 10 次。 共重复测试 6 次。 8 图 3 后台静默 12 小时平均上传数据流量(单位:KB) 9