“网上购物类”App个人信息收集情况测试报告.pdf
“网上购物类”App个人信息收集情况测试报告.pdf
“网上购物类”App 个人信息收集情况测试报告 近期,中国网络空间安全协会、国家计算机网络应急 技术处理协调中心对“网上购物类”公众大量使用的部分 App 收集个人信息情况进行了测试。测试情况及结果如下: 一、测试对象 本次测试选取了 19 家应用商店[1]累计下载量排名前 10 位的“网上购物类”App。10 款 App 基本情况如表 1。 表 1 10 款 App 基本情况 App 名称 运营者 测试版本 淘 宝 淘宝(中国)软件有限公司 10.14.20 京 东 北京京东世纪贸易有限公司 11.2.0 拼多多 上海寻梦信息技术有限公司 6.20.0 华为商城 华为软件技术有限公司 1.10.10.301 唯品会 广州唯品会电子商务有限公司 7.69.2 淘 特 淘宝(中国)软件有限公司 5.13.0 手机天猫 浙江天猫网络有限公司 12.12.0 苏宁易购 江苏苏宁易购电子商务有限公司 9.5.62 荣耀亲选 荣耀终端有限公司 3.1.11.300 当 当 北京当当科文电子商务有限公司 12.7.2 二、测试方法 (一)测试环境 [1] 包括华为应用市场、小米应用商店、腾讯应用宝、OPPO 软件商店、VIVO 应用市场、360 手机助手、百度 手机助手、豌豆荚手机助手、历趣应用商店、乐商店、魅族应用商店、移动 MM 商店、太平洋下载、中关 村在线、木蚂蚁安卓应用市场、多特软件站、华军软件园、西西软件园、绿色资源网。 1 本次测试选取相同品牌、型号的手机终端,安装相同 版本安卓操作系统,分别部署 10 款 App,在相同网络环境 下进行同步操作。 (二)测试场景 以完成一次网上购物活动作为测试单元,包括启动 App、 搜索商品、购物下单 3 种用户使用场景,以及后台静默应用 场景[2]。 (三)测试内容 本次测试包括系统权限调用、个人信息上传、网络上 传流量 3 项内容。 三、测试结果 (一)系统权限调用情况 测试发现,10 款 App 在 4 种场景下调用了位置、设备 信息、剪切板、应用列表 4 类系统权限,未发现调用相机、 麦克风、通讯录等其他权限。 在启动 App 场景中,调用系统权限种类最多的为拼多多 (4 类),调用系统权限次数最多的为苏宁易购(357 次)。 具体情况如表 2。 [2] 启动 App 指用户点击图标至主界面加载完成;搜索商品指用户选中搜索框,输入搜索词,点击搜索并选 择第一项搜索结果;购物下单指用户点击购买按钮,选择收货地址,提交订单至确认付款页面;后台静默 指用户将 App 切换至后台保持静默运行状态。 2 表 2 启动 App 场景调用系统权限情况 App 名称 淘 宝 京 东 完成一次启动过程调用系统权限的种类和次数 位置权限(25 次)、设备信息权限(8 次)、剪切板权限(1 次) 位置权限(13 次)、设备信息权限(1 次)、剪切板权限(1 次) 位置权限(10 次)、设备信息权限(1 次)、剪切板权限(1 次)、 拼多多 应用列表权限(1 次) 华为商城 位置权限(12 次) 唯品会 位置权限(23 次) 淘 特 位置权限(12 次)、设备信息权限(20 次)、剪切板权限(1 次) 手机天猫 位置权限(36 次)、设备信息权限(20 次)、剪切板权限(2 次) 苏宁易购 位置权限(357 次) 荣耀亲选 设备信息权限(1 次)、应用列表权限(3 次) 当 当 位置权限(13 次)、设备信息权限(15 次)、应用列表权限(1 次) 在搜索商品场景中,调用系统权限种类最多的为淘宝 (3 类),调用系统权限次数最多的为苏宁易购(152 次)。 具体情况如表 3。 表 3 搜索商品场景调用系统权限情况 App 名称 淘 宝 京 东 完成一次搜索商品过程调用系统权限的种类和次数 位置权限(8 次) 、设备信息权限(8 次) 、剪切板权限(1 次) 位置权限(2 次) 拼多多 位置权限(6 次) 华为商城 位置权限(44 次) 唯品会 位置权限(29 次) 淘 特 位置权限(9 次) 手机天猫 位置权限(3 次) 、剪切板权限(4 次) 苏宁易购 位置权限(152 次) 荣耀亲选 未调用权限 当 当 位置权限(6 次) 、设备信息权限(7 次) 在购物下单场景中,调用系统权限种类最多的为手机 天猫(3 类),调用系统权限次数最多的为苏宁易购(255 次) 。具体情况如表 4。 3 表 4 购物下单场景调用系统权限情况 App 名称 淘 宝 京 东 完成一次购物下单过程调用系统权限的种类和次数 位置权限(9 次) 、设备信息权限(3 次) 位置权限(6 次) 拼多多 位置权限(1 次) 华为商城 位置权限(9 次) 唯品会 位置权限(25 次) 淘 特 位置权限(4 次) 、设备信息权限(1 次) 手机天猫 位置权限(6 次) 、设备信息权限(2 次) 、剪切板权限(8 次) 苏宁易购 位置权限(251 次)、应用列表权限(4 次) 荣耀亲选 未调用权限 当 当 位置权限(11 次)、设备信息权限(3 次) 在后台静默场景中,调用系统权限种类最多的为拼多 多(4 类) ,调用系统权限次数最多的为苏宁易购(1199 次) 。 具体情况如表 5。 表 5 后台静默场景调用系统权限情况 App 名称 淘 宝 京 东 后台静默期间调用系统权限的种类和次数 位置权限(57 次)、设备信息权限(4 次) 未调用权限 位置权限(39 次)、设备信息权限(8 次)、剪切板权限(1 次)、 拼多多 应用列表权限(1 次) 华为商城 未调用权限 唯品会 未调用权限 淘 特 位置权限(14 次)、设备信息权限(2 次) 手机天猫 位置权限(45 次)、设备信息权限(2 次) 苏宁易购 位置权限(1199 次) 荣耀亲选 未调用权限 当 当 应用列表权限(1 次) (二)个人信息上传情况 测试发现,10 款 App 上传了 6 种类型个人信息:①位 置信息,包括经纬度、街道地址、当前连接 WiFi MAC 地址、 4 当前连接基站信息、周边可用 WiFi MAC 地址等;②唯一设 备识别码,包括 IMEI(国际移动设备识别码)、IMSI(SIM 卡国际移动用户识别码)、Android ID(安卓 ID)、OAID (开放匿名设备标识符)、手机 MAC 地址等;③剪切板内 容信息,包括商品分享链接、最近复制的文本等;④应用 列表信息,包括手机上已安装、正在运行、新安装和新卸 载的应用信息等;⑤购物信息,包括商品搜索词、订单信 息等;⑥登录信息,包括用户 ID、登录状态等。 在启动 App 场景中,个人信息上传种类最多的为拼多多 (4 类) 。具体情况如表 6。 表 6 启动 App 场景个人信息上传情况 App 名称 完成一次启动过程上传的个人信息种类 淘 宝 经纬度 经纬度、周边可用 Wi-Fi MAC 地址;Android ID、OAID、手机 MAC 京 东 地址;商品分享链接 周边可用 Wi-Fi MAC 地址;IMEI、IMSI、Android ID、手机 MAC 拼多多 地址;最近复制的文本;正在运行的应用信息 华为商城 无 唯品会 当前连接 Wi-Fi MAC 地址 当前连接 Wi-Fi MAC 地址;Android ID;商品分享链接 经纬度、当前连接 Wi-Fi MAC 地址、当前连接基站信息、周边可用 手机天猫 Wi-Fi MAC 地址;Android ID、手机 MAC 地址;最近复制的文本 经纬度、当前连接 Wi-Fi MAC 地址、当前连接基站信息、周边可用 苏宁易购 Wi-Fi MAC 地址;Android ID、手机 MAC 地址 荣耀亲选 Android ID 当前连接 Wi-Fi MAC 地址、当前连接基站信息;Android ID、手机 当 当 MAC 地址;已安装的应用信息 淘 特 在搜索商品场景中,个人信息上传种类最多的为拼多 多和手机天猫(均为 4 类)。具体情况如表 7。 5 表 7 搜索商品场景个人信息上传情况 App 名称 完成一次搜索商品过程上传的个人信息种类 淘 宝 经纬度、当前连接 Wi-Fi MAC 地址;商品搜索词 京 东 经纬度;Android ID、OAID;商品搜索词 经纬度、当前连接基站信息、周边可用 Wi-Fi MAC 地址;IMEI;最 拼多多 近复制的文本;商品搜索词 华为商城 商品搜索词 唯品会 商品搜索词 经纬度、当前连接 Wi-Fi MAC 地址、周边可用 Wi-Fi MAC 地址; 淘 特 Android ID;商品搜索词 经纬度、当前连接 Wi-Fi MAC 地址;Android ID;最近复制的文 手机天猫 本;商品搜索词 经纬度、当前连接 Wi-Fi MAC 地址;Android ID、手机 MAC 地址; 苏宁易购 商品搜索词 荣耀亲选 Android ID;商品搜索词 经纬度、当前连接 Wi-Fi MAC 地址、当前连接基站信息、周边可用 当 当 Wi-Fi MAC 地址;Android ID、手机 MAC 地址;商品搜索词 在购物下单场景中,个人信息上传种类最多的为淘宝、 京东、苏宁易购(均为 4 类) 。具体情况如表 8。 表 8 购物下单场景个人信息上传情况 App 名称 淘 宝 京 东 拼多多 完成一次购物下单过程上传的个人信息种类 经纬度、当前连接 Wi-Fi MAC 地址;IMEI、IMSI;订单信息;登录 信息 经纬度、当前连接 Wi-Fi MAC 地址、周边可用 Wi-Fi MAC 地址; Android ID、OAID、手机 MAC 地址;订单信息;登录信息 订单信息;登录信息 华为商城 订单信息;登录信息 唯品会 订单信息;登录信息 淘 特 Android ID;订单信息;登录信息 手机天猫 经纬度;最近复制的文本;订单信息;登录信息 经纬度、当前连接 Wi-Fi MAC 地址;Android ID、手机 MAC 地址; 苏宁易购 订单信息;登录信息 荣耀亲选 Android ID;订单信息;登录信息 当 当 订单信息;登录信息 在后台静默场景中,个人信息上传种类最多的为拼多 6 多(3 类) 。具体情况如表 9。 表 9 后台静默场景个人信息上传情况 App 名称 淘 宝 京 东 后台静默期间上传的个人信息种类 当前连接 Wi-Fi MAC 地址 Android ID 拼多多 IMEI;最近复制的文本;新安装和新卸载的应用信息 华为商城 无 唯品会 无 淘 特 当前连接 Wi-Fi MAC 地址 手机天猫 当前连接 Wi-Fi MAC 地址 苏宁易购 Android ID 荣耀亲选 无 当 当 Android ID、OAID、手机 MAC 地址;已安装的应用信息 (三)网络上传流量情况 测试发现,10 款 App 在用户完成一次网上购物活动 (启动 App、搜索商品、购物下单)时,上传数据流量平均 [3] 最多的为苏宁易购,约为 653KB;平均最少的为荣耀亲选, 约为 115KB。具体情况如图 1。 [3] 共重复测试 24 次。 7 0 100 200 淘宝 300 400 500 600 700 228.8 京东 467.1 拼多多 328.8 华为商城 472.9 唯品会 340.7 淘特 323.9 手机天猫 321.2 苏宁易购 652.5 荣耀亲选 115.4 当当 176.4 图 1 完成一次网上购物活动平均上传数据流量(单位:KB) 测试发现,10 款 App 后台静默 12 小时,上传数据流量 平均[4]最多的为手机天猫,约为 92KB;平均最少的为唯品 会,约为 1.4KB。具体情况如图 2。 0 10 20 淘宝 10.1 京东 11.6 拼多多 30 40 50 60 70 80 90 100 5.6 华为商城 1.8 唯品会 1.4 淘特 10.1 手机天猫 92.0 苏宁易购 3.4 荣耀亲选 1.8 当当 2.7 图 2 后台静默 12 小时平均上传数据流量(单位:KB) [4] 共重复测试 7 次。 8