CNCERT权威测试报告！9款浏览器App个人信息收集情况一览无余

据“网信中国”公众号消息，近期中国网络空间安全协会、国家计算机网络应急技术处理协调中心等权威机构对“浏览器类”公众大量使用的部分App收集个人信息情况进行了测试。测试对象选取了包括华为、小米、UC、QQ、夸克、搜狗、360浏览器、悟空、火狐在内的9款下载过亿次的“浏览器类”App。

在相同品牌、型号的手机终端，相同版本安卓操作系统的测试环境；相同测试场景和测试内容下，经测试发现，在系统权限调用方面，9款App主要调用了位置、设备信息、剪切板、应用列表、相册5类系统权限，大家最为担心的麦克风、通讯录等其他权限事实上都没有发现调用情况，担心浏览器窃听自己的朋友们听到这里可以松了口气了。

详细来看一下数据：

在启动App场景中，调用系统权限种类最多的为悟空浏览器，共5类权限，调用系统权限次数最多的为UC浏览器，高达88次,在这方面做的最好的火狐浏览器，虽然也存在调用剪切板的行为，但人家只有2次，所以88次就很离谱了吧；

在访问信息场景中，通过浏览器打开网站时，调用系统权限种类和次数最多的均为悟空浏览器；通过浏览器下载文件时，调用系统权限次数最多的仍然UC浏览器和悟空浏览器；在后台静默场景中，调用系统权限种类最多的除了UC和悟空外，夸克和360浏览器也命中了，调用系统权限次数最多的变成了360浏览器，一共调用了16次，而浏览器App之光1次都没有。

在个人信息上传方面，9款App上传了4种类型个人信息：

具体情况就不展开了，UC浏览器、悟空浏览器仍然在启动App、搜索信息、访问信息、后台静默场景上传个人信息种类中屡登榜首。

而在网络上传流量方面，9款App在用户完成一次网站浏览活动时，上传数据流量平均最多的为悟空浏览器，约为1608KB；平均最少的为小米浏览器，约为472KB。在用户完成一次文件下载活动时，上传数据流量平均最多的为QQ浏览器，约为1994KB；平均最少的依然是小米浏览器，约为152KB。后台静默12小时，上传数据流量平均最多的仍然为UC浏览器，约为2506KB；平均最少的为华为浏览器，约为87KB。不得不说，小米浏览器和华为浏览器在这方面还是做得很棒的。

那根据这一测试报告，综合来看悟空浏览器、UC浏览器实在不忍直视，在系统权限调用、个人信息上传以及网络上传流量三种场景下均高于同类产品，虽然调用权限次数并不能说明存在违规的事实，但也不能否认存在过度索取系统权限和频繁上传个人信息的嫌疑。而火狐浏览器堪称浏览器App之光，在各个方面的表现都极为优秀，在各种测试场景下几乎都没有发现索取和上传个人信息的情况，值得点赞！

应用商店这么多浏览器类的App,究竟哪一款浏览器更好用的问题，我们暂时无法回答，但谁更尊重用户隐私，更值得用户信赖，看完这份报告相信大家心中已经有了答案。同时我们也提醒哪些频繁索取和上传个人信息的App，小心被用户吐槽哦。

3月15日，一年一度的消费者权益保护日如约而至，在历年的315晚会上，电信诈骗一直都是关注焦点。今年同样也不例外，针对钓鱼诈骗、手机窃听等针对个人用户数据安全的安全陷阱成为了315晚会曝光重灾区。

● 安全陷阱一：免费破解版App成手机窃听器

近年来随着移动终端的快速发展，各类移动应用厂商可谓是赚得盆满钵满，不管是网盘类应用还是娱乐影音类应用，不充个会员基本上是用不成的。苹果党可能就算了，但对于我们安卓党来说，谁的手机上不装几个破解版、修改版APP？谁没装过非官方渠道的APP？

毕竟破解版本跟白嫖的没啥区别，免费看付费电影、免费听会员音乐、不限速下载网盘资源，谁能顶得住这样的诱惑？

But，世界上没有免费的午餐！虽然各种破解版App很香，一旦贪图便宜使用了这些有问题的破解版App，就如同给手机安了监控，风险极高。

在315信息安全实验室技术人员对十余款常用的视频、音乐、小说等应用软件的破解版，即盗版版本，的实时监测中，发现了不少的猫腻。

比如一款破解版的某主流视频App，测试人员发现它虽然可以免费看会员视频，却被额外嵌入了3款和官方版本毫不相关的第三方插件，即SDK软件包。只要运行APP，这3款多出来的SDK包就能悄悄地偷走用户手机里的个人信息，从上网的硬件地址，到手机设备的识别号，再到电话卡的识别码，甚至手机操作系统的识别码，用户所有的关键识别信息都被一网打尽。

只要掌握其中2-3种信息，即使用户更换了手机或电话号码，它也能精准锁定用户，实时捕捉和追踪用户动态，形成用户的精准画像，从而推送大量的广告，实现流量变现。更有甚者，如果你授予了录音、相机、短信等敏感权限，它们将会化身为监视器，实时监控用户的生活、通话录音、短信记录等，所有隐私都暴露无遗。你点开过什么、看过什么、跟谁联系过、在哪个界面停留多长时间，APP比你自己都清楚。

收集到的信息会上传到服务器，进行统一的洗练和汇总，然后匹配其他渠道获得的资料，描绘详细的用户画像。画像可以具体到，你叫什么名字、住在哪里、用着什么手机、看过什么视频、手机号码多少、学历层次、喜好、现在在哪里（手机定位），对你的认知比你爸妈都深刻。

吃相好些呢，一般收集来的用户画像，用于大数据广告投放或者精准营销。因此时常出现刚在某APP搜索某产品，打开淘宝发现全是该商品推荐信息的诡异现象。时不时接到推销电话，客服准确地说出你的姓名、年龄，最近准备买房子的信息等等。

如果是吃相不好的，就会直接打包卖给黑灰产团伙了，一个又一个的杀猪盘、精准诈骗你就等着接招吧。

因此，在这里要提醒大家，千万不要随意安装不明来源的第三方APP和破解版APP，如果真的对抗不了白嫖的诱惑，也不要开放任何权限，毕竟占小便宜吃大亏的老话可不是说着玩的。

● 安全陷阱二：隔空盗刷”钓鱼链接别瞎点

近年来消费者的网络购物等需求越来越多，很多不法分子通过“ETC卡禁用”“快递丢失理赔”等骗局，诱骗消费者登录钓鱼网站对其进行诈骗。在315晚会上，央视曝光了一个这样“隔空盗刷”钓鱼骗局。

陈女士曾收到了一条提示她的 ETC 卡已禁用的短信，需登录网页进行签办。陈女士点击链接后却发现，打开的页面看上去没什么问题，于是她跟着提示输入了自己的手机号、银行卡号等个人信息。但接下来陈女士三秒钟内接连收到六条扣款短信。

315信息安全实验室对此作出提醒：陈女士遭遇的是典型的钓鱼网站诈骗，消费者按照钓鱼网站的要求，每填写一项，系统就会自动记录下来。姓名、身份证号、手机号、银行账户信息甚至余额都会被不法分子掌握。

所以，在收到一些陌生短信后，当有一些奇怪的链接时，不要信不要点，特别是有个人信息填写的，更不要去提交。当对方发起屏幕共享，远程协助时，更要提高警惕，因为此刻消费者手机上的一举一动都会实时传递给诈骗分子。特别是老年人，因为他们对手机的操作不太熟悉，容易轻信对方是帮自己的，从而造成财产的损失。

随着科技的不断发展进步，电子产品已经成为人们生活中的必需品，尤其手机不离手已经成为了国人的现状。但相应的安全风险着实不能小觑，面对纷繁复杂的网络世界，务必要守好网络安全关，增强个人安全意识、提升安全技能刻不容缓。