【梆梆安全监测】
安全隐私合规监管趋势及漏洞风险报告
(1026-1108)
●最新监管动态
监管通报动态
●监管支撑汇总
国家监管数据分析
●漏洞风险分析
各漏洞类型占比分析
存在漏洞的APP各类型占比分析
01
最新监管动态
1. 监管通报动态
10月24日,甘肃通管局依据相关法律法规,持续开展移动互联网应用程序(含小程序)个人信息合规专项整治行动。截至目前,尚有10款应用程序未完成整改或整改不到位,甘肃通管局现予以公开通报。2025年第四批通报涉及的9款应用程序,仍有5款未按要求完成整改,甘肃通管局现予以下架处置。
10月28日,工信部依据相关法律法规的要求,对APP、SDK违法违规收集使用个人信息等问题开展治理,经抽查,共发现42款APP及SDK存在侵害用户权益行为,上述APP及SDK应按有关规定进行整改,整改落实不到位的,工信部依法依规组织开展相关处置工作。
10月30日,病毒处理中心依据相关法律法规,检测发现70款移动应用存在违法违规收集使用个人信息情况。上期通报的病毒处理中心检测发现的69款违法违规移动应用,经复测仍有28款存在问题,相关移动应用分发平台已予以下架。
11月3日,四川和重庆通管局依据相关法律法规的要求,对川渝两地主流应用商店移动互联网应用程序(APP)进行了检查。截至目前,仍有11款APP/小程序未按要求完成整改。上述APP/小程序应限期完成整改落实工作,逾期不整改的,四川和重庆通管局将依法依规进行处置。
11月3日,北京通管局依据相关法律法规的要求,持续开展移动互联网应用程序隐私合规和网络数据安全专项整治。截至目前,尚有8款移动互联网应用程序未整改或整改不到位,北京通管局现予以公开通报。上期通报移动互联网应用程序并要求整改。截至目前,仍有7款移动互联网应用程序未整改或整改不到位,北京通管局现予以全网下架处置。
11月3日,上海通管局依据相关法律法规的要求,对APP(SDK)违法违规收集使用个人信息等问题开展治理。10月,上海通管局公示的一批存在侵害用户权益行为的APP(SDK)。经核查复检,尚有27款APP(SDK)未按照要求落实整改,上海通管局现对上述APP(SDK)采取下架处理。
11月3日,上海通管局依据相关法律法规的要求,对APP(SDK)违法违规收集使用个人信息等问题开展治理。经抽查发现53款APP(SDK)存在侵害用户权益行为,上海通管局现予以通报。
11月6日,安徽通管局依据相关法律法规的要求,对省内APP进行了拨测检查,检测发现28款APP存在违法违规收集使用个人信息的问题,安徽通管局对上述违规APP企业下达了责令改正通知书,要求限期完成整改工作。截至目前,尚有10款APP未完成问题整改,逾期不整改的,安徽通管局将依法依规组织开展相关处置工作。
11月10日,工信部依据相关法律法规的要求,对APP、SDK违法违规收集使用个人信息等问题开展治理,经抽查,共发现39款APP及SDK存在侵害用户权益行为,上述APP及SDK应按有关规定进行整改,整改落实不到位的,工信部依法依规组织开展相关处置工作。
11月11日,湖南通管局依据相关法律法规的要求,开展移动应用程序个人信息权益保护专项治理行动。9月,湖南通管局公开通报的41款未按期完成整改的移动应用程序,截至目前,仍有23款移动应用程序未按期完成整改,湖南通管局予以下架。
02
监管支撑汇总
1. 国家监管数据分析
针对国家近两周监管通报数据,依据问题类型,统计涉及APP数量如下:
问题分类 | 问题数量 |
191-2 未明示收集使用个人信息的目的、方式和范围 | 95 |
164-1 违规收集个人信息 | 59 |
191-1 未公开收集使用规则 | 58 |
191-3 未经用户同意收集使用个人信息 | 46 |
个保法-51 未采取相应的加密、去标识化等安全技术措施 | 33 |
164-5 APP强制、频繁、过度索取权限 | 29 |
个保法-31 个人信息处理者处理不满十四周岁未成年人个人信息的,未制定专门的个人信息处理规则;个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意 | 26 |
164-2 超范围收集个人信息 | 25 |
191-6 未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息 | 25 |
个保法-15 基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式 | 23 |
个保法-17 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序;(四)法律、行政法规规定应当告知的其他事项。 前款规定事项发生变更的,应当将变更部分告知个人。 | 23 |
191-5 未经同意向他人提供个人信息 | 14 |
个保法-23 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意 | 14 |
164-3 违规使用个人信息 | 13 |
164-6 APP频繁自启动和关联启动 | 13 |
26号文 未建立已收集个人信息清单 | 9 |
164-4 强制用户使用定向推送 | 8 |
191-4 违反必要原则、收集与其提供的服务无关的个人信息、收集与其提供的服务无关的个人信息 | 7 |
26号文 窗口关闭用户可选 | 4 |
26号文 信息窗口乱跳转 | 4 |
164-8 欺骗误导用户提供个人信息 | 3 |
164-9 应用分发平台上的APP信息明示不到位 | 3 |
个保法-24 通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式 | 3 |
总计 | 537 |
针对国家近两周监管通报数据,依据APP类型,统计出现通报的APP数量如下:
APP类型 | APP数量 |
其他 | 63 |
实用工具类 | 41 |
网络社区类 | 33 |
学习教育类 | 32 |
电子图书类 | 14 |
房屋租售类 | 11 |
网络游戏类 | 11 |
在线影音类 | 9 |
餐饮外卖类 | 8 |
网上购物类 | 8 |
本地生活类 | 7 |
即时通讯类 | 7 |
用车服务类 | 6 |
旅游服务类 | 4 |
邮件快件寄递类 | 4 |
拍摄美化类 | 3 |
网络直播类 | 3 |
问诊挂号类 | 3 |
网络借贷类 | 2 |
网络约车类 | 2 |
地图导航类 | 1 |
交通票务类 | 1 |
女性健康类 | 1 |
手机银行类 | 1 |
投资理财类 | 1 |
新闻资讯类 | 1 |
运动健康类 | 1 |
总计 | 278 |
03
漏洞风险分析
从全国的Android APP中随机抽取了2,376款进行漏洞检测发现,存在中高危漏洞威胁的APP为1,820个,即76.6%以上的APP存在中高危漏洞风险。而这1,820款漏洞应用中,有高危漏洞的应用共1,321款,占比72.58%,有中危漏洞的应用共1,776款,占比97.58%(同一款应用可能存在多个等级的漏洞)。存在不同风险等级漏洞的APP占比如下:
各漏洞类型占比分析
针对不同类型的漏洞进行统计,应用中高危漏洞数量排名前三的类型分别为Java代码反编译风险、HTTPS未校验主机名漏洞以及动态注册Receiver风险。各漏洞类型占比情况如下图所示:
存在漏洞的APP各类型占比分析
从APP类型来看,实用工具类APP存在漏洞风险最多,占漏洞APP总量的22.04%,其次为教育学习类APP,占比12.09%,生活服务类APP位居第三,占比10.31%,漏洞数量排名前十的类型如下图所示:
推荐阅读
Recommended
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...