12个App窃取用户通讯录数据,涉事应用下载量超1亿

作者丨一舟

图片源自Pixabay

近日,信息安全研究机构Check Point Research(下称“CRS”)发文称,12个中国App存在窃取用户通讯录数据的情况。12个App在360、百度、腾讯、华为、小米和豌豆荚等中国第三方应用商店均有上架,累计下载次数已超过一亿次。

12款App具体情况如下:

被指窃取用户数据的12款应用

报告指,窃取数据的程序名为“SWAnalytics”,存在于应用的SDK模块当中。当用户安装并打开了以上应用,或者重启了设备,SWAnalytics便会自动读取用户的通讯录,并上传至名为“Hangzhou Shun Wang Technologies”的远程服务器。该英文名被指与中国网吧平台开发商“杭州顺网科技公司”名称契合。NGOCN亦发现,接收数据的服务器地址与该公司的域名对应。

NGOCN致电了杭州顺网科技公司及其涉事子公司浮云科技。两家公司工作人员均表示对情况不了解,又指公司不会存在此类非法收集用户数据的举动。浮云科技工作人员表示将联系技术部门回电告知详情。截至发稿,该公司相关人员尚未作出回复。

据了解,SWAnalytics还可以通过扫描用户本地文件、获取权限的方式,获取用户的QQ登陆数据、地理信息、应用列表、活跃应用、信号地址和手机品牌等信息。代码显示,这些个人数据每隔十五分钟就会被同步至服务器一次。尽管SWAnalystics对用户数据采取了两重加密,但由于其采用属明文传输的HTTP传输协议,第三方可轻易截获这些数据。在报告的最后,CRS呼吁用户马上卸载前述应用。

CRS认为,SWAnalytics存在于其SDK模块中,并非涉事应用单独加入。但值得注意的是,12款应用均直接或间接从属于“杭州顺网科技”和“杭州鸿大网络”两家公司(具体对应可参看上图)。

对于私自上传用户通讯录列表的行为,中国等多个国家的法规均有禁止。根据《中华人民共和国网络安全法》第四十一条,网络运营者收集个人信息应“经被收集者同意”,并“不得收集与其提供的服务无关的个人信息”;《移动互联网应用程序信息服务管理规定》第七条要求移动互联网应用程序提供者“明示收集使用信息的目的、方式和范围,并经用户同意”。

公开资料显示,国内多款App曾因私自收集用户个人信息或过度获取用户权限被通报或约谈。2018年7月,上海市消费者权益保护委员发布报告指,有5款地图类 APP存在申请的敏感权限与实际功能不符的情况;10月,上海市网信办约谈了23个过度索取权限及用户个人信息的常用应用运营商;11月,上海市消费者权益保护委员会通报了18款手机应用过度获取用户敏感权限。

注:信息安全研究机构Check Point Research属于以色列科技公司Check Point Software Technologies Ltd.

相关文章